1. Cross Site Scripting (XSS):CWE-79 a. 反射型XSSによる1クリックでのアカウントの乗っ取り b. 蓄積型XSSによる0クリックでのアカウントの乗っ取り 2. Information Disclosure (情報開示):CWE-200 a. 未認証のユーザーによる機密情報の窃取 b. 設定ファイルやS3バケットにアップロードされたファイルなどの漏洩 3. Improper Access Control (アクセス制御の不備 ):CWE-284 a. パラメーター改ざんによる機密情報の窃取・改ざん b. パラメーター改ざんによる他ユーザーのアカウントの不正操作
Quality Reports ◦ https://docs.hackerone.com/en/articles/8475116-quality-reports • Bugcrowd: Writing a Good Bug Report ◦ https://docs.bugcrowd.com/researchers/reporting-managing-submissi ons/reporting-a-bug/#writing-a-good-bug-report • Intigriti: How to write and submit a good report ◦ https://kb.intigriti.com/en/articles/5379086-how-to-write-and-submit- a-good-report