JIRA
ハッキングキャリアに興味がある方や 解読不能なものをハック したい方 - 採用中です!(流暢なポーランド語の読み書きが必要です)。
権限の確認
Jiraでは、認証されたユーザーであっても、エンドポイント /rest/api/2/mypermissions
または /rest/api/3/mypermissions
を通じて 権限を確認 できます。これらのエンドポイントはユーザーの現在の権限を明らかにします。 非認証ユーザーが権限を持っている 場合、 セキュリティの脆弱性 が示され、 バウンティの対象 になる可能性があります。同様に、認証されたユーザーに 予期しない権限がある 場合も 脆弱性 が強調されます。
2019年2月1日に重要な 更新 が行われ、 'mypermissions' エンドポイントに 'permission' パラメータ を含める必要がありました。この要件は、クエリされている権限を指定することで、セキュリティを 強化 することを目的としています:こちらをチェックしてください
ADD_COMMENTS
ADMINISTER
ADMINISTER_PROJECTS
ASSIGNABLE_USER
ASSIGN_ISSUES
BROWSE_PROJECTS
BULK_CHANGE
CLOSE_ISSUES
CREATE_ATTACHMENTS
CREATE_ISSUES
CREATE_PROJECT
CREATE_SHARED_OBJECTS
DELETE_ALL_ATTACHMENTS
DELETE_ALL_COMMENTS
DELETE_ALL_WORKLOGS
DELETE_ISSUES
DELETE_OWN_ATTACHMENTS
DELETE_OWN_COMMENTS
DELETE_OWN_WORKLOGS
EDIT_ALL_COMMENTS
EDIT_ALL_WORKLOGS
EDIT_ISSUES
EDIT_OWN_COMMENTS
EDIT_OWN_WORKLOGS
LINK_ISSUES
MANAGE_GROUP_FILTER_SUBSCRIPTIONS
MANAGE_SPRINTS_PERMISSION
MANAGE_WATCHERS
MODIFY_REPORTER
MOVE_ISSUES
RESOLVE_ISSUES
SCHEDULE_ISSUES
SET_ISSUE_SECURITY
SYSTEM_ADMIN
TRANSITION_ISSUES
USER_PICKER
VIEW_AGGREGATED_DATA
VIEW_DEV_TOOLS
VIEW_READONLY_WORKFLOW
VIEW_VOTERS_AND_WATCHERS
WORK_ON_ISSUES
例: https://your-domain.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS
自動列挙
興味がある場合は、ハッキングキャリアに興味があり、ハッキングできないものをハックしたい場合は - 採用中です!(流暢なポーランド語の読み書きが必要です)。
Last updated