2024年4月3日
通过重置密码token泄露收获€2500赏金
什么是ATO? ATO全称Account TakeOver,中文一般翻译为“帐户劫持或帐户接管”,ATO一般有多种方式可以实现,比如: 当攻击者使用以往数据泄露中获取到的用户名、密码尝试未经授权访问其...
68 搜索结果
搜索关键字 "xss".
2024年3月27日
在一个Web网站中获得$7000赏金奖励
背景介绍 今天来分享国外一位18岁白帽Amir Abbas的故事,让我们来看看他是如何在一个Web网站中最终获得7000美元赏金奖励的吧。 目标选择 话说某一天,白帽小哥经朋友介绍拿到一个 Hacke...
2024年3月20日
继续Citrix传奇:CVE-2023-5914和CVE-2023-6184
背景介绍 2023 年底,Assetnote的安全研究团队发现了Citrix两个漏洞,他们与 Citrix 团队合作披露了该信息。 Citrix StoreFront 是一个为用户聚合和呈现来自本地和...
2024年3月19日
一周三步曲:从开放重定向到远程代码执行!
背景介绍 今天来讲一位国外白帽子在VK(也就是Mail.Ru集团) 发现并利用一系列漏洞,最终在一周内成功实现远程代码执行(RCE)的故事。时间大概发生在2021年10月,当时我们的故事主角发现了几个...
2024年3月15日
200小时挑战,最终收获$20,300赏金的故事
背景介绍 今天来分享2位国外白帽子在去年7月份,通过200小时(每天花上4-6小时)黑客挑战赛,最终收获$20,300美元赏金的故事。 选择目标 他们选择的目标是一家著名的大公司,因为该公司在赏金网站...
2024年3月5日
黑掉谷歌AI,获得 $50,000 赏金奖励
概要 生成人工智能(GenAI)和大型语言模型(LLM)是过去一年来讨论的热点话题,当 GPT 发布时,OpenAI 打开了在技术生态系统中使用 LLM 的大门, Meta、微软和谷歌等公司纷纷尝试在...
2024年2月27日
使用 Google 脚本资源绕过 PortSwigger上的 CSP
背景介绍 Portswigger 前不久在 HackerOne 上披露一份漏洞报告(https://hackerone.com/reports/2279346),虽然是CSP的绕过漏洞,但有几个背景信...
2024年2月20日
开箱即用的Payloads
Payloads 字典: https://github.com/swisskyrepo/PayloadsAllTheThings https://github.com/cujanovic/Markdo...
2024年1月26日
2023年度精选文章
精选文章根据2023年阅读及分享数量由高至低排序筛选得出,分为漏洞系列、CTF系列和工具系列三个类别。 1.漏洞相关 【$ 20,000】通过发送消息黑掉任意公司-CVE-2021–34506...
2024年1月25日
利用工具从Cloudflare中发现源IP
为什么要找源IP? 作为渗透测试人员/赏金猎人,如果找到源 IP,我们就不需要绕过任何 Cloudflare WAF,从而可以直接将查询注入到源服务器,如下图所示: 如何查看网站是否使用Cloudfl...