単純な Graphql イントロスペクション クエリを使用した $1000 のバグ from infosecwriteups.com security summary Twitter Facebook はてブ Pocket LINE コピー 2023.10.30 infosecwriteups.com$1000 Bug using simple Graphql Introspection query - infosecwriteups.com GraphQL イントロスペクション クエリを使用すると、ユーザーは API 自体をクエリすることで API の機能を発見できます。 クエリには、必要なパスワードを入力できない場合にログインできるリカバリ コードが表示されました。 しかし、サーバーはエラーメッセージを表示し、「パスワード」の入力を求めてきました。 幸いなことに、彼らはバグを認め、報酬として 100 ドルをくれました。 価値。 特に、100 は XML.nnl.conf に基づいています。
コメント