2021年9月29日
另一枚价值$3133.7的Google IDOR漏洞
背景介绍: 今天的白帽小哥ID:Raidh Ĥere,他在Google Dialogflow中成功找到一处IDOR漏洞,最终获得了Google发放的3133.7美元的赏金奖励。话不多说,我们开始吧。 ...
白帽故事
2021年9月27日
国外一位白帽子2年来总结的10条经验
背景介绍: 这位白帽子在HackerOne上的ID名为“Ahmad Halabi”,最近他将2年来的挖洞经验做了整理总结。 计划制定: 首先来看看这位白帽小哥2年来的计划: 2019年6月到2020年...
2021年9月15日
推荐4本模糊测试(Fuzz Testing)的相关书籍
第一本,《Fuzzing: Brute Force Vulnerability》,中文译版,名为《模糊测试:强制发掘安全漏洞的利器》,书有些年头了(2007年出版的),但仍然是模糊测试(Fuzz)很不...
2021年8月10日
一款公共交通票务移动APP的XXE漏洞
这是一次国外漏洞赏金计划,漏洞挖掘的目标是一款票务Android应用程序,这款应用程序是一款公共交通票务应用程序,公司的总部设在德国以外。 在登录Android应用程序并检查账户设置后,我看到了一个“...
2021年5月28日
SVG对PDF转换时的SSRF攻击
作者在BugCrowd的一个私有项目中进行挖洞活动,在该项目中,有一个功能复杂的应用程序,其中一处亮点是将对象从SVG转换为PDF、JPG、PNG文件。 当作者找到从用户输入的数据创建PDF的功能时,...