大家好,今天我要分享的是关于HackerOne平台GIF图像处理的ImageMagick漏洞(CVE-2017–15277),漏洞很简单,最终也获得了HackerOne官方奖励的$500美金。 大家好...
HackerOne
HackerOne
fuzz
SQL注入常规Fuzz全记录
前言 本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。...
HackerOne
挖洞经验 | 看我如何反复获取到HackerOne的漏洞测试邀请
今天我要分享的是,利用HackerOne平台的漏洞报告邮件转发(Security@email forwarding)和项目退出功能(Leave Program),无需与厂商的任何用户交互行为,即可实现...
Quizlord
WordPress Plugin Quizlord 2.0 XSS漏洞复现与分析
前言 WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。 Word...
Instagram
挖洞经验 | 价值$6500美金的Instagram发贴文字说明添加漏洞
大家好,我是Sarmad Hassan,今天我要和大家分享的是一个关于Instagram的漏洞,这个漏洞很有意思,我可以利用它来在其它Instagram用户的发贴中添加描述,最终也获得了Instagr...
WEB安全
某行小程序投标测试的思路和坑
*本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。 先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。...
WEB安全
某行小程序投标测试的思路和坑
*本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。 先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。...
HackerOne
挖洞经验 | HackerOne安全团队内部处理附件导出漏洞($12,500)
大家好,今天我要和大家分享的是一个和HackerOne平台相关的漏洞,该漏洞在于可以利用HackerOne平台的“Export as.zip”功能(导出为.zip格式),把HackerOne安全团队后...
fuzz
构造优质上传漏洞Fuzz字典
*本文作者:gv·残亦,本文属于FreeBuf原创奖励计划,未经许可禁止转载 上传漏洞的利用姿势很多,同时也会因为语言,中间件,操作系统的不同,利用也不同。比如有:大小写混合,.htaccess,解析...
