白帽故事

2021年8月31日

Git泄露搜索语法

相信很多人对GitHub再熟悉不过了，在信息收集时，我们有时需要通过GitHub去收集一些目标的信息，而有些程序员可能因为疏忽将一些敏感信息放在GitHub上，那么善用GitHub搜索语法，往往会让我...

进一步了解

2021年8月10日

一款公共交通票务移动APP的XXE漏洞

这是一次国外漏洞赏金计划，漏洞挖掘的目标是一款票务Android应用程序，这款应用程序是一款公共交通票务应用程序，公司的总部设在德国以外。在登录Android应用程序并检查账户设置后，我看到了一个“...

进一步了解

2021年5月28日

SVG对PDF转换时的SSRF攻击

作者在BugCrowd的一个私有项目中进行挖洞活动，在该项目中，有一个功能复杂的应用程序，其中一处亮点是将对象从SVG转换为PDF、JPG、PNG文件。当作者找到从用户输入的数据创建PDF的功能时，...

进一步了解