漏洞报告
【Kubernetes 1000刀】用于 kube-apiserver cloudprovider 场景的 SSRF
https://hackerone.com/reports/941178
挖洞技巧
1、浅谈云上攻防--SSRF漏洞带来的新威胁
https://mp.weixin.qq.com/s/gMdorUjh5U_dJdGgRLPzNQ
2、文件上云 - 对象存储的攻击方式
https://mp.weixin.qq.com/s/eZ8OAO5ELgUNvVricIStGA
3、10种经常被忽视的 Web 漏洞:
- HTTP/2请求走私
- XXE 通过 Office Open XML 解析器
- SSRF 通过 PDF 生成器中的 XSS
- SVG 文件的 XSS
- 盲XSS
- WEB缓存欺骗攻击
- Web缓存中毒攻击
- h2c走私
- 二阶子域名劫持
- postMessage漏洞
https://labs.detectify.com/2021/09/30/10-types-web-vulnerabilities-often-missed/
4、RCE exploit both for Apache 2.4.49 (CVE-2021-41773) and 2.4.50 (CVE-2021-42013)
https://twitter.com/roman_soft/status/1446252280597078024
挖洞工具
Packet Storm Security 九月利用合集
https://dl.packetstormsecurity.net/2109-exploits/2109-exploits.tgz
