Hack The World

미국 주식회사의 사이트인 AT&T 에서 발견된 XSS 인거같다. 원본 : https://medium.com/@godofdarkness.msf/reflected-xss-in-at-t-7f1bdd10d8f7 Reflected XSS In AT&T Hi today. I want to share how i found xss in AT&T. I find subdomain using google dork. medium.com 우선 헌터는 google dork 을 이용하여 서브도메인 site : *.att.com 을 검색하였다. 그결과 ilm.att.com 사이트를 발견하였고 이사이트에서 https://ilm.att.com/bizportal/spp/forgotPassword?loginUrl=https://ilm.aa..

https://appsecure.security/blog/how-i-could-have-hacked-your-uber-account How I could have hacked your Uber account This post is about an account takeover vulnerability on Uber which allowed attackers to takeover any other user’s Uber account (including riders, partners, eats) accounts by supplying user uuid in the API request and using the leaked token in the API respo appsecure.security 우버 에서 ..

https://medium.com/bugbountywriteup/how-i-discovered-an-interesting-account-takeover-flaw-18a7fb1e5359 How I discovered an interesting account takeover flaw? Hi everyone, today I will talk about an interesting account takeover flaw which I found around a year back. The root cause of this issue… medium.com 패스워드 토큰 관련 취약점인거 같다 일반적으로 사이트에서 패스워드 비밀번호를 찾을때 다음과 같이 토큰이 많이 오게된다. 하지만 토큰은 대부분 일회성값으로 무작위값이..

https://medium.com/@shahjerry33/password-reset-token-leak-via-referrer-2e622500c2c1 Password Reset Token Leak Via Referrer Summary : medium.com 최근에 버그바운티 사이트에서 동일 취약점을 찾았는데 취약점으로 인정해주진 않은 취약점이다. 패스워드 리셋 메일을 받았을때 reset 토큰이 url에 노출되 referer 헤더에 그대로 노출되는 취약점이다. 1.Go to any website that has password reset functionality 2. Add your email and click on send. It will send the password reset link to your..