プログラマの日記

サイト開発の記録やバグハントについて

脆弱性は見つからなかったけど報告したらポイントもらえた

またまたbugcrowedでバグ探し。
XSS以外の脆弱性の見付け方が知りたいです。

で、パラメータで任意のurlを渡せるページがありCSP対策されていたのですが、
IEとEDGEでは外部リソースにアクセス出来たので駄目元で報告したらポイントだけ貰えました。

pdfのリダイレクト

グループウェア上でリダイレクト処理を施したPDFファイルをメッセージに添付して、それを読む人がプレビューすると任意のサイトにリダイレクトしてしまう現象を見つけた。
pdfにはアクションというのがあってその中にリダイレクトするURLアクションがあるんだけど
chromeの内蔵pdfビューワは対応してるみたいですね。当たり前ですがファイル呼び出しアクションは未対応でした。
で、報告したら脆弱性じゃないって言われてモヤモヤしてます。
オープンリダイレクトとは違うの?質問したら
攻撃のハードルが高く個人情報が漏れないから脆弱性ではないみたい。

開発が止まっています

なんだろう
やる気が全くしない。
svgでチャート描いたり
色々やんなきゃいけないんだけど
そんなことでアクセス増えそうもないし
日経が上がり続けてるけど蚊帳の外で
株高のニュースを観るのも死ぬほど悔しいし
何にもやる気しない
Huluで海外ドラマとか観てる

たらればを言いたい

相場にたらればは無いのですが、言わせて下さい。
私はあと少しで億れた。


ミクシィ1000円で50万円分買って2700円で売ってしまった。
→そのまま持っていれば20倍として1000万円

スパイア100万円分買ってすぐ売ってしまった。
スパイアは合併し、のちにユナイテッドに。
→ユナイテッドは10倍になった

2014年ぐらいにアイスタイル100万円分買ったがすぐ売ってしまった。
→のちに5倍ぐらい上がった。

2015年ぐらいにFVCを50万円分買った。すぐに売ってしまった。
→15倍ぐらいになった

嗚呼たらればたられば
ちくしょー