해킹 경력에 관심이 있고 해킹할 수 없는 것을 해킹하고 싶다면 - 채용 중! (유창한 폴란드어 필수).

권한 확인

Jira에서는 권한을 확인할 수 있습니다. 인증된 사용자든 아니든 /rest/api/2/mypermissions 또는 /rest/api/3/mypermissions 엔드포인트를 통해 현재 사용자의 권한을 확인할 수 있습니다. 인증되지 않은 사용자가 권한을 보유하는 경우, 보안 취약점이 발견되었음을 나타내며, 이는 바운티의 대상이 될 수 있습니다. 마찬가지로, 인증된 사용자에 대한 예상치 못한 권한도 취약점을 강조합니다.

2019년 2월 1일에 중요한 업데이트가 이루어졌으며, 'mypermissions' 엔드포인트에 'permission' 매개변수를 포함해야 합니다. 이 요구 사항은 쿼리되는 권한을 명시하여 보안을 강화하는 데 목적이 있습니다: 여기에서 확인하세요

• ADD_COMMENTS

• ADMINISTER

• ADMINISTER_PROJECTS

• ASSIGNABLE_USER

• ASSIGN_ISSUES

• BROWSE_PROJECTS

• BULK_CHANGE

• CLOSE_ISSUES

• CREATE_ATTACHMENTS

• CREATE_ISSUES

• CREATE_PROJECT

• CREATE_SHARED_OBJECTS

• DELETE_ALL_ATTACHMENTS

• DELETE_ALL_COMMENTS

• DELETE_ALL_WORKLOGS

• DELETE_ISSUES

• DELETE_OWN_ATTACHMENTS

• DELETE_OWN_COMMENTS

• DELETE_OWN_WORKLOGS

• EDIT_ALL_COMMENTS

• EDIT_ALL_WORKLOGS

• EDIT_ISSUES

• EDIT_OWN_COMMENTS

• EDIT_OWN_WORKLOGS

• LINK_ISSUES

• MANAGE_GROUP_FILTER_SUBSCRIPTIONS

• MANAGE_SPRINTS_PERMISSION

• MANAGE_WATCHERS

• MODIFY_REPORTER

• MOVE_ISSUES

• RESOLVE_ISSUES

• SCHEDULE_ISSUES

• SET_ISSUE_SECURITY

• SYSTEM_ADMIN

• TRANSITION_ISSUES

• USER_PICKER

• VIEW_AGGREGATED_DATA

• VIEW_DEV_TOOLS

• VIEW_READONLY_WORKFLOW

• VIEW_VOTERS_AND_WATCHERS

• WORK_ON_ISSUES

예: https://your-domain.atlassian.net/rest/api/2/mypermissions?permissions=BROWSE_PROJECTS,CREATE_ISSUES,ADMINISTER_PROJECTS

#Check non-authenticated privileges
curl https://jira.some.example.com/rest/api/2/mypermissions | jq | grep -iB6 '"havePermission": true'

자동 열거

• https://github.com/0x48piraj/Jiraffe

• https://github.com/bcoles/jira_scan

만약 해킹 경력에 관심이 있고 해킹할 수 없는 것을 해킹하고 싶다면 - 저희가 채용 중입니다! (유창한 폴란드어 필수).