Hello there, ('ω')ノ CSRF 攻撃 - クリック ０回でアカウント削除を。 脆弱性： CSRF HTML インジェクション 記事： https://medium.com/@bug_vs_me/csrf-attack-0-click-account-delete-1st-write-up-3d67b267b931 今回は、プログラムのバグを探していたの…

Hello there, ('ω')ノ ビジネス ロジックの破綻 - パート: 2^7 = 1 脆弱性： レースコンディション 記事： https://systemweakness.com/breaking-business-logic-part-2-7-1-f19924b18783 今回は、あるプログラムで見つけた Race Conditions について。 この…

Hello there, ('ω')ノ 1500 ドル相当の IDOR を見つけた方法を。 脆弱性： IDOR 記事： https://adilnbabras.medium.com/how-i-found-an-idor-worth-1500-d5f78bc22a7e 安全でない直接オブジェクト参照 (IDOR)： IDOR は Broken Access Control のブランチで…

Hello there, ('ω')ノ ワイルドで簡単な P1 バグの物語を。 脆弱性： 強制閲覧 403バイパス 情報漏えい 記事： https://medium.com/@Cybervenom/tale-of-easy-p1-bugs-in-wild-1b7f5bf80eef 今回のスコープはワイルドカード (*.redicated.com) スコープで。 …

Hello there, ('ω')ノ 中括弧 {} を使用した SSTI から XSS へを。 脆弱性： SSTI XSS 記事： https://sagarsajeev.medium.com/escalating-ssti-to-reflected-xss-using-curly-braces-825685bd93ec ノート： Server Side Template Injection または SSTI に…

Hello there, ('ω')ノ 最初の有効なバグ「管理パネルをバイパスする」を。 脆弱性： 認証バイパス 記事： https://medium.com/@digant_15/my-first-valid-bug-bypass-the-admin-panel-e859e72a1b7d 今回は、わずか 5 分で「管理パネルをバイパスする」という…

Hello there, ('ω')ノ SQLインジェクションを取得するにはどうすればよいですかを。 脆弱性： SQLインジェクション 記事： https://xthemo.medium.com/how-can-i-get-sql-injection-b8337c2c2bef 今回は、簡単な方法でSQLインジェクションを取得する方法を。…

Hello there, ('ω')ノ 事前アカウント乗っ取りにつながる一括割り当てを。 脆弱性： 質量割り当て 記事： https://medium.com/@cyberali/mass-assignment-leading-to-pre-account-takeover-13041280a0d9 アプリケーション プログラマブル インターフェイスと…

Hello there, ('ω')ノ 特権エスカレーションは、認証されたアクションの実行につながるを。 脆弱性： 権限昇格 認可の欠陥 記事： https://x-vector.medium.com/privilege-escalation-leads-to-making-authenticated-actions-payment-processing-creating-in…

Hello there, ('ω')ノ 不正なバイパス RCE を見つけた方法を。 脆弱性： RCE 既知の脆弱性を持つ古いコンポーネント 記事： https://medium.com/@yashshirke7806/how-i-found-unauthorized-bypass-rce-3591a86425a9 簡単な脆弱性が管理コンソール、P1 タイプ…

Hello there, ('ω')ノ それほど直接的ではない SSRF の話を。 脆弱性： SSRF 記事： https://infosecwriteups.com/a-story-about-a-not-so-direct-ssrf-b2b98e128af0 紹介と偵察： まともなスコープを持つターゲットをテストしていて。 ターゲットに関するド…

Hello there, ('ω')ノ QR コード マジックを。 脆弱性 オープンリダイレクト 記事： https://shahjerry33.medium.com/open-redirection-qr-code-magic-18ace1a0170f 概要 ： オープン リダイレクトの脆弱性は、アプリケーションがユーザ制御可能な。 データ…

Hello there, ('ω')ノ 別の管理パネルを。 脆弱性： HTTP 応答操作 認証バイパス 記事： https://infosecwriteups.com/another-admin-panel-e0489dc76678 今回は、target.com を取り上げて。 target.com のサブドメインを。つずつテストしていたところ。 こ…

Hello there, ('ω')ノ スポーツ プラットフォームのユーザアカウントのハッキングに成功した方法を。 脆弱性： OTPバイパス ブルートフォース レート制限の欠如 記事： https://medium.com/@vishnu0002/how-i-managed-to-hack-into-a-billion-dollar-sport-p…

Hello there, ('ω')ノ 削除済みの機密文書にアクセスする方法を。 脆弱性： プライバシーの問題 記事： https://pawanchhabria.medium.com/how-i-accessed-the-sensitive-document-which-i-had-already-deleted-adbc1e6fbb25 データ漏洩： セキュリティに関…

Hello there, ('ω')ノ SQLi ペイロードの Cloudflare WAF をバイパスできた方法を。 脆弱性： SQLインジェクション WAFバイパス 記事： https://infosecwriteups.com/how-i-was-able-to-bypass-cloudflare-waf-for-sqli-payload-b9e7a4260026 Cloudflare は…

Hello there, ('ω')ノ 整数オーバーフロー法を使用した価格操作バイパスを。 脆弱性： 決済改ざん メモリ破損バグ 記事： https://marxchryz.medium.com/price-manipulation-bypass-using-integer-overflow-method-36ff23ebe91d Web サイトは非公開なので、r…

Hello there, ('ω')ノ 以前の GraphQL 脆弱性を使用して 金融セクター ゲートウェイ サイトで最初の報奨金を獲得した方法を。 脆弱性： 情報漏えい GraphQL バグ 記事： https://medium.com/@thenighthawk0/how-i-got-my-first-bounty-on-financial-sector-g…

Hello there, ('ω')ノ 初めての XSSを。 脆弱性： オープンリダイレクト XSS 記事： https://medium.com/@AvyuktSyrine/my-first-xss-d88ee864df82 今回は、Hackerone のプライベート プログラムで見つけた最初の XSS について。 ディレクトリバスティングか…

Hello there, ('ω')ノ 事前アカウント乗っ取りにつながる一括割り当てを。 脆弱性： 質量割り当て 記事： https://medium.com/@cyberali/mass-assignment-leading-to-pre-account-takeover-13041280a0d9 アプリケーション プログラマブル インターフェイスと…

Hello there, ('ω')ノ Android アプリケーションのパスワードを忘れた場合のトークンの漏洩により アカウントが乗っ取られるを。 脆弱性： 情報漏えい パスワード再設定の不具合 アカウント乗っ取り 記事： https://medium.com/@cyberali/android-applicatio…

Hello there, ('ω')ノ 機密情報の開示 (偵察) を見つけた方法を。 脆弱性： 情報開示 記事： https://systemweakness.com/bug-bounty-how-i-found-an-sensitive-information-disclosure-reconnaissance-542daf10dd19 今回は、偵察による機密情報の漏えいにつ…

Hello there, ('ω')ノ SSRF から .GOV ドメインの RCE への物語を。 脆弱性： SSRF RCE 記事： https://medium.com/@tobydavenn/the-tale-of-ssrf-to-rce-on-gov-domain-191185b32b37 SSRF はサーバ側のリクエスト フォージェリで。 これは、影響がある場合…

Hello there, ('ω')ノ Android APK でのコンテンツ アクセス トークンの開示を。 脆弱性： 情報公開 記事： https://medium.com/@cyberali/contentful-access-token-disclosure-in-android-apk-ace5f7bdf98 今回は、Android APK Pen のテストに関する記事で…

Hello there, ('ω')ノ １日に３つのまれなセキュリティ バグを見つけた方法を。 脆弱性： セッションの有効期限切れ 支払いバイパス レート制限の欠如 記事： https://infosecwriteups.com/how-i-found-3-bug-bounties-in-a-day-c82fe023716e 今回は、旅行と…

Hello there, (^^ゞ 最初の SSRF から RCE への方法をどのように見つけたかを。 脆弱性： IDOR、SSRF、RCE 記事： https://medium.com/@0x0Asif/how-i-found-my-first-rce-8f8033883dc4 今回は、最初の RCE をどのように見つけたかを。 ハンティング中に IDO…

Hello there, ('ω')ノ プライベート プログラムでの mfa バイパスを。 脆弱性： MFA バイパス 記事： https://infosecwriteups.com/mfa-bypass-in-private-program-the-abdulsec-way-f677fea209f7 今回は、プライベート プログラムで多要素認証をバイパスす…

Hello there, ('ω')ノ IDOR at Login 関数により、ユーザの PII データが漏洩するを。 脆弱性： IDOR 情報開示 記事： https://eslam3kl.medium.com/idor-at-login-function-leads-to-leak-users-pii-data-d77e6613e9e0 今回は、脆弱な機能は、攻撃者を管理…

Hello there, ('ω')ノ 政府機関の Web サイトに SQL インジェクションの脆弱性が見つかったを。 脆弱性： SQL インジェクション 記事： https://mehedishakeel.medium.com/found-sql-injection-vulnerability-on-government-organization-website-3eb33c0c49…

Hello there, ('ω')ノ Amazon WAF をバイパスしてアラートをポップするを。 脆弱性： WAFファームウェア XSS 記事： https://infosecwriteups.com/bypassing-amazon-waf-to-pop-an-alert-4646ce35554e 今回は、Amazon WAF をバイパスしてターゲットで XSS を…