2025年7月29日
要来点 IDOR 吗?泄露 6400 万份麦当劳求职申请的漏洞
简介 McHire 是麦当劳 90% 加盟商使用的聊天机器人招聘平台,求职者通过一个名为 Olivia 的聊天机器人(由 Paradox.ai 公司开发)提交个人信息、班次偏好,并参加性格测试。 有研...
白帽故事
2025年7月28日
从游戏到钱包:ORM注入攻击如何窃取加密货币?
概述 本月早些时候,Sam Curry 和原文作者发现了他们在实战中遇到的首批可利用的 ORM 注入漏洞,并利用该漏洞从一个在线游戏中实现了加密货币窃取。 事件背景 该游戏是一款即将上线的“付费生成(...
2025年7月25日
2025年7月23日
🚨 警报!CVE-2025–49706:SharePoint 欺骗漏洞正遭黑客大规模利用
深度解析 CVE-2025–49706:一个原本看似普通的 SharePoint 身份欺骗漏洞,如今已成为黑客手中的利器,被用于秘密部署后门 (Web Shell) 和权限提升。
2025年7月21日
化腐朽为神奇:将 Self-XSS 升级为真正可利用的 XSS 漏洞
巧妙绕过 Referer 来源验证 在对一个电商网站进行安全测试时,白帽小哥发现了一处接口,它会将用户传入的参数值,未经任何处理就直接显示在返回的页面内容中。 具体来说,就在 /ajax/popup_...
2025年7月15日
一则绕过 Cloudflare WAF 实现 XSS 的案例
通过前期侦察,发现一处页面在 HTML 渲染时没有对AgencyId 参数的输入进行有效清理: 但是很不幸设置 iframe 的源会触发 WAF 拦截,在尝试包含<script>和<...
2025年7月14日
错过游戏时光,意外在 TikTok 赚取 3000 美元的故事
文末有彩蛋。 前言 一个普通的夜晚,国外白帽小哥的朋友邀请其共同玩耍游戏,出于某种原因,白帽小哥拒绝了与朋友共度游戏的时光,却意外的赚取了 3k 美金。让我们开始吧~ 前期侦察 白帽小哥使用 urls...
2025年7月9日
2025年7月7日
从开放重定向到SSRF
什么是SSRF? 服务器端请求伪造(SSRF)是一种漏洞,攻击者可以欺骗服务器向攻击者通常无法访问的内部或外部系统发送 HTTP 请求。 该漏洞可导致: 访问仅限内部的服务的(例如数据库、管理面板) ...
2025年7月2日
通过篡改 WebSocket 响应获得管理员访问权限
前言 国外白帽小哥在浏览网站和检查可用功能时,注意到一个指向同一组织内部域名的引用。 通过访问,发现了一个提供注册和登录功能的不同的 Web 应用程序。 通过登录请求抓包发现这并不是一个标准的 HTT...