Hello there, ('ω')ノ

 

わずか10分で100ドルを手に入れる方法！を。

 

脆弱性：

　レースコンディション

 

記事：

　https://jodyritonga.medium.com/how-i-get-100-in-just-10-minutes-b018b28645ce

 

今回は、Web アプリケーションの簡単な機能をテストして。

10 分ほどで 100 ドルを手に入れた方法を。

簡単に説明すると、この Web アプリケーションは、仕事やつながりを検索したり。

会社に関する最新ニュースを読んだりできるlinkedin のようなもので。

 

この Web アプリケーション Redacted.com として。

最初に会社の Web アプリケーションにアクセスしたとき。

通常、レート制限なしとポイズン ヘッダー インジェクションを探し。

しかし、その機能には運がなく。

 

そして、自分の方法論は、これら2つのバグが見つからない場合は。

他の通常のユーザと同じようにWebサイトを使用して。

すべての要求と機能を理解しようとすることで。

その後、投稿したり、他の人のコメントを気に入ったりできる機能が表示され。

頭の中でlikeボタンを見たらいいねと。

 

なので、Burp Suiteを起動してインターセプトをオンにして。

この種のリクエストを取得して。

 

 

その後、このリクエストをイントルーダに送信し。

ちなみに、このバグを見つけたとき、ターボイントルーダについて知らなかったので。

古い伝統的なBurp Intruderをまだ使用していて。

Intruderに送信した後、ペイロードを100リクエストでnullペイロードに設定し。

リソースプールもこれに設定して。

その後、リクエストを送信すると、リクエストは次のようになり。

 

そして、「ダブルレスポンスだで、それ働いているか、 競合状態はあるか」を。

そして、投稿をチェックして。

 

 

すると、 like には負の値があって。 

 

 

Best regards, (^^ゞ