株クエリー開発日記

株式投資情報サイト開発の記録など。

脆弱性は見つからなかったけど報告したらポイントもらえた

またまたbugcrowedでバグ探し。
XSS以外の脆弱性の見付け方が知りたいです。

で、パラメータで任意のurlを渡せるページがありCSP対策されていたのですが、
IEとEDGEでは外部リソースにアクセス出来たので駄目元で報告したらポイントだけ貰えました。

pdfのリダイレクト

グループウェア上でリダイレクト処理を施したPDFファイルをメッセージに添付して、それを読む人がプレビューすると任意のサイトにリダイレクトしてしまう現象を見つけた。
pdfにはアクションというのがあってその中にリダイレクトするURLアクションがあるんだけど
chromeの内蔵pdfビューワは対応してるみたいですね。当たり前ですがファイル呼び出しアクションは未対応でした。
で、報告したら脆弱性じゃないって言われてモヤモヤしてます。
オープンリダイレクトとは違うの?質問したら
攻撃のハードルが高く個人情報が漏れないから脆弱性ではないみたい。

開発が止まっています

なんだろう
やる気が全くしない。
svgでチャート描いたり
色々やんなきゃいけないんだけど
そんなことでアクセス増えそうもないし
日経が上がり続けてるけど蚊帳の外で
株高のニュースを観るのも死ぬほど悔しいし
何にもやる気しない
Huluで海外ドラマとか観てる

たらればを言いたい

相場にたらればは無いのですが、言わせて下さい。
私はあと少しで億れた。


ミクシィ1000円で50万円分買って2700円で売ってしまった。
→そのまま持っていれば20倍として1000万円

スパイア100万円分買ってすぐ売ってしまった。
スパイアは合併し、のちにユナイテッドに。
→ユナイテッドは10倍になった

2014年ぐらいにアイスタイル100万円分買ったがすぐ売ってしまった。
→のちに5倍ぐらい上がった。

2015年ぐらいにFVCを50万円分買った。すぐに売ってしまった。
→15倍ぐらいになった

嗚呼たらればたられば
ちくしょー

アクション名

メモる。

ハッシュは単数形
配列は複数形

コントローラーは名詞
アクション名は動詞_名詞

取得系のメソッド名
get 直接的な、近いイメージ
find 対象はひとつ
search 条件が多い感じ
seek 物ではないものを探すとき
lookfor 物や人

設定系のメソッド名
update
set
modify
edit
renew

登録系のメソッド名
put
register
add
signup
import

保存系のメソッド名
save
export
output
write

終了系のメソッド名
destory
cleanup
terminate
teardown

走査系のメソッド名
read
retrieve
extract
sweep
scan
accumulate
aggregate
garner



レコード
item
record
row