This is part 8 of P4 bug’s if you haven’t check previous part then check it out. Part 1 , Part 2, Part 3, Part 4, Part 5, Part 6, Part 7
Hi everyone, I am socalledhacker, i am a security researcher , penetration tester, certified ethical hacker and a web3 noob. In past months, I have discover lot’s of bugs but in today’s article we are going to discuss about low hanging fruits or P4 vuln’s as they are very easy to find and also present in almost every website. So let’s start with our first vulnerability.
1. Exif Geo Location
This bug is consider as P4 but sometimes as per the impact, this can be consider as P3 vulnerability.
Let’s dive into it’s details like what this bug is and how to find it?
In almost every website, there is an upload image feature available, it may be profile picture or other type of upload. If website/webserver is not stripping exif metadata of an image uploaded by the user then it’s a bug (P4). There are two different conditions in this like if the image is visible to more then one person then it’s a P4 called Exif Geolocation Manual Enumeration. While if the image is visible publicly like Instagram profile picture is visible to everyone or the picture is uploaded by developer and visible to all then the impact of this vulnerability is consider as P3 (Exif Geolocation Automatic Enumeration).
How to check Metadata of Image : Go to this website (https://jimpl.com/) and paste the picture/URL.
As always: POC time…. 🙂
Description:- When a user uploads an image in example.com, the uploaded image’s EXIF Geolocation Data does not get stripped. As a result, anyone can get sensitive information of example.com users like their Geolocation, their Device information like Device Name, Version, Software & Software version used, etc.
Steps to reproduce:-
1. Visit example.com
2. Go to the Upload option on the website
3. Upload the image with EXIF metadata.
4. Right click on the image and download it.
5. Visit https://jimpl.com
6. Upload the downloaded image and check for sensitive data.
Impact:- This vulnerability is CRITICAL and impacts all the example.com customer base. This vulnerability violates the privacy of a User and shares sensitive information of the user who uploads an image on example.com or any of the example.com instances.
2. Broken authentication – Failure to invalidate session on logout
This is also another simple vulnerability in which website fails to validate user’s session even after they logout.
To find this vulnerability first login to your account in two different tabs of same browser. Then logout from one tab and if your account is automatically logout from the second tab of same browser then it’s not a bug but if the session still persist in another tab even after you logout from the first tab then try to change some data in the account and if you successfully updated some data in your account then it a bug.
Criteria: Bugcrowd didn’t consider this vulnerability as P4.
Let’s create POC 🙂
Description:- The application fails to invalidate a user’s session on logout, leaving the account vulnerable to session hijacking. An attacker may compromise a user’s session then be able to change the password of the account and lock out the legitimate user.
Steps to reproduce:-
- Go to the URL – example.com
- Open the same account on two different tabs on the same browser – Browser A
- Click on the Logout from one tab – TAB A
- Once the session is terminated, go to the second tab (TAB B) and update some data and save it
- Post changing the data, click on the refresh button.
- The data will be updated.
Impact:- This vulnerability can lead to reputational damage and indirect financial loss to the company as customers may view the application as insecure as the session is still running after logout.
That’s it for this article I will upload more articles related to web2 bugs covering all p4 to p1 bugs in near future so stay tuned … 🙂
Buy Me a Coffee : https://buymeacoffee.com/socalledhacker
Follow Me On :
Loving the information on this internet site, you have done great job on the articles.
Good – I should certainly pronounce, impressed with your website. I had no trouble navigating through all tabs as well as related info ended up being truly simple to do to access. I recently found what I hoped for before you know it in the least. Reasonably unusual. Is likely to appreciate it for those who add forums or something, website theme . a tones way for your customer to communicate. Nice task..
I was looking through some of your posts on this website and I conceive this site is very informative ! Keep on posting.
Some truly howling work on behalf of the owner of this internet site, utterly outstanding written content.
Этот информативный текст выделяется своими захватывающими аспектами, которые делают сложные темы доступными и понятными. Мы стремимся предложить читателям глубину знаний вместе с разнообразием интересных фактов. Откройте новые горизонты и развивайте свои способности познавать мир!
Выяснить больше – https://medalkoblog.ru/
Затяжной запой — это состояние, при котором человек в течение нескольких дней не может прекратить употребление алкоголя без медицинской помощи. Такое состояние чревато тяжёлыми нарушениями в работе внутренних органов и психики. В Новосибирске и Новосибирской области доступен профессиональный вывод из запоя как на дому, так и в условиях стационара. Подход к лечению индивидуален, и основная цель — безопасно и эффективно устранить последствия интоксикации и предотвратить рецидив.
Получить больше информации – https://narko-zakodirovan2.ru/vyvod-iz-zapoya-czena-novosibirsk/
Затяжной запой — это состояние, при котором человек в течение нескольких дней не может прекратить употребление алкоголя без медицинской помощи. Такое состояние чревато тяжёлыми нарушениями в работе внутренних органов и психики. В Новосибирске и Новосибирской области доступен профессиональный вывод из запоя как на дому, так и в условиях стационара. Подход к лечению индивидуален, и основная цель — безопасно и эффективно устранить последствия интоксикации и предотвратить рецидив.
Изучить вопрос глубже – http://narko-zakodirovan2.ru/vyvod-iz-zapoya-czena-novosibirsk/
Затяжной запой — это состояние, при котором человек в течение нескольких дней не может прекратить употребление алкоголя без медицинской помощи. Такое состояние чревато тяжёлыми нарушениями в работе внутренних органов и психики. В Новосибирске и Новосибирской области доступен профессиональный вывод из запоя как на дому, так и в условиях стационара. Подход к лечению индивидуален, и основная цель — безопасно и эффективно устранить последствия интоксикации и предотвратить рецидив.
Выяснить больше – https://narko-zakodirovan2.ru/vyvod-iz-zapoya-czena-novosibirsk
Решение обратиться к врачу должно быть принято, если:
Углубиться в тему – вывод из запоя на дому новосибирск
Затяжной запой — это состояние, при котором человек в течение нескольких дней не может прекратить употребление алкоголя без медицинской помощи. Такое состояние чревато тяжёлыми нарушениями в работе внутренних органов и психики. В Новосибирске и Новосибирской области доступен профессиональный вывод из запоя как на дому, так и в условиях стационара. Подход к лечению индивидуален, и основная цель — безопасно и эффективно устранить последствия интоксикации и предотвратить рецидив.
Получить больше информации – вывод из запоя на дому новосибирск
Обращение к наркологу позволяет избежать типичных ошибок самолечения и достичь стабильного результата. Квалифицированное вмешательство:
Изучить вопрос глубже – вывод из запоя в стационаре
Врач может приехать в течение 1–2 часов после обращения. В стационар возможна экстренная госпитализация в тот же день.
Подробнее – вывод из запоя на дому цена новосибирск
Затяжной запой — это состояние, при котором человек в течение нескольких дней не может прекратить употребление алкоголя без медицинской помощи. Такое состояние чревато тяжёлыми нарушениями в работе внутренних органов и психики. В Новосибирске и Новосибирской области доступен профессиональный вывод из запоя как на дому, так и в условиях стационара. Подход к лечению индивидуален, и основная цель — безопасно и эффективно устранить последствия интоксикации и предотвратить рецидив.
Разобраться лучше – https://narko-zakodirovan2.ru/vyvod-iz-zapoya-czena-novosibirsk/
Вывод из запоя может осуществляться в двух форматах — на дому и в стационаре. Выбор зависит от степени интоксикации, наличия осложнений и возможности обеспечить пациенту наблюдение в домашних условиях.
Подробнее – наркология вывод из запоя в новосибирске
Обращение к наркологу позволяет избежать типичных ошибок самолечения и достичь стабильного результата. Квалифицированное вмешательство:
Подробнее – http://narko-zakodirovan2.ru/vyvod-iz-zapoya-kruglosutochno-novosibirsk/
Врач может приехать в течение 1–2 часов после обращения. В стационар возможна экстренная госпитализация в тот же день.
Узнать больше – http://narko-zakodirovan2.ru
Решение обратиться к врачу должно быть принято, если:
Узнать больше – вывод из запоя на дому цена новосибирск
Обращение к наркологу позволяет избежать типичных ошибок самолечения и достичь стабильного результата. Квалифицированное вмешательство:
Узнать больше – http://narko-zakodirovan2.ru
Затяжной запой — это состояние, при котором человек в течение нескольких дней не может прекратить употребление алкоголя без медицинской помощи. Такое состояние чревато тяжёлыми нарушениями в работе внутренних органов и психики. В Новосибирске и Новосибирской области доступен профессиональный вывод из запоя как на дому, так и в условиях стационара. Подход к лечению индивидуален, и основная цель — безопасно и эффективно устранить последствия интоксикации и предотвратить рецидив.
Ознакомиться с деталями – https://narko-zakodirovan2.ru/vyvod-iz-zapoya-czena-novosibirsk
Обращение к наркологу позволяет избежать типичных ошибок самолечения и достичь стабильного результата. Квалифицированное вмешательство:
Разобраться лучше – narkolog-vyvod-iz-zapoya novosibirsk
Показана в тяжёлых случаях или при наличии сопутствующих заболеваний. Лечение проходит под круглосуточным наблюдением врачей и медсестёр с постоянной корректировкой терапии.
Изучить вопрос глубже – https://narko-zakodirovan2.ru/vyvod-iz-zapoya-na-domu-novosibirsk/
Решение обратиться к врачу должно быть принято, если:
Углубиться в тему – http://narko-zakodirovan2.ru
Обращение к наркологу позволяет избежать типичных ошибок самолечения и достичь стабильного результата. Квалифицированное вмешательство:
Подробнее тут – vyvod-iz-zapoya-kruglosutochno novosibirsk
Врач может приехать в течение 1–2 часов после обращения. В стационар возможна экстренная госпитализация в тот же день.
Получить дополнительную информацию – наркология вывод из запоя новосибирск
Врач может приехать в течение 1–2 часов после обращения. В стационар возможна экстренная госпитализация в тот же день.
Изучить вопрос глубже – вывод из запоя цена новосибирск
Образовательные программы: Мы уверены, что знания о зависимости и её последствиях играют важную роль в реабилитации. Мы информируем пациентов о механизмах действия наркотиков и алкоголя на организм, что способствует изменению их отношения к терапии и жизни без зависимостей.
Ознакомиться с деталями – нарколог вывод из запоя
Hello.This article was really interesting, particularly because I was browsing for thoughts on this matter last week.
Добрый день.
По теме “https://diyworks.ru/category/tvorcheskoe-remeslo/”, нашел много полезного.
Вот, делюсь ссылкой:
https://diyworks.ru/category/tvorcheskoe-remeslo/
Рекомендую.
Урал – настоящее сокровище для любителей пеших походов. Узнайте, что нужно учесть, отправляясь в это приключение.
Кстати, если вас интересует Путешествия от Байкала до Алтая: сокровища Сибири, посмотрите сюда.
Вот, можете почитать:
https://rustrail.ru/sibirskie-kanikuly-ot-bajkala-do-altaja/
Счастливого пути и незабываемых впечатлений в походе по Уралу!
Hello my friend! I wish to say that this post is awesome, nice written and come with approximately all vital infos. I would like to look extra posts like this.
Thank you for your sharing. I am worried that I lack creative ideas. It is your article that makes me full of hope. Thank you. But, I have a question, can you help me?