From 6079a80a42b19682259210abbc8afca8289f18db Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 3 Apr 2025 13:58:15 +0000 Subject: [PATCH] Translated ['src/pentesting-web/account-takeover.md'] to ja --- src/pentesting-web/account-takeover.md | 14 +++++++------- 1 file changed, 7 insertions(+), 7 deletions(-) diff --git a/src/pentesting-web/account-takeover.md b/src/pentesting-web/account-takeover.md index 1dd145ba8..72550fb0a 100644 --- a/src/pentesting-web/account-takeover.md +++ b/src/pentesting-web/account-takeover.md @@ -4,7 +4,7 @@ ## **認証の問題** -アカウントのメールアドレスを変更しようとし、確認プロセスを**確認する必要があります**。もし**弱い**と判断された場合、メールアドレスを意図した被害者のものに変更し、その後確認します。 +アカウントのメールアドレスを変更しようとし、確認プロセスを**確認する必要があります**。もし**弱い**と判明した場合、メールアドレスを意図した被害者のものに変更し、確認します。 ## **Unicode正規化の問題** @@ -16,7 +16,7 @@ - 被害者に似たメールアドレスを持つサードパーティのアイデンティティでアカウントを作成し、いくつかのUnicode文字を使用します(`vićtim@company.com`)。 - サードパーティのプロバイダーはメールを確認しないべきです。 -- もしアイデンティティプロバイダーがメールを確認する場合、ドメイン部分を攻撃することができるかもしれません:`victim@ćompany.com`としてそのドメインを登録し、アイデンティティプロバイダーがドメインのASCIIバージョンを生成し、被害者プラットフォームがドメイン名を正規化することを期待します。 +- アイデンティティプロバイダーがメールを確認する場合、ドメイン部分を攻撃することができるかもしれません:`victim@ćompany.com`としてそのドメインを登録し、アイデンティティプロバイダーがドメインのASCIIバージョンを生成し、被害者プラットフォームがドメイン名を正規化することを期待します。 - このアイデンティティプロバイダーを介して被害者プラットフォームにログインし、Unicode文字を正規化し、被害者アカウントにアクセスできるようにします。 詳細については、Unicode正規化に関する文書を参照してください: @@ -31,7 +31,7 @@ unicode-injection/unicode-normalization.md ## **アカウント乗っ取り前** -1. 被害者のメールアドレスを使用してプラットフォームにサインアップし、パスワードを設定する必要があります(確認を試みる必要がありますが、被害者のメールにアクセスできない場合は不可能かもしれません)。 +1. 被害者のメールアドレスを使用してプラットフォームにサインアップし、パスワードを設定する必要があります(確認を試みる必要がありますが、被害者のメールにアクセスできない場合は不可能になるかもしれません)。 2. 被害者がOAuthを使用してサインアップし、アカウントを確認するまで待つ必要があります。 3. 通常のサインアップが確認されることを期待し、被害者のアカウントにアクセスできるようにします。 @@ -103,9 +103,9 @@ oauth-to-account-takeover.md [このレポート](https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea)から: -- 攻撃者が新しいメールアドレスに変更をリクエストします。 -- 攻撃者はメールの変更を確認するためのリンクを受け取ります。 -- 攻撃者は被害者にそのリンクを送信し、クリックさせます。 +- 攻撃者が新しいメールアドレスに変更を要求します。 +- 攻撃者がメールの変更を確認するためのリンクを受け取ります。 +- 攻撃者が被害者にリンクを送信し、クリックさせます。 - 被害者のメールアドレスが攻撃者が示したものに変更されます。 - 攻撃者はパスワードを回復し、アカウントを乗っ取ることができます。 @@ -113,7 +113,7 @@ oauth-to-account-takeover.md ### アカウント乗っ取りのためのメール確認のバイパス - 攻撃者がattacker@test.comでログインし、サインアップ時にメールを確認します。 -- 攻撃者が確認済みのメールをvictim@test.comに変更します(メール変更に対する二次確認はなし)。 +- 攻撃者が確認済みのメールをvictim@test.comに変更します(メール変更に対する二次確認はありません)。 - 現在、ウェブサイトはvictim@test.comでのログインを許可し、被害者ユーザーのメール確認をバイパスしました。 ### 古いクッキー