GraphQL イントロスペクション クエリを使用すると、ユーザーは API 自体をクエリすることで API の機能を発見できます。
クエリには、必要なパスワードを入力できない場合にログインできるリカバリ コードが表示されました。
しかし、サーバーはエラーメッセージを表示し、「パスワード」の入力を求めてきました。
幸いなことに、彼らはバグを認め、報酬として 100 ドルをくれました。
価値。
特に、100 は XML.nnl.conf に基づいています。
単純な Graphql イントロスペクション クエリを使用した $1000 のバグ from infosecwriteups.com
security summaryGraphQL イントロスペクション クエリを使用すると、ユーザーは API 自体をクエリすることで API の機能を発見できます。
クエリには、必要なパスワードを入力できない場合にログインできるリカバリ コードが表示されました。
しかし、サーバーはエラーメッセージを表示し、「パスワード」の入力を求めてきました。
幸いなことに、彼らはバグを認め、報酬として 100 ドルをくれました。
価値。
特に、100 は XML.nnl.conf に基づいています。
コメント