この広告は、90日以上更新していないブログに表示しています。

2019-01-16

バグ探し飽きた

最近寒いから布団に潜ってマイクラとネットフリックスで映画見て終わってしまう。。。
あとちょっとバグ探しのモチベーションが。。。
続けてる人は凄いと思うし才能だと思う。

2018-12-18

ブレイキングバット

Netflixで先月から観てるのですが、かなり面白い！
もうそろそろ見終わってしまう（今シーズン5の終盤）のですが、最後まで展開が気になるのと同時に
ドラマが終わってしまうのが寂しいです。
メキシコ料理食べたい。。。

2018-12-06

hackeroneでやっと一件見つけた

が、既に7ヶ月前に報告済みの不具合でした。。。セッション絡みの脆弱性だったのですが。
やっぱhackeroneとかbugcrowdは世界中からアクセスがあるから見つけるのなかなか難しそうです。

2018-11-14

hackeroneでネガティブの警告をうけた

情報が漏れます系やブラウザが重くなりますみたいな脆弱性ではないやつを報告してたら警告うけてしまった。
やっぱりわかりやすいxssみたいなの探すしか無いか、、、

2018-11-10

hackeroneにflickrが追加された

さっそく探してみる・・・
ない。作りとしては表示するデータの取得や更新など全てAPI経由。
こりゃ厳しいなぁ・・・
んーどうやって見つけるんだ。
API自体のバグ
APIで取得したデータによるXSS
このくらいなのでしょうか?

2018-10-17

IEでjavascriptが開ける環境でのHTMLインジェクションが却下された

www.toyota.comでjsonpしてる処理で特殊文字がエスケープされていなくてX-Content-Type-Options: nosniffも指定されてなくて
IEでimgタグ埋め込めるよーってスクリーンショットも付けたんだけど
やっぱりダメだった。
いまのIE11はパスを細工してもhtmlとして開くことはできないのか、、、

2018-10-13

全然見つからない・・・

bugcrowdにmagicleapが追加されました。
バグがありそうに無い。tokenで認証されなきゃ何も出来ないような作りのサイトって鉄壁だよね。。。
んーどうしたら見つかるのだろうか