Hello there, ('ω')ノ
プライベートバグバウンティプログラムでの基本認証による2FAバイパスを。
脆弱性:
2FA
記事:
基本認証による2FAバイパス
今回は、アプリケーションで2FAバイパスを含むいくつかのバグを見つけ。
その他のバグを探していて。
.html、.aspx、.js、、phpなどのさまざまな拡張子を既存のページに。
追加しようとしているときに、突然基本認証のポップアップが表示されたので。
プログラムに「example.com/edit」というURLがある場合は。
それを「example.com/edit.aspx」に変更するだけで、アプリケーションで。
非表示になっている基本認証がポップアップ表示されて。
最初に頭に浮かんだのは、ユーザの資格情報を試して。
受け入れられているかどうかを確認することで。
クレデンシャルを入力するとすぐに、アカウントは正常にログインし。
アカウントで有効になっている2FAをバイパスすることができて。
このアプリケーションにはAPIキーがなかったため。
有効なログイン資格情報しか試すことができないことは明らかでて。
これを報告し、重大度の高いバグとしてトリアージされて。
Best regards, (^^ゞ