bugbounty技巧聚合20211202-渗透云记 - 专注于网络安全与技术分享

漏洞报告

【VK.com】XSS
http://hackerone.com/reports/1115763
【 VK.com】#1343280 Получаем название и аватарку (50×50) частной группы.
http://hackerone.com/reports/1343280
【 VK.com】#1253124 XSS в выборе товара.
http://hackerone.com/reports/1253124
【 VK.com】#1268115 Просмотр аватарки замороженной страницы/частной группы.
http://hackerone.com/reports/1268115
【Azbuka Vkusa】相册组件中的反射型XSS
http://hackerone.com/reports/988271
【Mail.ru】存储型XSS
http://hackerone.com/reports/755322
【asecamp】越权导致任意用户发表评论
http://hackerone.com/reports/1307943

挖洞技巧

构建完美的赏金漏洞自动化
http://labs.detectify.com/2021/11/30/hakluke-creating-the-perfect-bug-bounty-automation/
CVE-2021-21234 Spring Boot 目录遍历（复现）
http://pyn3rd.github.io/2021/10/25/CVE-2021-21234-Spring-Boot-Actuator-Logview-Directory-Traversal/

挖洞工具

自动化网络侦察工具
http://github.com/xerohackcom/webrecon

文字来源于- 火线 Zone-云安全社区，安全小天地只做文章分享，如有侵权，请联系站长删除

渗透云记的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。渗透云记拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！访问本博客请务必遵守有关互联网的相关法律、规定与规则。一旦您访问本博客，即表示您已经知晓并接受了此声明通告。详情见本站的“免责声明”如果有侵权之处请第一时间联系我们删除。敬请谅解!E-mail：admin@encenc.com

THE END