2022年5月10日
通过 JS 文件实现Bypass管理面板
背景介绍: 今天的故事来自一位Zhenwar Hawlery白帽子,他和他的好基友是来自库尔德斯坦的白帽子和漏洞赏金猎人,他们喜欢在 Web 应用程序和移动应用程序中挖掘漏洞。废话不多说,开始我们今天...
骨哥
2022年5月5日
Ubuntu+Wine+IDA7.6+激活插件
背景介绍: 因某些研究所需,需要在Ubuntu下使用IDA7.6和相关插件,于是做个记录,当然,如果你在Windows下使用,本篇文章可以直接略过了。 环境如下: Ubuntu 20.04 Wine ...
2022年5月2日
[$2222]Bypass WAF
在开始今天的故事之前,首先要感谢一位名叫“凤岐”读者在昨夜的赞赏,骨哥自2013年创建本公众号以来,已经快要10年了,不怕各位笑话,公众号断断续续写了近10年,粉丝数却只有2000不到,昨晚的这次赞赏...
2022年4月20日
如何在Bugcrowd公共项目中找到50多个XSS漏洞
背景介绍: 今天的分享来自一位名为Takshal(tojojo)的白帽子,他是一名来自印度的网络安全研究员和开发人员。他在信息安全行业有着3年以上的经验,同时也有自己的YouTube频道,这也是他的第...
2022年4月19日
【$6000】绕过Apple SSO
背景介绍: 今天的分享来自Stealthy白帽子,这位20岁的白帽小伙子,从2018年起就开始从事漏洞悬赏工作,他的大部分时间都在HackerOne上,并且专门研究Web应用程序漏洞。 漏洞介绍: 漏...
2022年4月2日
Spring4Shell?
首先本文不涉及漏洞的具体复现与POC,如果你想从本文中获得这些信息,恐怕你要失望了! 背景介绍 话说今天一早,骨哥被一位妹纸在微信上直击灵魂的询问道:“能给说说Spring Framework的RCE...
2022年3月29日
VM虚机通过宿主机实现代理跳板
背景介绍: 最近骨哥在研究Fuzz相关的技术,之前看了一段时间的WinAFL,而最近在看AFL++的相关东西,因为要使用Ubuntu系统,故安装了VM虚拟机,然后在各种git clone和下载国外资源...
2022年2月25日
在阅读了220份IDOR漏洞报告后的心得体会
背景介绍: 今天的分享来自国外一位名叫Sm9I的白帽子,他从hackerone中梳理了220份有关IDOR的漏洞报告,花了一周的时间,整理出这份心得体会。 为了便于参考,本文中将通过数字来引用各种漏洞...
2022年2月14日
【白帽故事】$10,000奖励:安卓平台Adobe Acrobat Reader RCE漏洞
背景介绍: 今天的故事来自一位ID名为SUNNY的白帽子,他在测试 Adobe Acrobat Reader APP时,发现该应用程序允许用户直接从 http/https URL打开 pdf 的功能,...
2022年2月11日
【奖金$5000】将任意无主手机号码添加到我的Facebook账户
背景介绍: 本次故事来自国外一位名叫Shubham Bhamare 的白帽子,如何在受害者不知情的情况下将任意无主手机号码添加到我的个人Facebook账户中?白帽小哥凡尔赛的说这非常简单!废话不多说...