プログラマの日記

サイト開発の記録やバグハントについて

2019-03-14

近況

pixivで2件報告
一件は仕様
もう一件は重複

なかなか厳しい、、、

2019-03-09

cache poisoning

最近以下の記事を読んでキャッシュについて色々調べてました。
portswigger.net

ただレスポンスヘッダのCache-Controlがpublicになっているサイトは少ないですし
仮にあったとしてもクエリパラメータなどのキャッシュキー以外で表示が変わるようなページはなかなか見つからなさそうですが。

2019-02-16

hackeroneで初報奨金

やった！オープンリダイレクトで300ドル貰えた！
死ぬほど嬉しい。対象のプログラムはhyatt hotelです。つーか4000ドルとかの報奨金報告結構あるけどなんだろ。stored xssとかかかな？

2019-01-30

rubyのバグ

最近hackerone見ててなるほどなーって思ったバグ。
rubyの標準ライブラリのNET::FTPで
getbinayfileなどの関数でファイル名の先頭に|が付いてるとコマンドを実行してしまうという脆弱性。
内部でfileでなくkernelのopenを使ってるからですね。
よく見つけるなあ、、、WEB以外のバグ探しも興味あるけど何をしていいのか分からなくて手を付けられない。

2019-01-16

バグ探し飽きた

最近寒いから布団に潜ってマイクラとネットフリックスで映画見て終わってしまう。。。
あとちょっとバグ探しのモチベーションが。。。
続けてる人は凄いと思うし才能だと思う。

2018-12-18

ブレイキングバット

Netflixで先月から観てるのですが、かなり面白い！
もうそろそろ見終わってしまう（今シーズン5の終盤）のですが、最後まで展開が気になるのと同時に
ドラマが終わってしまうのが寂しいです。
メキシコ料理食べたい。。。

2018-12-06

hackeroneでやっと一件見つけた

が、既に7ヶ月前に報告済みの不具合でした。。。セッション絡みの脆弱性だったのですが。
やっぱhackeroneとかbugcrowdは世界中からアクセスがあるから見つけるのなかなか難しそうです。