Study/Bugbounty Study
-
[Bugbounty Study] #Account TakeoverStudy/Bugbounty Study 2021. 3. 6. 02:12
# Account Takeover Due to Response Manipulation _ \$4100 avanishpathak46.medium.com/an-account-takeover-vulnerability-due-to-response-manipulation-e23fe629bd1 An Account Takeover Vulnerability Due to Response Manipulation. - No doesn’t necessarily mean no.! Responses can always be manipulated avanishpathak46.medium.com 원작자는 해당 타겟 사이트에서 이전에도 Account Takeover 취약점을 발견한 이력이 있다. 우선, 이전 글을 살펴보자. Accou..
-
[Bugbounty Study] #iCloud _ Stored XSSStudy/Bugbounty Study 2021. 2. 23. 00:26
# icloud.com Stored XSS _ \$5000 vbharad.medium.com/stored-xss-in-icloud-com-5000-998b8c4b2075 Stored XSS in icloud.com — $5000 Hello Guys hope you all are doing well, fine and healthy during this hard time. vbharad.medium.com 원작자는 icloud.com을 타겟으로 정한 후, CSRF, IDOR, Logic Bugs 등의 취약점을 찾기 위해 노력하다 XSS를 찾기로 결정하였다. 값을 삽입할 수 있는 다양한 곳에 페이로드를 삽입하면서 입력한 페이로드가 응답에 반영되는 페이지를 찾기 위해 많은 시도를 하였고, 결국 페이로드가 반영되..
-
[Bugbounty Study] #OTP Bypass Account TakeoverStudy/Bugbounty Study 2021. 2. 8. 19:49
# Otp Bypass Account Takeover logicbomb-1.medium.com/otp-bypass-account-takeover-to-admin-panel-ft-header-injection-16f2982a0136 OTP Bypass Account Takeover to Admin Panel — Ft. Header Injection It looks like this year has great promises at least the starting is good. Already 3 bug bounty in the pipeline(just showing off:P) and… logicbomb-1.medium.com 타겟은 정확하게 밝히지 않았고, OTP 인증이 구현되어 있는 온라인 교육 플랫폼..
-
[Bugbounty Study] #Vimeo _ SSRFStudy/Bugbounty Study 2021. 1. 27. 20:53
# uploading process SSRF _ \$100 + \$4,900 medium.com/@dPhoeniixx/vimeo-upload-function-ssrf-7466d8630437 Vimeo upload function SSRF TL;DR medium.com 해당 글은 Vimeo 동영상 업로드 과정에서의 SSRF 취약점에 대한 글이다. 이 취약점 제보를 통해 총 두 번의 Bounty를 받았다. 해당 글의 타겟인 Vimeo는 직접 제작한 동영상을 업로드 및 공유할 수 있는 사이트로, 로컬에 저장되어 있는 파일뿐만 아니라 드롭박스나 Google Drive 등 다양한 방식으로 업로드할 수 있다. BurpSuite를 이용하여 Google Drive로의 동영상 업로드 요청을 확인하였다. 동영상 파일이 저..
-
[Bugbounty Study] #GitHub _ Account TakeoverStudy/Bugbounty Study 2021. 1. 20. 04:50
# GitHub Account Takeover _ \$5,000 abss.me/posts/github-org-takeover/ Github Organization Takeover By Claiming Owner Invitation TL;DR courtesy - https://bounty.github.com/researchers/Abss0x7tbh.html A malicious user could leverage 3 things to takeover a Github Organization : An invitation to owner from the organization. abss.me 해당 취약점은 2017. 11. 17에 제보한 것이다. [TL;DR] 요약하자면, GitHub에서 그룹의 팀원을 이메일로..