Shikata Ga Nai

Private? There is no such things.

How I found my first P1 level Bug.を訳してみた

Hello there, ('ω')ノ

 

最初のP1レベルのバグを見つけた方法を。

 

脆弱性:

 XSS

 

記事:

 https://medium.com/@merry6607/how-i-find-my-first-p1-level-bug-5a6dd9587203

 

ツール:

 Burp Suite

 

今回は、BugCrowdのプライベートプログラムでユーザの機密情報を。

どのように見ることができたかについてを。

プログラム名は公開できませんので、www.examle.comと仮定して。

 

1.このWebサイトでXSSのテストを行っていて。

 さまざまなパラメータでテストを開始しして。


2.実行したことは、Burpを開いてリクエストをキャプチャして。

 ホストをスパイダすることで、多くのパラメータを見つけて。


3.巨大なパラメータのテストには実際には多くの時間がかかるので。

 10〜12個のパラメータでテストしましたが、結果は得られず。


4.次に、ファーストネームとラストネームフィールドで。

 保存型XSSを実行しようとしましたが、ファーストネームとラストネームでは。

 スクリプトを記述できず。

 したがって、リクエストをBurpでキャプチャして。

 ファーストネームとラストネームを変更して、スクリプトは保存されたものの。

 残念ながらスクリプトは実行されず。


5.そこで、Intruderにファーストネームとラストネームのキャプチャ要求を。

 送信することを考えて。

 それらのパラメータを選択するだけです。


6.あとは、ペイロードリストを持っているので、これを起動するだけで。


7.ペイロードが200の応答と膨大な数の長さで実行されているのがわかって。


8.そのため、長さを並べ替えて、応答で最も長い長さを確認しても。

 XSSポップアップを取得できず。


9.各応答を確認したものの、大した結果はなくて。


10.すると突然、ブラウザに下記のURLが表示されて。

  https://something/api/xyz18/id


11.このURLで指定されたユーザID番号を見ることができて。

 そこにジューシーなものを見つけたので、ID番号をアップダウンするだけで。

 

12.攻撃者がユーザを詐欺するために簡単に使用できる他のユーザデータを。

 見ることができて。

 

今回やったことは、より多くのID番号をチェックすることで。

ユーザ情報についてはあまり掘り下げることはしなくて。


学ぶこと:

小さなことでもすべてをチェックする必要があり。

バグが目の前にあることもありますが、小さな点に気付くことはなく。

 

Best regards, (^^ゞ