# bugbounty memo # 思いつき - エラーでjavascript吐いてるやつはXSSとかの可能性アリ？ - サニタイズ不足を探した - 選択肢的の結果を出力とかする場合、にXSSの可能性 - 単純なアクセス制御、HOSTタグリクエストのプロキシ先等 - リクエストのタイミングで他にも渡せる値はあるか。 - snsのアカウント連携時にアカウント名のスクリプト発火する。(連携時の環境調査見えてくるかも) - 手動でアクセスの動き、パラメータを確認していく <script></script> <iframe></iframe> <img onerror> <svg onload></svg> ## csrfフォームテンプレ ``` html <form id="csrf_form" action="https://www.paypal.com/~" method="post"> <input type="hidden" name="seller_customized_message" value=""> <input type="hidden" name="chars_left" value=""> <input type="hidden" name="form_charset" value=""> <input type="hidden" name="submit.x" value=""> </form> <script>document.getElementById('csrf_form').submit();</script> ``` # 見るとこ - アカウントマイページの設定におけるcsrf、idor、xss、csti / ssti https://www.r29k.com/articles/bb/csrf - idとか個別認識のやつ書き換えによる脆弱性IDOR https://blog.mert.ninja/twitter-hpp-vulnerability/ - タイトルにXSS https://josipfranjkovic.blogspot.com/2013/01/googlecom-cross-site-scripting-and.html - 単純にCSRF。csrfテンプレに使えそう。 https://josipfranjkovic.blogspot.com/2013/01/googlecom-cross-site-scripting-and.html - ブラックリストによるhtmlエスケープの回避(evasion) + <fn></fn>によるスクリプトロード https://whitton.io/archive/persistent-xss-on-myworld-ebay-com/ - 自分の管理画面から他のユーザの情報変えられる系 https://whitton.io/articles/hijacking-a-facebook-account-with-sms/ - エラー時のリダイレクト先を書き換え https://bitquark.co.uk/blog/2013/07/03/amazon_packaging_feedback_xss - セキュリティ的にクリティカルでなくともポリシーによっては報告に値するものもある https://josipfranjkovic.blogspot.com/2013/07/how-i-found-my-way-into-instagrams.html - データは引き出せなくとも、ある程度任意のSQL文が書ければ時間ベースのSQLiはできる？ https://josipfranjkovic.blogspot.com/2013/07/sql-injections-in-nokia-sites.html - コンテンツタイプヘッダの誤 https://whitton.io/articles/content-types-and-xss-facebook-studio/ - アクセス側から見えるapiの仕様の問題(やっぱモバイルアプリは狙いどころ？) https://whitton.io/articles/instagrams-one-click-privacy-switch/ # Database ## XSS - https://www.cgisecurity.com/xss-faq.html ## SQLi - https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/ # tips - [Time-Based Blind SQL Injection with Heavy Queries | Microsoft Docs](https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc512676(v=technet.10)?redirectedfrom=MSDN) # 分からん - [Stealing Facebook Access Tokens with a Double Submit – Jack](https://whitton.io/articles/stealing-facebook-access-tokens-with-a-double-submit/)