Hello there, ('ω')ノ

 

InspectElementで、賞金を獲得した方法を。

 

脆弱性：

　サーバ側のセキュリティのクライアント側の実施

 

記事：

　https://medium.com/@mdisrail2468/a-step-by-step-walk-through-of-an-invalid-endpoint-acfbdc84b209

 

最近、登録後に誰も電話番号を変更できないアプリケーションで。

電話番号を変更するというバイパスに遭遇して。

 

ケーススタディ：

これのターゲットをredact.comと呼ぶことに。

アプリケーションには、ユーザがログインページを介して。

アプリケーションにログインできる新しいユーザー名とパスワードを。

登録できる登録ページがあって。

最後に、WebアプリケーションはOTPを電話番号に送信して確認して。

ここまでは、他のすべてのアプリケーションと同じで。

「マイアカウント」を開設したときは、下記のような感じで。

 

 

他のすべてのアカウント情報ページと同じように見えるものの。

メールアドレスや携帯電話番号のオプションはデフォルトで。

無効になっていることがわかったので。

Inspect Elementを開いて、携帯電話の値を****** 3203 ⇨ ****** 3213に変更して。

 

 

「保存」をクリックすると、「正常に更新されました」と表示されて。

 

 

本当に自分の携帯電話番号を変えたことを確認するためにページをリロードすると。

自分のものではない携帯電話番号が正常に変更されて。

 

Best regards, (^^ゞ