2023年8月29日
使用工具快速发现 SSRF、LFI、XSS
背景介绍 本文将告诉你如何使用 gf、httpx、waybackurls、qsreplace、gau 工具快速找到 SSRF、XSS 和 LFI 漏洞。废话不多说,开始! XSS 首先将使用 gf、h...
bugbounty
2023年8月23日
【$25,300】绕过 Facebook 双因素身份验证
背景介绍 今天分享国外一位名叫 Bassem M Bazzoun 在 2023 年韩国首尔举行的 Meta Bug 赏金研究人员会议上发现 Facebook 中的双因素身份验证绕过漏洞的故事,最终该白...
2023年8月20日
每个白帽都不应错过的酷炫‘侦察’技巧!总有一个你不知道~
技巧 1:活动子域枚举 这是一种非常常见的技术,但许多白帽子依赖于被动子域枚举而不是主动子域枚举,来看看活动子域枚举: 使用活动子域枚举可以通过两种方式执行: A.使用字典列表暴力破解子域:在这种技术...
2023年8月17日
【$3400】一次点击,攻击者轻松窃取用户余额!
如果告诉你:黑客只需你的一次点击即可从你的 PayPal 余额中窃取资金,是不是很有趣?本故事将向你展示白帽黑客如何在 PayPal 上发现极具影响力的漏洞:)。 概述 2021年11月,国外白帽向 ...
2023年8月13日
利用 GitHub 最大化你的漏洞数量
背景介绍: 对于漏洞赏金猎人,GitHub 存储库可以发现各种有用的信息,并不是只有开源目标才会出现问题,有时,企业/组织成员及其开源计划会错误地披露可用于对付目标公司的信息。本文将为你提供各种扫描 ...
2023年8月13日
CS:GO 从0到0day!
背景介绍: 国外一家安全公司(Neodyme)在CS:GO(反恐精英:全球攻势)游戏中发现了三个独立的远程代码执行 (RCE) 漏洞,当游戏客户端连接到恶意的 Python CS:GO 服务器时,每个...
2023年8月13日
没有SwaggerUI的Swag怎么破?
背景介绍: API 配置错误是指应用程序编程接口 (API) 的设置不当或不安全,这可能包括弱身份验证、缺乏输入验证或不正确的访问控制等问题。 API 配置错误可能使攻击者能够未经授权访问敏感数据或代...
2023年8月13日
将赏金从$50变为$1000的帐户接管漏洞
背景介绍 某白帽正在测试一个私邀项目,而在第二天,该网站添加了一些新功能,而白帽获得了这些新功能的优先测试权,让我们来看看究竟发现了哪些有趣的事情。 其中一个功能是一个书签,允许保存指向同一站点上撰写...
2023年8月13日
使用 Aquatone 配合’狩猎’
背景介绍: Aquatone是什么? Aquatone 是一种对大量主机上的网站进行可视化检查的工具,可以方便地快速了解基于 HTTP 的攻击面。 工具地址:https://github.com/mi...
2023年8月13日
【$40,000】AAD配置错误导致必应结果篡改与微软帐户接管
背景介绍 今天向各位分享 Wiz Research 发现微软AAD一个常见的错误配置,从而导致多个微软应用程序,甚至包括Bing账户接管的故事。 从Amazon Cognito到Google Fire...