bugbounty

2024年1月4日

如何在Epic Games上赚到$7,000赏金

背景介绍 今天来看看国外白帽通过将一个简单的漏洞升级为可远程触发的代码执行漏洞,如何在Epic Games赏金计划中获得了7K奖励,当然,目前该漏洞已被修复,在此次漏洞挖掘过程中,白帽小哥学到了两样东...

进一步了解
2023年12月22日

从Self XSS 到账户接管

背景介绍 今天分享一位白帽小哥在H1上将一处Self XSS升级为账户接管的漏洞过程。由于披露原则,目标网站以下统称为“https://reacted.com” 。 发现过程 在对目标站点进行测试时,...

进一步了解
2023年12月20日

最新Twitter XSS + CSRF 漏洞完整披露

背景介绍 通过点击精心设计的链接或访问某些精心设计的网页,将允许攻击者接管受害者帐户(从而使用受害者帐户进行发帖、点赞、甚至更新个人资料、删除帐户等操作),不知道大家还记得新浪微博2011年曾受到过x...

进一步了解
2023年12月13日

利用关键 0day XXE 漏洞实现 SSRF 攻击

背景介绍 在安全研究中,发现并利用漏洞往往是一个具有挑战性的过程,需要耐心、毅力和创新思维。在本文中,骨哥将分享安全人员如何在不到 6 小时发现并利用一个关键的 XXE 漏洞,进而实现对第三方软件的全...

进一步了解
2023年11月30日

具有邀请功能的账户劫持思路

思维导图: 先决条件: 1️⃣ 确保目标应用程序支持在应用程序内邀请团队成员。 2️⃣ 验证目标应用程序允许帐户注册而无需电子邮件验证,或者找到电子邮件验证绕过漏洞。 测试方法: 1️⃣ 登录你的帐户...

进一步了解