2022年8月30日
【€300】打破逻辑:不安全的参数
背景介绍 今天的两个案例分享来自国外一位名叫can1337的白帽小哥,为了安全起见,以下会将目标网站统一以“redacted.com“代替。 使用不安全参数绕过邮件验证 redacted.com 有 ...
白帽故事
2022年8月24日
价值 1000 美元的账户接管
背景介绍: 今天的分享来自一位名为“Faique”的印度白帽小哥,让我们来看看他是如何利用配置错误的2FA(2次认证)和OAuth获得账户接管的。 发现过程: 白帽小哥在挖掘漏洞之前,需要了解一切是如...
2022年8月17日
使用Python配置Tor
背景介绍: 如果你曾经写过网络爬虫,那么你一定遇到过因生成过多请求而被对方服务器阻止的问题,或者你只是想隐藏真实 IP 地址并自动化运行你的脚本。 本文将解释如何在 Linux 系统上配置 TOR,以...
2022年6月22日
一次有意思的OTP绕过
背景介绍: 今天的故事来自一位名叫Vaibhav Kumar Srivastava的白帽子,他的这次OTP绕过很有趣,希望各位也能从中有所收获,那么这个绕过究竟是怎样的呢?让我们一起看看吧。 故事开始...
2022年6月18日
BurpSuite Intruder 自动化测试反射型 XSS
背景介绍 文章来自一位国外名叫Santosh Kumar Sha的印度白帽子,本篇文章中用到的工具如下: 工具列表 Subfinder:https://github.com/projectdiscov...
2022年5月24日
Swagger-UI 从XSS到账户接管
背景介绍: 该漏洞已在 2021 年初修复,但是仍然能够在许多公司中利用它,例如Paypal、Atlassian、Microsoft、GitLab、Yahoo等等。 GitLab甚至为后来的存储型XS...
2022年5月10日
通过 JS 文件实现Bypass管理面板
背景介绍: 今天的故事来自一位Zhenwar Hawlery白帽子,他和他的好基友是来自库尔德斯坦的白帽子和漏洞赏金猎人,他们喜欢在 Web 应用程序和移动应用程序中挖掘漏洞。废话不多说,开始我们今天...
2022年5月2日
[$2222]Bypass WAF
在开始今天的故事之前,首先要感谢一位名叫“凤岐”读者在昨夜的赞赏,骨哥自2013年创建本公众号以来,已经快要10年了,不怕各位笑话,公众号断断续续写了近10年,粉丝数却只有2000不到,昨晚的这次赞赏...
2022年4月20日
如何在Bugcrowd公共项目中找到50多个XSS漏洞
背景介绍: 今天的分享来自一位名为Takshal(tojojo)的白帽子,他是一名来自印度的网络安全研究员和开发人员。他在信息安全行业有着3年以上的经验,同时也有自己的YouTube频道,这也是他的第...
2022年4月19日
【$6000】绕过Apple SSO
背景介绍: 今天的分享来自Stealthy白帽子,这位20岁的白帽小伙子,从2018年起就开始从事漏洞悬赏工作,他的大部分时间都在HackerOne上,并且专门研究Web应用程序漏洞。 漏洞介绍: 漏...