HackerOneのレポート読む15

久しぶりにやります。

今回のレポートは以下

https://hackerone.com/reports/792998

 

内容としては

www.hackerone.com配下で存在しないページを閲覧した際、

getリクエストのすべてのヘッダー情報が含まれたデバッグデータを含むページが返却されて、というもの

これにはCookieの情報も含まれている

 

これ自体は自身へのレスポンスだけなので大きな問題ではないが、

XSS脆弱性が見つかった場合、これらが組み合わさって悪用されるとCookie情報搾取される恐れがある

 

この脆弱性には500ドルが支払われいます