2022年4月19日
【$6000】绕过Apple SSO
背景介绍: 今天的分享来自Stealthy白帽子,这位20岁的白帽小伙子,从2018年起就开始从事漏洞悬赏工作,他的大部分时间都在HackerOne上,并且专门研究Web应用程序漏洞。 漏洞介绍: 漏...
bugbounty
2022年2月25日
在阅读了220份IDOR漏洞报告后的心得体会
背景介绍: 今天的分享来自国外一位名叫Sm9I的白帽子,他从hackerone中梳理了220份有关IDOR的漏洞报告,花了一周的时间,整理出这份心得体会。 为了便于参考,本文中将通过数字来引用各种漏洞...
2022年2月14日
【白帽故事】$10,000奖励:安卓平台Adobe Acrobat Reader RCE漏洞
背景介绍: 今天的故事来自一位ID名为SUNNY的白帽子,他在测试 Adobe Acrobat Reader APP时,发现该应用程序允许用户直接从 http/https URL打开 pdf 的功能,...
2022年2月11日
【奖金$5000】将任意无主手机号码添加到我的Facebook账户
背景介绍: 本次故事来自国外一位名叫Shubham Bhamare 的白帽子,如何在受害者不知情的情况下将任意无主手机号码添加到我的个人Facebook账户中?白帽小哥凡尔赛的说这非常简单!废话不多说...
2022年1月18日
【白帽故事】$8000赏金奖励:Opera浏览器从XSS 到 RCE
本篇文章共1297字,预计阅读时间4分钟。 背景介绍: 今天的故事来自国外一位名为Renwa的白帽子(https://twitter.com/RenwaX23),这也是他提交给Opera的第二个漏洞-...
2021年9月29日
另一枚价值$3133.7的Google IDOR漏洞
背景介绍: 今天的白帽小哥ID:Raidh Ĥere,他在Google Dialogflow中成功找到一处IDOR漏洞,最终获得了Google发放的3133.7美元的赏金奖励。话不多说,我们开始吧。 ...
2021年9月27日
国外一位白帽子2年来总结的10条经验
背景介绍: 这位白帽子在HackerOne上的ID名为“Ahmad Halabi”,最近他将2年来的挖洞经验做了整理总结。 计划制定: 首先来看看这位白帽小哥2年来的计划: 2019年6月到2020年...
2021年8月10日
一款公共交通票务移动APP的XXE漏洞
这是一次国外漏洞赏金计划,漏洞挖掘的目标是一款票务Android应用程序,这款应用程序是一款公共交通票务应用程序,公司的总部设在德国以外。 在登录Android应用程序并检查账户设置后,我看到了一个“...
2021年5月28日
SVG对PDF转换时的SSRF攻击
作者在BugCrowd的一个私有项目中进行挖洞活动,在该项目中,有一个功能复杂的应用程序,其中一处亮点是将对象从SVG转换为PDF、JPG、PNG文件。 当作者找到从用户输入的数据创建PDF的功能时,...