security summary バグ報奨金プログラムの危険信号トップ 5 from infosecwriteups.com
バグ報奨金プログラムの危険信号トップ 5 の中には、報酬が低く、対応期間が短いケースがいくつかあります。最初の赤い線は、研究者の応答時間が最低支払額よりも短いことを示していますが、2 番目の赤い線はそれより長いです。一般に、プログラムの支払...
2023-10
security summary 
security summary $1120: Twitter の ATO バグ from infosecwriteups.com
Twitter のセキュリティ上の欠陥により、ハッカーはパスワードを知らなくてもアカウントの完全な制御を盗むことができました。このバグは 2020 年 10 月に発見されました。このバグにより、アカウントのパスワードを知らないハッカーがログ...
ChatGPT: ペネトレーションテスターのための究極のツール — SecurityCipher from infosecwriteups.com
ChatGPT は、セキュリティ テスト プロセスの自動化と合理化に役立つ自然言語処理テクノロジです。フォレンジック テストの結果に関するレポートを生成し、さらなるアクションのための推奨事項を提供できます。 Chat GPT は、ユーザーが...
security summary CSP バイパスを使用した Oauth コールバック URL の XSS により、ゼロクリックでアカウントが乗っ取られる from infosecwriteups.com
GitHub のコールバック URL が XSS 攻撃によって侵害され、不正な Web アプリケーションへのアクセスを許可するコンテンツ セキュリティ ポリシー (CSP) の脆弱性が露呈したと報告されています。エラー ページには「AUTH...
影をナビゲートする: ダークウェブの法的状況への入門探究 from infosecwriteups.com
ダークウェブは、標準の検索エンジンから意図的に隠されたインターネットの一部です。個人やグループは Web を使用して安全にコミュニケーションをとり、内部告発者は機密情報をジャーナリストに送信できます。ダークネットの合法的な使用には、プライバ...
security summary ターゲットを選択した後は何をすればよいですか?パート01 |バグ報奨金 from infosecwriteups.com
「Bug Bounty」は、Web サイトやソフトウェアのセキュリティ上の問題を見つけて修正し、より安全にする報酬プログラムです。このプログラムは、悪質なハッカーが悪用する前に企業がこれらの問題を解決できるよう支援する人々に報酬を支払います...
security summary CTBB ポッドキャスト — 攻撃ベクトルのアイデア from infosecwriteups.com
人間としてアプリケーションを使用すると、アプリケーションの概要と実行できない機能の概要を把握するのに役立ちます。アプリケーションにはログイン後に無効になる管理機能がありましたが、UI にエラー メッセージが表示されました。これは、「高い権限...
security summary CSRF に連鎖する Web キャッシュの欺瞞、レシピ from infosecwriteups.com
Web キャッシュの欺瞞は「キャッシュ ポイズニング」に基づいており、ハッカーが電子商取引ユーザーの配送先アドレスなどの機密情報にアクセスできるようになります。攻撃者はリンクをクリックすることで被害者の個人情報にアクセスでき、これにより応答...
security summary バグ報奨金の ChatGPT: 自動化のためのトッププロンプト from infosecwriteups.com
ChatGPT は、研究者が資産の発見と脆弱性の検出のための独自の単語リストを作成するのに役立ちます。このツールの知識は 2022 年までしか延長されませんが、バグ報奨金ツールの自動化に関するアイデアを生み出すのに役立ちます。また、プログラ...
security summary アカマイバイパス!高度な XSS。 from infosecwriteups.com
「javascript:alert(1)」関数は、ブルート フォース試行で Web アプリケーション ファイアウォール (WAF) によってブロックされました。この関数は、JavaScript 変数によって作成された URI をデコードし、...