メールドメインサフィックス操作による認証バイパス 数か月前、自分のアプリケーションのフロントエンドに、他のユーザーのアプリケーションにアクセスできてしまうという興味深いバグを発見しました。
この問題は、ドメイン名をbishal@redacted_comからbishal0x01 (bugcrowdninja).netに変更することで解決しました。
ドメイン名は正常に登録され、管理者としてCRUD操作を実行することもできました。
SQLインジェクション、IDOR、デフォルトのログイン認証情報、blindXSSといった、認証攻撃のバイパスにつながる可能性のあるバグも報告されています。
コメント