漏洞报告 Mattermost 错误配置导致的账户劫持 http://hackerone.com/reports/1114347 Zomato fr1.vpn.zomans.com 子域名劫持 http://hackerone.com/reports/1182864 Basecamp Basecamp子域名劫...

漏洞报告 3500$的XSS http://hackerone.com/reports/1410459 导入文档处SSRF5000$ http://hackerone.com/reports/1409727 自动化挖洞捡到1500$ http://hackerone.com/reports/1380121 挖洞技巧 ...

本篇写的文章是我在公司内部业务系统测试的时候分析的过程，也是个很感谢火线小助手的文章分享： 打开页面点击登录： 在JS中找到获取用户名密码提交的地方，打上断点： 输入用户名密码，提交表...

漏洞报告 MTN Grou #1060518 No rate limit in otp code sending Mail.ru #1255676 Blind XSS Stored and CORS misconfiguration в отчете 'События' сервиса top.mail.ru...

漏洞报告 垂直越权900$ http://hackerone.com/reports/1102652 bucket信息泄露500$ http://hackerone.com/reports/1102546 TikTok XSS 6000$ http://hackerone.com/reports/1452375 挖洞技巧 如...

漏洞报告 【QIWI 300刀】api.flocktory.com存在HTTP请求走私，导致XSS http://hackerone.com/reports/955170 【U.S. Dept Of Defense】美国国防部某站点存在信息泄露漏洞(CVE-2020-14179) http:...

这个页面也是src的，简单打个码，刚开始访问是这个样子滴 我记得我上一篇文章说了xray联动，那这篇就不说了，简单的探测一下，比如nmap，发现这个只有22跟80开放 那没办法，跑一手目录看看，看...

前言：一直以来在挖掘xss时总是被各种过滤，各种实体化转义。是真滴很难受，敢想连着几天兴冲冲奔着表单去，看着被过滤，转义的payload，用尽办法都过不去的心情。最后似乎有个声音在跟我说，能...

漏洞报告 Uber #1145428 Chain of vulnerabilities in Uber for Business Vouchers program allows for attacker to perform arbitrary charges to victim's U4B payment accaount Rockstar Gam...

简介 最近在复现zabbix的漏洞（CVE-2022-23131），偶然间拿到了意大利某公司的zabbix服务器。 Zabbix Sia Zabbix是拉脱维亚Zabbix SIA（Zabbix Sia）公司的一套开源的监控系统。该系统支持网络...

描述： 在挖src的过程中，挖掘到的xss漏洞占比也不少，下面总结一下我挖掘xss中出现的功能点。 一：(经过后台审核触发) 1.问题反馈、发布评论评价、提问题、写文章、咨询 咨询： 问题反馈： 评...

漏洞报告 【Sifchain】点击劫持漏洞 http://hackerone.com/reports/1199904 http://hackerone.com/reports/1212595 【Sifchain】时事通讯功能上的CSRF http://hackerone.com/reports/1190705 【...

Linux操作系统写入计划任务的操作为例，编写exp.sh： redis-cli -h $1 -p $2 config set dir /var/spool/cron/ redis-cli -h $1 -p $2 config set dbfilename root redis-cli -h $1 -p $2 set 1...

原文链接: http://www.o2oxy.cn/3632.html 介绍： 首先呢，先了解下Konga是什么东东(有点多余，知道有漏洞就行了!)，了解konga之前呢，先了解下Kong：Kong是一款基于OpenResty（Nginx + Lua模块...

漏洞报告 Visual Studio advisories/2021_vscode_ipynb_xss_arbitrary_file_read.md at master · justinsteven/advisories Mail.ru [#968402 http://kiwi.youdrive.today/] Information disclo...

护网的时候闲的没事干，我这条咸鱼也开始挖某财大气粗的src 懒得找什么子域名，小程序app，先看主站，xray被动一开，就报有cors漏洞，这种漏洞想要有危害，就是要找一个敏感接口并且此接口正好...