株クエリー開発日記

株式投資情報サイト開発の記録など。

hackeroneにflickrが追加された

さっそく探してみる・・・
ない。作りとしては表示するデータの取得や更新など全てAPI経由。
こりゃ厳しいなぁ・・・
んーどうやって見つけるんだ。
API自体のバグ
APIで取得したデータによるXSS
このくらいなのでしょうか?

IEでjavascriptが開ける環境でのHTMLインジェクションが却下された

www.toyota.comでjsonpしてる処理で特殊文字エスケープされていなくてX-Content-Type-Options: nosniffも指定されてなくて
IEでimgタグ埋め込めるよーってスクリーンショットも付けたんだけど
やっぱりダメだった。
いまのIE11はパスを細工してもhtmlとして開くことはできないのか、、、

全然見つからない・・・

bugcrowdにmagicleapが追加されました。
バグがありそうに無い。tokenで認証されなきゃ何も出来ないような作りのサイトって鉄壁だよね。。。
んーどうしたら見つかるのだろうか