hackeroneでインシデント
https://hackerone.com/reports/745324
20000ドル!羨ましい。
hackeroneスタッフが間違ってセッションクッキーを含むpayloadをメッセージに含めちゃったらしい。
これよく気付いたなあ。
dom clobbering
https://research.securitum.com/xss-in-amp4email-dom-clobbering/
そもそもこんなサービスあるの知らなかった。
しかしdom clobberingができるようなサイトってほとんど無くない?という印象。
dockerは環境構築に使えそう
いままでWindows上にVirtualBoxで仮想環境作って
webサーバー入れたり、ツール入れたりしてたんだけど
複雑な構成を色々試したいとき
docker使えばかなり楽になりそう。
Verizon Media
って報奨金の支払い総額が圧倒的に多いのですが
ニュース系のサイトでそんなにバグあるかぁ?
対象のドメインはかなり多いけど
HTTP Request Smuggling
HTTP Request Smuggling という攻撃。
フロントエンドとバックエンドの解釈の違いによって攻撃できるのは理解できたのだけど
他のユーザーの通信に割り込んだりできるの?
ついに見つけた
某チャットアプリのバグ。
しかも認定された!報奨金思ったより少ないけど。
サイボウズ始めました
検証環境提供プログラムに申し込んでサイボウズ製品のテストができるようになった!
が、もう取り尽くされててバグ残っていないんじゃないかという不安が、、、
追記
普通によくあるバグがあるらしい、、、