GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog

2023/07/31 16 users GitHub SSRF セキュリティエンジニア ryotak

はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回... 続きを読む

様々なサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング | yamory Blog

2020/12/04 16 users yamory Blog サイバー攻撃 PoC http 解釈

CVE-2019-15605 は、Node.js で使われている http-parser、llhttp の Transfer-Encoding の解釈の部分に問題があるために、HTTP リクエストスマグリングを引き起こす可能性があるとされています。 こちらの HackerOneのレポートに詳細に解説された PDF と再現させるための PoC コードが用意されています。 PoC コードの... 続きを読む

LINE、脆弱性報奨金プログラムのプラットフォームをHackerOneに移行 - ケータイ Watch

2019/11/16 11 users プラットフォーム 移行 ケータイ Watch line

続きを読む

脆弱性報奨金の実態は？ 「バグバウンティ」に関するHackerOneの調査報告書【海外セキュリティ】 - INTERNET Watch

2018/07/31 33 users バグバウンティ INTERNET Watch 実態

続きを読む

Valveが、脆弱性を発見したハッカーに報奨金を贈るプログラム開始。ただし本社オフィスへの物理攻撃は脆弱性から除外 | AUTOMATON

2018/05/13 84 users SteamOS AUTOMATON Valve クリティカル

ValveはSteamや自社のゲームやサーバー、SteamOSなどの関連サービスの脆弱性を発見したハッカーに対し報奨金を支払うプログラムを開始したようだ。 Hackerone により判明している。報奨金は脆弱性のレベルに応じて、最低は脆弱性“低”の0～200ドルから、最大は脆弱性“クリティカル”の1500ドル以上（上限金額設定なし）となっている。 Valveとハッカーをめぐっては、2年前に16歳の... 続きを読む

Ruby の新しいバージョンのリリースでやったことまとめ - HsbtDiary(2018-03-29)

2018/03/29 31 users リリース cgi-bin ruby-core Ruby 報告

Ruby の新しいバージョンのリリースでやったことまとめ Ruby 2.2.10, 2.3.7, 2.4.4, 2.5.1 がリリースされました。 http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-core/86370 ブランチメンテナではないけど、HackerOne や security at ruby-lang.org に報告がきた脆... 続きを読む

#2746 Data exports stored on S3 can be scraped easily - HackerOne

2015/06/18 10 users

続きを読む

半径300メートルのIT：「PCの暗号化を解除しないと、飛行機に乗せないよ」といわれたらどうする？ - 誠 Biz.ID

2015/01/26 45 users 誠 Biz.ID 飛行機 Twitter 半径300メートル

パリの国際空港で飛行機に乗る直前に米セキュリティ企業の幹部が呼び止められました。「PCのパスワードを解除しなさい、それがルールだから」 米HackerOneのチーフポリシーオフィサーを務めるケイティ・ムソリスさんがTwitterで気になる発言をしています。パリのシャルル・ド・ゴール空港で、空港職員から「PCのハードディスク暗号化を解除せよ」という指示を受けたのだそうです。 HackerOneは、セ... 続きを読む