Hello there, ('ω')ノ

 

素晴らしい週末のハック (8,000 ドル相当)を。

 

脆弱性：

　SQL インジェクション

　IDOR

　保存された XSS

 

記事：

　https://infosecwriteups.com/a-great-weekend-hack-worth-8k-9bfda8ab65b9

 

下記が今回、見つけたバグで。

　SQL インジェクション

　保存された XSS

　IDOR (読み取り専用)

 

SQL インジェクション：

これらの SQL インジェクションは、Burp Suiteの MATCH & REPLACE 機能から。

見つけたエラー ベースの SQL インジェクションで。

それが何かわからない場合は、次のようになり。

 

 

ここで、ご覧のとおり、param 値と他の多くのものを定義して。

目的の入力に一致させて置き換えることができ。

たとえば、パラメータ値を変更する必要があるパラメータ値の項目を追加し。

test > test' で結果が得られて。

 

match and replace がそれを見つけると、Burp自体で別の反応を見ることができ。

詳細については、次のようになり。

 

 

リクエストを切り替えると、結果が得られ。

その後、それを SQLmap に送信したところ、そこからデータを取得でき。

どのように見えるかを説明する必要はなく。

 

2 回目の SQL インジェクションも同じように発生し。

今回は test の代わりに test'' を追加しただけで、さらにエスカレートして。

データをダンプできる別のエンドポイントで発生して。

ただし、このために複数の非常に才能のある SRT と連絡を取る必要があって。

 

保存された XSS：

それらのうちの 2 つを取得し、両方を獲得し。

これらの XSS は非常に単純で、まっすぐ進み。

入力フィールドでこのペイロードを 2 回使用する必要があり。

いくつか試してみましたが、うまくいきませんでしたが、これはうまくいって。

JS出力を見ていくつかのフィルタをバイパスする必要があり、それが反映されて。

 

　‘><input autofocus onfocus=alert(1)>

 

これは 2 回発生し、autofocus 属性を使用して JS を反映する有名な XSS であるため。

同じペイロードの XSS が 30 ～ 35 件以上報告されていると思われて。

 

IDOR：

ID が変わった他の人のデータを見ることができ。

2 か所で見つかりましたが、受け入れられたのは 1 つのレポートだけで。

IDOR はかなり一般的であり、今でもあちこちで見られ。

これには、Burpの拡張機能である AutoRepeater を使用し。

これには、ものを一致させて置き換えるオプションもあって。

 

 

ヒント：

マッチングと置換機能を使用して、バウンティでゲームを自動化し。

最も重要なことは次のとおりで。

ここには新しいものは何もありませんでしたが、そこから得られるものは。

時間をかけてすべてをチェックすることで。

 

Best regards, (^^ゞ