HackerOne 挖洞经验 | HackerOne平台ImageMagick漏洞导致服务器内存信息泄露 大家好,今天我要分享的是关于HackerOne平台GIF图像处理的ImageMagick漏洞(CVE-2017–15277),漏洞很简单,最终也获得了HackerOne官方奖励的$500美金。 大家好... NEW 12月01日 阅读 2 views 发表评论 阅读全文
fuzz SQL注入常规Fuzz全记录 前言 本篇文章是在做ctf bugku的一道sql 盲注的题(题目地址:注入题目)中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。... 11月29日 阅读 0 views 发表评论 阅读全文
HackerOne 挖洞经验 | 看我如何反复获取到HackerOne的漏洞测试邀请 今天我要分享的是,利用HackerOne平台的漏洞报告邮件转发(Security@email forwarding)和项目退出功能(Leave Program),无需与厂商的任何用户交互行为,即可实现... 11月28日 阅读 5 views 发表评论 阅读全文
Quizlord WordPress Plugin Quizlord 2.0 XSS漏洞复现与分析 前言 WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。 Word... 11月25日 阅读 3 views 发表评论 阅读全文
Instagram 挖洞经验 | 价值$6500美金的Instagram发贴文字说明添加漏洞 大家好,我是Sarmad Hassan,今天我要和大家分享的是一个关于Instagram的漏洞,这个漏洞很有意思,我可以利用它来在其它Instagram用户的发贴中添加描述,最终也获得了Instagr... 11月21日 阅读 5 views 发表评论 阅读全文
WEB安全 某行小程序投标测试的思路和坑 *本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。 先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。... 11月21日 阅读 2 views 发表评论 阅读全文
WEB安全 某行小程序投标测试的思路和坑 *本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。 先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。... 11月21日 阅读 4 views 发表评论 阅读全文
HackerOne 挖洞经验 | HackerOne安全团队内部处理附件导出漏洞($12,500) 大家好,今天我要和大家分享的是一个和HackerOne平台相关的漏洞,该漏洞在于可以利用HackerOne平台的“Export as.zip”功能(导出为.zip格式),把HackerOne安全团队后... 11月19日 阅读 7 views 发表评论 阅读全文
fuzz 构造优质上传漏洞Fuzz字典 *本文作者:gv·残亦,本文属于FreeBuf原创奖励计划,未经许可禁止转载 上传漏洞的利用姿势很多,同时也会因为语言,中间件,操作系统的不同,利用也不同。比如有:大小写混合,.htaccess,解析... 11月16日 阅读 7 views 发表评论 阅读全文