ThisIsOne https://blog.hatena.ne.jp/ThisIsOne/ Shikata Ga Nai https://cysec148.hatenablog.com/ Web Security Academy 脆弱性報告レポート Hello there, ('ω')ノ 🛠 脆弱性報告レポート タイトル: Insecure Direct Object Reference によるチャットログからのパスワード漏洩 ✅ 概要（Summary） チャットログ閲覧機能が 連番ファイル名を直接指定できる静的 URL で管理されており、他ユーザのトランスクリプトにアクセス可能。これによりユーザ carlos のパスワードを入手し、アカウントへ不正ログインが可能。 🔁 再現手順（Steps） https://<LAB-ID>.web-security-academy.net にアクセス 「Live chat」から任意のメッセージ送信後「… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fcysec148.hatenablog.com%2Fentry%2F2025%2F08%2F30%2F062926" title="【有料試作版】Lab: Insecure direct object references に対する脆弱性報告レポート - Shikata Ga Nai" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2025-08-30 06:29:26 rich https://cysec148.hatenablog.com/entry/2025/08/30/062926 1.0 100%