パラメータスワップパーティーみたいなことをしていた時に、HTTPメソッドを反転させてアプリを通過させようとしたら、ユーザーデータが漏洩し、アプリのセキュリティがダクトテープで補強されているように見えてしまいました。
\”POST\” というエンドポイントは、サブドメインからユーザー情報を取得するために使われています。
ユーザー名とパスワードが新しいウィンドウに表示されます。
これが、Flipping?1002 によって認証が突破され、マルウェアに感染し、まるで403エラーが「私に何か借りがある」かのように表示されるようになった経緯です。
コメント