2022年4月2日
Spring4Shell?
首先本文不涉及漏洞的具体复现与POC,如果你想从本文中获得这些信息,恐怕你要失望了! 背景介绍 话说今天一早,骨哥被一位妹纸在微信上直击灵魂的询问道:“能给说说Spring Framework的RCE...
白帽故事
2022年2月25日
在阅读了220份IDOR漏洞报告后的心得体会
背景介绍: 今天的分享来自国外一位名叫Sm9I的白帽子,他从hackerone中梳理了220份有关IDOR的漏洞报告,花了一周的时间,整理出这份心得体会。 为了便于参考,本文中将通过数字来引用各种漏洞...
2022年2月14日
【白帽故事】$10,000奖励:安卓平台Adobe Acrobat Reader RCE漏洞
背景介绍: 今天的故事来自一位ID名为SUNNY的白帽子,他在测试 Adobe Acrobat Reader APP时,发现该应用程序允许用户直接从 http/https URL打开 pdf 的功能,...
2022年2月11日
【奖金$5000】将任意无主手机号码添加到我的Facebook账户
背景介绍: 本次故事来自国外一位名叫Shubham Bhamare 的白帽子,如何在受害者不知情的情况下将任意无主手机号码添加到我的个人Facebook账户中?白帽小哥凡尔赛的说这非常简单!废话不多说...
2022年1月18日
【白帽故事】$8000赏金奖励:Opera浏览器从XSS 到 RCE
本篇文章共1297字,预计阅读时间4分钟。 背景介绍: 今天的故事来自国外一位名为Renwa的白帽子(https://twitter.com/RenwaX23),这也是他提交给Opera的第二个漏洞-...
2021年9月29日
另一枚价值$3133.7的Google IDOR漏洞
背景介绍: 今天的白帽小哥ID:Raidh Ĥere,他在Google Dialogflow中成功找到一处IDOR漏洞,最终获得了Google发放的3133.7美元的赏金奖励。话不多说,我们开始吧。 ...
2021年9月27日
国外一位白帽子2年来总结的10条经验
背景介绍: 这位白帽子在HackerOne上的ID名为“Ahmad Halabi”,最近他将2年来的挖洞经验做了整理总结。 计划制定: 首先来看看这位白帽小哥2年来的计划: 2019年6月到2020年...
2021年9月15日
推荐4本模糊测试(Fuzz Testing)的相关书籍
第一本,《Fuzzing: Brute Force Vulnerability》,中文译版,名为《模糊测试:强制发掘安全漏洞的利器》,书有些年头了(2007年出版的),但仍然是模糊测试(Fuzz)很不...
2021年8月10日
一款公共交通票务移动APP的XXE漏洞
这是一次国外漏洞赏金计划,漏洞挖掘的目标是一款票务Android应用程序,这款应用程序是一款公共交通票务应用程序,公司的总部设在德国以外。 在登录Android应用程序并检查账户设置后,我看到了一个“...