アクセス制御の脆弱性を悪用し、30,000ドルを稼いだ方法
セキュリティ研究者は、単一のバグバウンティプログラム内で5つの異なるアクセス制御脆弱性を連鎖させることで、30,000ドル以上の報酬を獲得しました。これは、単発の低深刻度問題として報告するのではなく、IDOR(インディレクトドオブジェクト参照)を悪用して患者記録にアクセスし、検索パラメータを操作してクリニック間のデータを漏洩させ、さらに盗まれたユーザーIDを利用して多要素認証を回避し、アカウント乗っ取りを完遂した手法によるものです。このアプローチは複数の軽微な発見を重大な深刻度へと転換し、アプリケーションロジックとロールベースの権限理解が、標準的な報告手法よりもはるかに高い財務的リターンをもたらすことを実証しました。
米海軍ジャーナルの真の仕組み
ライブのWindowsシステムにおけるUSNジャーナルには、デフォルトのクエリパラメータによってNTFSエポック時刻の1-1-16-01が返されるため、重要な法医学的データが隠蔽されているケースが少なくありません。fsutil usn readdataのような標準コマンドでは、特定のファイル作成や変更オペレーションコードを捉えることができませんが、readjournalコマンドをCSV出力とfindstrフィルタリングで組み合わせることで、リアルタイムのファイルシステム活動が可視化されます。この手法により、FTK ImagerやCAPEのような法医学イメージングツールを必要とせず、実行中のシステムから直接ファイル参照番号と更新シーケンス番号を抽出することが可能です。