Googleのサブドメインに「アカウント事前ハイジャック」の脆弱性があり、ユーザーはメールアドレスの確認やレート制限なしでアカウントを作成できました。
攻撃者は、カートの事前入力、スパム、住所変更、さらにはGraphQLミューテーション技術を使用して、ユーザーの操作を必要とせずにカートの事前入力を行うことさえできました。
この脆弱性は最終的に修正され、VRPパネルはベンダーによる操作と判断しましたが、バグは解決されました!「面白そう…変わったフローを試してみたよ。
」
Gmail ユーザー全員(Google 社員も含む)に影響するアカウント乗っ取りの事前報告方法 – 私のバグ… from infosecwriteups.com
security summaryGoogleのサブドメインに「アカウント事前ハイジャック」の脆弱性があり、ユーザーはメールアドレスの確認やレート制限なしでアカウントを作成できました。
攻撃者は、カートの事前入力、スパム、住所変更、さらにはGraphQLミューテーション技術を使用して、ユーザーの操作を必要とせずにカートの事前入力を行うことさえできました。
この脆弱性は最終的に修正され、VRPパネルはベンダーによる操作と判断しましたが、バグは解決されました!「面白そう…変わったフローを試してみたよ。
」
コメント