バグバウンティ日記 2019年5月7日

※hackerone経由で公式にwebの調査をしています。

やろうとしたこと

  1. JSParserで解析実践
  2. JSParserでhttpsのjs解析
  3. LinkFinderお試し



やったこと

予定急変更。
Burpでの事前調査方法調査。


サブドメイン、ポートスキャンが終わった後、何をするのか?
GET、POST、Cookieなどのリストアップやユーザ入力のリストアップでいいのか?


わからない・・・なんの情報があればいいのかわからない・・・
Burpで見ていてユーザ入力の箇所やPOSTしているところなどでは駄目なのか?


現段階で探し得る脆弱性

  1. XSS
  2. SQLインジェクション
  3. パストラバーサル



Webの脆弱性に関する知識が弱いのがいけないのか?
入力が起因するものなので、入力の箇所を探すだけではいけないのか?


このステージから次にいけてない気がする。
どうしよう。


読んでみようという記事

medium.com



medium.com



次やりたいこと

サブドメイン、ポートスキャン、その先。