株クエリー開発日記

株式投資情報サイト開発の記録など。

rubyのバグ

最近hackerone見ててなるほどなーって思ったバグ。
rubyの標準ライブラリのNET::FTP
getbinayfileなどの関数でファイル名の先頭に|が付いてるとコマンドを実行してしまうという脆弱性
内部でfileでなくkernelのopenを使ってるからですね。
よく見つけるなあ、、、WEB以外のバグ探しも興味あるけど何をしていいのか分からなくて手を付けられない。

ブレイキングバット

Netflixで先月から観てるのですが、かなり面白い!
もうそろそろ見終わってしまう(今シーズン5の終盤)のですが、最後まで展開が気になるのと同時に
ドラマが終わってしまうのが寂しいです。
メキシコ料理食べたい。。。

hackeroneでやっと一件見つけた

が、既に7ヶ月前に報告済みの不具合でした。。。セッション絡みの脆弱性だったのですが。
やっぱhackeroneとかbugcrowdは世界中からアクセスがあるから見つけるのなかなか難しそうです。

hackeroneでネガティブの警告をうけた

情報が漏れます系やブラウザが重くなりますみたいな脆弱性ではないやつを報告してたら警告うけてしまった。
やっぱりわかりやすいxssみたいなの探すしか無いか、、、

hackeroneにflickrが追加された

さっそく探してみる・・・
ない。作りとしては表示するデータの取得や更新など全てAPI経由。
こりゃ厳しいなぁ・・・
んーどうやって見つけるんだ。
API自体のバグ
APIで取得したデータによるXSS
このくらいなのでしょうか?