Hack The World

wargame 에 대한 자세한 설명은 다른 블로그나 글들이 있기에 생략 Level 1 웹사이트에서 검색을 하는 페이지인거같다. 코드를 살펴보면 다음과 같다. page_header = """ """ page_footer = """ """ main_page_markup = """ """ class MainPage(webapp.RequestHandler): def render_string(self, s): self.response.out.write(s) def get(self): # Disable the reflected XSS filter for demonstration purposes self.response.headers.add_header("X-XSS-Protection", "0") if not sel..

이 취약점은 민감한 계정정보(auth_token) 탈취후 계정 인증을 우회한 취약점으로 2500$ 를 포상받은 취약점이다. 해당 사이트는 비공개로 보고서가 올라왔다. 원본 : https://medium.com/@sakyb7/tale-of-account-takeover-sensitive-info-disclosure-broken-access-control-cea0a5e3a1fd Tale of account takeover — Sensitive info Disclosure + Broken Access Control Hi Mates, Myself Md Saqib from India I'm new to this bug hunting community, hope you are doing good. Today I'm..

비밀번호reset 페이지에서 간단한 IDOR 로 $4500 을 받은 리포트 원본:https://medium.com/@swapmaurya20/a-simple-idor-to-account-takeover-88b8a1d2ec24 Original Request:- POST /login/internalResetPasswordSubmit?Toketoken=random_char&m=1234&nid=random_char HTTP/1.1 Host: subdomain.example.com Headers: Etc Cookie: all_required_cookies {“email”:”attacker_account@test.com”,”password”:”new_passwd”,”confirmPassword”:”new_passwd..

미국 주식회사의 사이트인 AT&T 에서 발견된 XSS 인거같다. 원본 : https://medium.com/@godofdarkness.msf/reflected-xss-in-at-t-7f1bdd10d8f7 Reflected XSS In AT&T Hi today. I want to share how i found xss in AT&T. I find subdomain using google dork. medium.com 우선 헌터는 google dork 을 이용하여 서브도메인 site : *.att.com 을 검색하였다. 그결과 ilm.att.com 사이트를 발견하였고 이사이트에서 https://ilm.att.com/bizportal/spp/forgotPassword?loginUrl=https://ilm.aa..

HAWWUL 님께서 만든 XSpear 1.4 버전이 릴리즈 되었네요. https://github.com/hahwul/XSpear hahwul/XSpear Powerfull XSS Scanning and Parameter analysis tool&gem - hahwul/XSpear github.com 참고해보시면 좋을꺼같습니다.