security summary この300ドルのスワロフスキーイヤホンは私の好みではないが、その音質には夢中だ from zdnet.com
報道によると、「Moto Buds Loop」イヤホンはキラキラ感満載で、価格は300ドル(70ドル強)とのこと。イヤホンにはクリスタルコーティングが施されており、イヤホンというよりイヤリングのように見える。特筆すべきは、ボーカルのゲディー...
2025-08
security summary 無害なメッセージから完全な乗っ取りまで: プロフェッショナル ネットワークをハッキングした方法 from infosecwriteups.com
Redacted.com:ハッカーのペルソナ redactedのチャットシステムをテストするために、アカウント1(アトラクター)とアカウント2(「被害者」)の2つのアカウントを作成しました。1つ目は、サニタイズ処理を施さずにHTMLペイロー...
security summary IDORはWeb3プログラムでゼロクリックアカウントの乗っ取りを許可します from infosecwriteups.com
.comでゼロクリックアカウント乗っ取りを発見し、target.comというプログラムに登録しました。メールアドレスと電話番号を確認したところ、サーバー側は確認なしに他の番号を受け付けてしまったので、リクエストのIDフィールドを別のアカウン...
security summary Hack The Boxのヘッドレスハッキング:OSCP準備 from infosecwriteups.com
Hack The Boxの「Hacking Headless: OSCP Prep Recon, Exploration and Privilege Escalation」。これはhacktheboxプラットフォーム上のEasy boxです...
security summary 認証をバイパスしたい場合はJWTについて学んでください from infosecwriteups.com
IiwiWiH7SmqJWTは、二者間のクレームをアセット化するために使用されるWebトークン形式です。JSON Web Tokenの略で、JSONWebToken(JWT)の構造を定義するRFC 7519で定義されています。JWTトークン...
小さなオープンリダイレクトの欠陥がどのようにして1,000ドルのrXSSの報酬になったのか from infosecwriteups.com
HackerOneは、オープンリダイレクトURLにrXSS攻撃につながる小さな脆弱性を発見しました。この脆弱性は、6ヶ月前からバグが修正されていなかった別のプラットフォームでこのバグを検索した後に発見されました。この欠陥を発見して修正するの...
security summary Linktree ユーザー名検証バイパス:先頭スペースによる隠れた脅威 from infosecwriteups.com
Linktree のユーザーシステムにおけるセキュリティテスト中に、先頭にスペースがあるユーザー名の登録を可能にする入力検証バイパスを発見しました。これは、なりすましやソーシャルエンジニアリング攻撃に悪用されたと報告されています。バックエン...
security summary メールアドレスフィールドだけで500ドルのバグをハッキングする方法 from infosecwriteups.com
メールアドレスフィールドだけを使って、500ドルの賞金を獲得しました。メールアドレスフィールドのハッキングには15分しかかからず、プログラミングスキルは一切不要でした。ユーザーは安全で適切な形式のアドレスのみを入力するだろうという、メールア...
security summary 保存型DOM XSS:ブログコメントに潜む脅威 from infosecwriteups.com
ストアドDOMXSSは、悪意のあるスクリプトがサーバー(通常はバックエンドJavaScript)上に永続的に保存されるクロスサイトスクリプティングの一種です。これらのスクリプトは、適切なサニタイズ処理を行わずに、クライアント側のJavaSc...
security summary 偽装されたCSRF:トラッキングピクセルを使ってスパイのようにユーザー行動を盗む方法 from infosecwriteups.com
透明人間になる代わりに、1×1ピクセルの画像とCSRFの設定ミスを隠しました。gau(ガウ)やwaybackurlsなどのツールを使って、インターネットを掃除機で掃除するかのように、すべてのサブドメインからエンドポイントポイントを抜き出し始...