bugbounty技巧聚合20220126 - 火线 Zone-安全攻防社区

bugbounty技巧聚合20220126

43999

漏洞报告

【Imgur】密码无长度
https://hackerone.com/reports/1411363
【Mail.ru 】子域接管
https://hackerone.com/reports/1348504
【Lark Technologies】能够使用 Lark 的 Compose Email 功能通过操纵响应来窃取私人文件
https://hackerone.com/reports/1373784

挖洞技巧

我是如何入侵数千个子域的
https://medium.com/@moSec/how-i-hacked-thousand-of-subdomains-6aa43b92282c
我如何能够接管网站中的帐户与 Github 作为 SSO 提供商打交道
https://infosecwriteups.com/how-i-was-able-to-takeover-accounts-in-websites-deal-with-github-as-a-sso-provider-294290358e0c

挖洞工具

条件竞争漏洞工具。
https://github.com/TheHackerDev/race-the-web
扫描所有正在运行的进程。识别并转储各种潜在的恶意植入（替换/植入的 PE、shellcode、挂钩、内存中的补丁）。
https://github.com/hasherezade/hollows_hunter