漏洞报告 【Traffic Factory】WordPress Plugin Update Confusion at trafficfactory.com http://hackerone.com/reports/1364851 【Shopify】Sidekiq dashboard exposed at notary.shopifycloud...

漏洞报告 【$250】通过包含多个 unicode 字符（0x0e 和 0x0f）的消息对 Android 的 LINE 客户端进行 DoS http://hackerone.com/reports/1058383 【$500】MacOS 版本的 Facebook Messenger 包含...

漏洞报告 Avito url跳转绕过 http://hackerone.com/reports/956449 挖洞技巧 两个账户劫持漏洞 http://blog.usamav.dev/two-account-takeover-bugs-worth-4300-dollar-bounty Azure跨账户容器劫...

漏洞报告 【Rockstar Games 1,000 USD】Social Club Account Takeover Via RGL And Steam/Epic Linked Account http://hackerone.com/reports/1235008 【TikTok 500 USD】BYPASSING COMMENTING ...

漏洞报告 【VK.com】XSS http://hackerone.com/reports/1115763 【 VK.com】#1343280 Получаем название и аватарку (50x50) частной группы. http://ha...

在线查看容器镜像里面的文件、层级和依赖关系 http://contains.dev/ 容器安全清单：从镜像到工作负载 http://github.com/krol3/container-security-checklist AWS Lambda 函数攻击 http://sysdi...

漏洞报告 通过 post auth SSRF 窃取管理 JWT (CVE-2021-22056) http://blog.assetnote.io/2022/01/17/workspace-one-access-ssrf/ 挖洞技巧 Top 10 web hacking techniques of 2021 - PortSwigg...

http://github.com/lijiejie/swagger-exp 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有： 遍历所有API接口，自动填充参数 尝试 GET / POST 所有接口，返回 Response Code / Conten...

0x01 前言 本来想着先补充一文教你xxxxxx（三）的,这到过年了项目还是有点多，报告都没写完，还是先放这篇文章吧，，，，，，CISP-PTE中的题目，毕竟网上的资料比较少，因为考这个贵呀，，大家...

漏洞报告 【New Relic 1,024 USD】Reflected XSS in VPN Appliance http://hackerone.com/reports/1386438 【Concrete CMS】A bypass of adding remote files in concrete5 FIlemanager leads t...

漏洞报告 GitLab #1196958 Clipboard DOM-based XSS #790634 When you call your branch the same name as a git hash, it could be checked out by dependents Glassdoor #1265390 Reflected X...

大佬们在日常刷洞过程中，或者批量扫某个POC时，总会扫到很多未知资产或者结果量太大一个个去验证资产归属太费时费力。而一些https站点的证书中能看到证书归属，一般通过证书定位的资产都比较准...

漏洞报告 【Internet Bug Bounty 1,200刀】Ruby - Regular Expression Denial of Service Vulnerability of Date Parsing Methods http://hackerone.com/reports/1404789 【Internet Bug Bounty...

在最近的一次SRC打零工中，绕过了一个蛮有意思的xss防御 在上面的参数中address 可以插入<>，但不可以插入' '，会被\给反码成字符串 而cb参数就都可以插入 从我上面输入的字符串可以分析...

受限于个人水平，文中难免会出现错误或者描述不当的地方，还望各位在评论处指出，望谅解。 0x00 前言 续接上文浅谈红队中的权限维持（连载第三篇） 当拿下目标后，难免会遇到拿下的权限只是一个...

漏洞报告 【XVIDEOS 】No-Rate limit of current password on delete account endpoint(http://www.xvideos.com/account/close) http://hackerone.com/reports/1392287 【DigitalOcean】Blind X...