HackerOneレポート確認　～StarBucks - 明日は明日の風が吹く

前回はNextCloudの脆弱性レポートを読みましたが、

今度はStarBucksのレポートを読んでみます

とりあえず検索で出てきた数件を確認

China – Limited Partner PII Regarding Work Scheduling via Unauthenticated API Endpoint:Critical
参考：https://hackerone.com/reports/659248
【内容】

概要しかなかったので記載できず・・・・

India - OTP bypass on Phone number verification for account creation:Medium
参考：https://hackerone.com/reports/762695
【内容】

概要しかなかったので記載できず・・・・

Open Redirect on Greater Asia domains:Low
参考：https://hackerone.com/reports/731618
【内容】

概要しかなかったので記載できず・・・・

sdrc.starbucks.com - Information Disclosure via unsecured attachment directory:Critical
参考：https://hackerone.com/reports/769016
【内容】

概要しかなかったので記載できず・・・・

JumpCloud API Key leaked via Open Github Repository.:Critical:$4,000.00
参考：https://hackerone.com/reports/716292
【内容】

Github上で公開されているコードに、APIキーが入っていた

公開されているコードに公開してはいけない情報が入っていたケース

概要しかなかったので記載できず・・・・

China - president-starbucks.com.cn DNS configuration reported as takeover:High
参考：https://hackerone.com/reports/423269
【内容】

概要しかなかったので記載できず・・・・

Webshell via File Upload on ecjobs.starbucks.com.cn:Critical:$4,000.00
参考：https://hackerone.com/reports/506646
【内容】

ユーザでログインして、アバターの画像（jpg）をアップロードする際、

burpでjpgをaspに変更することで、任意のOSコマンドを実行できてしまう

XXE at ecjobs.starbucks.com.cn/retail/hxpublic_v6/hxdynamicpage6.aspx:Critical:$4,000.00
参考：https://hackerone.com/reports/500515

【内容】

上記と同じように、xmlファイルをアップロードできてしまうため、

XXEが可能となってしまう

上記脆弱性が初めて報告されてから３か月後に報告された

SQL Injection Extracts Starbucks Enterprise Accounting, Financial, Payroll Database:Critical
参考：https://hackerone.com/reports/531051
【内容】

概要しかなかったので記載できず・・・・

ただ、内容としてはXXEを使ってDBの情報を取得できてしまった例であった

athome.starbucks.com - URL parameter tampering of review forms permitted possible content injection:Medium
参考：https://hackerone.com/reports/367589

【内容】

概要しかなかったので記載できず・・・・

今回のレポートに関するまとめを次の記事で簡単にまとめようと思います。

そこから、バグバウンティの進め方を決めようかと。

以上