2024年8月6日
在 Instagram 上查看任何人的私人电子邮件和生日信息
概述 国外白帽子发现 Facebook Business Suite 正在从页面消息泄露有关 Instagram 用户的私人信息。 利用此漏洞,攻击者只需通过向任何 Instagram 用户发送消息即...
bugbounty
2024年7月30日
利用出色的侦察能力获得 2000 美元赏金
背景介绍 2024 年 5 月 15 日,凌晨 3 点,国外小哥‘寂寞难耐’,于是拿起手机尝试寻找一个新的赏金目标,很幸运,小哥发现了一个大约半小时前刚刚在intigriti.com上推出的新程序。 ...
2024年7月10日
一则SSRF漏洞的故事
背景介绍 该项目为一个云银行平台,使银行提供商能够根据他们的描述快速创建、推出和服务贷款和存款产品。 漏洞发现 白帽小哥正在测试的子域有两个权限Admin&User,他们在这两个权限之中发现了...
2024年6月25日
如何大规模搜寻泄露的敏感文件
背景介绍 随着纸质文件越来越不受欢迎,现在相当一部分重要数据和文件都存储在互联网上。 每天都有许多关于公司敏感文件泄露的消息被爆出,这些文件原本是供员工、投资者内部使用,或用于管理内部业务,如果不采取...
2024年6月23日
5分钟内快速找到价值$100的漏洞
背景介绍 本文分享一个通过开发者疏忽在前端或服务器响应信息中泄露验证信息、代码,从而导致任意用户接管的真实案例。话不多说,进入正题。 发现经过 注册新用户时,相信有经验的同学都会检查服务器的响应包,尤...
2024年6月17日
打造自己专属的漏洞赏金搜索引擎
前言 你是否想过使用 Google 和 Bing 来收获漏洞赏金?!你是否知道你也可以对这些大名鼎鼎的搜索引擎进行自定义?让它们只向你显示漏洞赏金的目标?那么今天就让我们来看看如何打造一款自己专属的漏...
2024年6月14日
XSS WAF绕过的一些基本思考
前言 遇到WAF相信大家会很沮丧,今天就分享一个绕过WAF实现XSS的基本思路。 通过上图可以看到中间的CloudFlare防火墙将作为右侧服务器的代理服务器。 服务器是labs.hackxpert....
2024年6月12日
某Android APP中一处国内不认国外认的有趣Bug
前言 该APP在Hackerone上为“私有项目”,白帽小哥在该APP中发现了一处有趣的Bug,分享给各位。 故事开始 该APP有两个Activity。 一个我们姑且称之为com.activity.w...
2024年6月7日
在家用摄像头中利用 N-Day
背景介绍 今天分享国外网友@io::pewpew()针对 TP-Link Tapo C100 家用摄像头从提取固件到发现 N-day并编写完整 RCE 的漏洞利用完整过程,废话不多说,让我们开始吧。 ...