Bug Bounty
Hello there, ('ω')ノ XSSをicloud.comに保存を。 脆弱性: 保存されたXSS 記事: https://vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075 今回は、icloud.comでStored Cross-Site Scripting(XSS)を見つけた方法を。 最初の発見と搾取: …
Hello there, ('ω')ノ 1000ドル相当の完全なアカウント乗っ取りを。 脆弱性: アカウントの乗っ取り CSRF IDOR 記事: https://mokhansec.medium.com/full-account-takeover-worth-1000-think-out-of-the-box-808f0bdd8ac7 今回は、公開プログラムで見つけた…
Hello there, ('ω')ノ 非常に致命的なIDORの話を。 脆弱性: XSS IDOR アカウントの乗っ取り 記事: https://infosecwriteups.com/idor-that-allowed-me-to-takeover-any-users-account-129e55871d8 今回のターゲットをtarget.comと呼ぶことに。 それは基本…
Hello there, ('ω')ノ 応答操作によるアカウントの乗っ取りを。 脆弱性: 認証バイパス アカウント乗っ取り 記事: https://thevillagehacker.medium.com/account-take-over-by-response-manipulation-e1293ee51e9a 今回は、ログイン応答を操作することによ…
Hello there, ('ω')ノ 1800ドル相当の応答操作によるアカウントの乗っ取りを。 脆弱性: 認証バイパス OTPバイパス アカウント乗っ取り 記事: https://ashutoshmishra00x0.medium.com/account-takeover-via-response-manipulation-worth-1800-ffb242cc55c9 …
Hello there, ('ω')ノ アカウントの乗っ取り-「null」での喫煙 脆弱性: アカウントの乗っ取り 認証の欠陥 記事: https://shahjerry33.medium.com/account-takeover-smoking-with-null-e43df2c3bb41 今回は、JSON null値を使用した興味深いアカウントの乗っ…
Hello there, ('ω')ノ 仕事の通知を受け取るために10000人以上のユーザを停止することについての話を。 脆弱性: 論理的な欠陥 記事: https://pallabjyoti218.medium.com/story-about-stop-10000-users-to-get-their-job-notification-6a8aca542c85 今回は…
Hello there, ('ω')ノ 自慢する権利:ファイルのアップロードをやさしく殺す 脆弱性: 無制限のファイルアップロード 保存されたXSS 記事: https://infosecwriteups.com/bragging-rights-killing-file-uploads-softly-fba35a4e485a 今回は、無制限のファイ…
Hello there, ('ω')ノ SQLインジェクションを介してアクセスされる管理パネルを。 脆弱性: SQLインジェクション 記事: https://medium.com/@ratnadip1998/admin-panel-accessed-via-sql-injection-ezy-boooom-57dc60c2815f 今回は、管理パネルアクセスに関…
Hello there, ('ω')ノ API構成ディレクトリでの秘密鍵の公開を。 脆弱性: 情報開示 記事: https://ahmdhalabi.medium.com/secret-key-exposure-in-api-config-directory-79cf7e7b976 今回は、ビッグデータと統合サービスに特化したプライベートプログラム…
Hello there, ('ω')ノ CORSを悪用してIDOR攻撃を実行し、PII情報の開示につながるを。 脆弱性: CORSの設定ミス 情報開示 記事: https://notmarshmllow.medium.com/exploiting-cors-to-perform-an-idor-attack-leading-to-pii-information-disclosure-95ef2…
Hello there, ('ω')ノ テンプレートインジェクションを活用してアカウント乗っ取りを。 脆弱性: CSTI XSS 記事: https://infosecwriteups.com/leveraging-template-injection-to-takeover-an-account-1dba7c4ae315 今回は、テンプレートインジェクションの…
Hello there, ('ω')ノ シークレット`Client ID`を公開している隠しログインエンドポイントの検索を。 脆弱性: 情報開示 記事: https://ahmdhalabi.medium.com/finding-hidden-login-endpoint-exposing-secret-client-id-88c3c2a1af45 今回は、情報開示のバ…
Hello there, ('ω')ノ フルオートメーションによるJAVA SCRIPTでの基本的な認証トークンの検索を。 脆弱性: 情報開示 記事: https://notifybugme.medium.com/finding-basic-authtoken-in-javascript-file-by-full-automation-6188ca1b1f56 今回は、Android…
Hello there, ('ω')ノ 低レベルのバグと設定ミスの連鎖がアカウントの乗っ取りにつながるを。 脆弱性: 反映されたXSS クリックジャッキング アカウントの乗っ取り 記事: https://infosecwriteups.com/chain-of-low-level-bugs-and-misconfigurations-leads…
Hello there, ('ω')ノ 登録時のビジネスロジックエラーがSMS検証バイパスにつながるを。 脆弱性: 2FAバイパス 記事: https://infosecwriteups.com/business-logic-error-on-registration-leads-to-sms-validation-bypass-80380b3ff629 今回は、基本的にビ…
Hello there, ('ω')ノ 2000ドル相当のパスワードリセットによるアカウント乗っ取りを。 脆弱性: パスワードリセットの欠陥 アカウントの乗っ取り 記事: https://ashutoshmishra00x0.medium.com/account-takeover-via-reset-password-worth-2000-de085851d8…
Hello there, ('ω')ノ 空の応答を伴うIDORの脆弱性は、依然として顧客の機密情報を公開しているを。 脆弱性: IDOR 記事: https://rahulvarale.medium.com/idor-vulenebility-with-empty-response-still-exposing-sensitive-details-of-customers-bdce0a6a1…
Hello there, ('ω')ノ 興味深いアカウントの乗っ取りを。 脆弱性: IDOR アカウントの乗っ取り 弱い暗号化 パスワードリセットの欠陥 記事: https://infosecwriteups.com/an-interesting-account-takeover-3a33f42d609d IDORと弱い暗号化により、完全なアカ…
Hello there, ('ω')ノ SSRFをOSコマンドインジェクションに変えた未知のLinuxシークレットを。 脆弱性: SSRF コマンドインジェクション 記事: https://secureitmania.medium.com/an-unknown-linux-secret-that-turned-ssrf-to-os-command-injection-6fe2f4…
Hello there, ('ω')ノ 暗号化されたペイロード->復号化された実行:保存されたXSSを。 脆弱性: 保存されたXSS 記事: https://shrirangdiwakar.medium.com/encrypted-payload-decrypted-execution-600-stored-xss-3e517cea8f13 クロスサイトスクリプティン…
Hello there, ('ω')ノ 情報開示の影響の増大—完全なアカウントの乗っ取りを。 脆弱性: 情報開示 パスワードリセットの欠陥 記事: https://abhisek3122.medium.com/increasing-impact-of-information-disclosure-full-account-takeover-2f12d8963d5c 今回は…
Hello there, ('ω')ノ CSRFからフルアカウントの乗っ取りを。 脆弱性: 記事: https://qotoz.medium.com/csrf-to-full-account-takeover-5196cef9d166 今回は、アカウントの乗っ取りにエスカレートできたCSRFの問題に関する記事を。 プライベートサイトをテ…
Hello there, ('ω')ノ 奇妙なXSSを。 脆弱性: 反射されたXSS 記事: https://infosecwriteups.com/a-weird-xss-77c13d135c9f 今回は、XSSでの探索を少し異なる方法でやめた方法を。 パート1:検索 Webをサーフィンしていていると.xxx.brサイトにたどり着い…
Hello there, ('ω')ノ CORSがない場合、アカウントの完全な乗っ取りにつながるを。 脆弱性: 欠落しているCORS CSRF アカウントの乗っ取り 記事: https://nirajmodi51.medium.com/missing-cors-leads-to-complete-account-takeover-1ed4b53bf9f2 今回のター…
Hello there, ('ω')ノ バグバケットに戻りましょうを。 脆弱性: XSS IDOR 2FAバイパス 記事: https://infosecwriteups.com/bragging-rights-lets-head-back-to-bug-bucket-88c94730b6fa 今回のプログラムには、管理者と特権の少ない通常ユーザの2つのロー…
Hello there, ('ω')ノ グーグルドーキングで見つかった奇妙で非常に簡単な認証バイパスを。 脆弱性: 認証バイパス 記事: https://infosecwriteups.com/weird-and-very-easy-authentication-bypass-found-with-google-dorking-c13230a038edy 今回は、認証バ…
Hello there, ('ω')ノ Exifデータを介したXSSを。 脆弱性: 保存されたXSS 記事: https://shahjerry33.medium.com/xss-via-exif-data-the-p2-elevator-d09e7b7fe9b9 概要 : Exifデータの脆弱性は、Exiftoolを使用して、XSSペイロードを画像に挿入して。 そ…
Hello there, ('ω')ノ パスワード変更機能の設定ミスはアカウントの乗っ取りにつながるを。 脆弱性: IDOR ロジックの欠陥 パスワードのリセットの欠陥 アカウントの乗っ取り 記事: https://0x2m.medium.com/misconfiguration-in-change-password-functiona…
Hello there, ('ω')ノ GraphQLエンドポイントを介して保存されたXSSを。 脆弱性: 保存されたXSS GraphQLのバグ 記事: https://infosecwriteups.com/pwning-your-assignments-stored-xss-via-graphql-endpoint-6dd36c8a19d5 このバグは、クラウドソーシング…