2024年1月22日
绕过双因素认证至账户接管
背景说明 目标服务器存在WAF,一旦进行扫描尝试,就会立即封锁IP地址,因此只能手动渗透该目标。为了保密,暂将目标网站称为’redacted.com‘,这是一个管理物联网项目、...
idor
2023年11月30日
具有邀请功能的账户劫持思路
思维导图: 先决条件: 1️⃣ 确保目标应用程序支持在应用程序内邀请团队成员。 2️⃣ 验证目标应用程序允许帐户注册而无需电子邮件验证,或者找到电子邮件验证绕过漏洞。 测试方法: 1️⃣ 登录你的帐户...
2023年9月7日
一次白嫖LinkedIn Premium会员资格的经历
背景介绍 今天的故事分享来自一位名叫 Anudeep Vysyaraju 的国外白帽子。这位白帽子前段时间利用LinkedIn网站的漏洞,成功‘白嫖’了Premium会员资格。 关于Linkedln ...
2023年9月5日
一个简单的越权漏洞成功拿下Admin权限
背景介绍 国外一名白帽子(Bharat Singh)在渗透测试过程中发现一处 IDOR 漏洞,该网站因为未验证请求正文中的用户输入,从而导致可以获得超级管理员的访问权限,让我们开始今天的故事分享。 漏...
2023年8月9日
“演绎黑客之术:$2000引爆响应操控之力”
题外话:一年一度的国内安全圈的“大狂欢”今天正式拉开帷幕,你参与其中了吗? 背景介绍: 今天的分享来自国外一名ID为 ELgllad 的白帽子,让我们来看看他是如何发现和利用漏洞从而获得赏金的。 由于...
2023年8月9日
一枚价值$5000的Google IDOR漏洞
故事起因: 在从H1和Bugcrowd获得许多撞洞和N/A之后,这位国外白帽子小哥决定开始搜索VDP 程序。 这位白帽子发现了一些Bugs并进行了报告,但一直未得到及时的回复,于是他开始决定在Goog...
2023年1月11日
致命组合–利用IDOR实现CSRF攻击
背景介绍: 渗透目标为 HackerOne 上的一个私人项目,在其中一个域中,白帽子发现了一处跨站请求伪造(Cross Site Request Forgery,简称CSRF)漏洞,当与不安全的直接对...
2022年8月24日
价值 1000 美元的账户接管
背景介绍: 今天的分享来自一位名为“Faique”的印度白帽小哥,让我们来看看他是如何利用配置错误的2FA(2次认证)和OAuth获得账户接管的。 发现过程: 白帽小哥在挖掘漏洞之前,需要了解一切是如...
2022年2月25日
在阅读了220份IDOR漏洞报告后的心得体会
背景介绍: 今天的分享来自国外一位名叫Sm9I的白帽子,他从hackerone中梳理了220份有关IDOR的漏洞报告,花了一周的时间,整理出这份心得体会。 为了便于参考,本文中将通过数字来引用各种漏洞...
2022年2月11日
【奖金$5000】将任意无主手机号码添加到我的Facebook账户
背景介绍: 本次故事来自国外一位名叫Shubham Bhamare 的白帽子,如何在受害者不知情的情况下将任意无主手机号码添加到我的个人Facebook账户中?白帽小哥凡尔赛的说这非常简单!废话不多说...