2019-02-16 hackeroneで初報奨金 やった!オープンリダイレクトで300ドル貰えた! 死ぬほど嬉しい。対象のプログラムはhyatt hotelです。つーか4000ドルとかの報奨金報告結構あるけどなんだろ。stored xssとかかかな?
2019-01-30 rubyのバグ 最近hackerone見ててなるほどなーって思ったバグ。 rubyの標準ライブラリのNET::FTPで getbinayfileなどの関数でファイル名の先頭に|が付いてるとコマンドを実行してしまうという脆弱性。 内部でfileでなくkernelのopenを使ってるからですね。 よく見つけるなあ、、、WEB以外のバグ探しも興味あるけど何をしていいのか分からなくて手を付けられない。
2019-01-16 バグ探し飽きた 最近寒いから布団に潜ってマイクラとネットフリックスで映画見て終わってしまう。。。 あとちょっとバグ探しのモチベーションが。。。 続けてる人は凄いと思うし才能だと思う。
2018-12-18 ブレイキングバット Netflixで先月から観てるのですが、かなり面白い! もうそろそろ見終わってしまう(今シーズン5の終盤)のですが、最後まで展開が気になるのと同時に ドラマが終わってしまうのが寂しいです。 メキシコ料理食べたい。。。
2018-12-06 hackeroneでやっと一件見つけた が、既に7ヶ月前に報告済みの不具合でした。。。セッション絡みの脆弱性だったのですが。 やっぱhackeroneとかbugcrowdは世界中からアクセスがあるから見つけるのなかなか難しそうです。
2018-11-14 hackeroneでネガティブの警告をうけた 情報が漏れます系やブラウザが重くなりますみたいな脆弱性ではないやつを報告してたら警告うけてしまった。 やっぱりわかりやすいxssみたいなの探すしか無いか、、、
2018-11-10 hackeroneにflickrが追加された さっそく探してみる・・・ ない。作りとしては表示するデータの取得や更新など全てAPI経由。 こりゃ厳しいなぁ・・・ んーどうやって見つけるんだ。 API自体のバグ APIで取得したデータによるXSS このくらいなのでしょうか?