2025年5月27日
利用未授权的密码重置实现完全帐户接管
前期侦察 在分析 Target.com 时,通过 Burp Suite 中监控 HTTP 请求,发现一处 有趣的 API 端点: GET /accounts/manage-users-data HTT...
账户接管
2025年2月18日
通过 HTML 注入实现三星账户接管(ATO)的故事
前言 前不久,白帽小哥在三星公司的一次渗透测试中发现了一处 HTML 注入漏洞,因此获得了不菲的赏金奖励。现将这一过程中的有关细节分享给各位。 漏洞发现 在对三星网站进行渗透测试时,首先使用了不同的 ...