U3nerd https://blog.hatena.ne.jp/U3nerd/ The light of hope to the other side of the tunnel - Kotsu Kotsu To - https://u3nerd.hatenablog.com/ Bug Report ソース： medium.com 脆弱性：API 訳： このアプリケーションの管理者アカウントをどのようにして制御できるようになったのかについて、簡単な話をしたいと思います。 作業範囲は、target.com と呼ぶこのページで 。 それは空のログインページで。 まずはファジングから始めました。 Dirsearch/Gobuster/Waybackurls では何も得られなくて。パラメータを手動で入力しようとしましたが、何もなく。 Burp Suite で遊び始めたのですが、ここからが面白くなってきました。 ログインしてみて: パスワードをリセットしてみました: さまざまな電子メールを試すことが… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fu3nerd.hatenablog.com%2Fentry%2F2023%2F10%2F24%2F092428" title="Full account takeover — Never give up　から学ぶ - The light of hope to the other side of the tunnel - Kotsu Kotsu To -" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/U/U3nerd/20231024/20231024091838.png Hatena Blog https://hatena.blog 2023-10-24 09:24:28 rich https://u3nerd.hatenablog.com/entry/2023/10/24/092428 1.0 100%