bugbounty技巧聚合20210930

漏洞报告

【QIWI 300刀】api.flocktory.com存在HTTP请求走私,导致XSS

https://hackerone.com/reports/955170

【U.S. Dept Of Defense】美国国防部某站点存在信息泄露漏洞(CVE-2020-14179)

https://hackerone.com/reports/1336397

【U.S. Dept Of Defense】美国国防部某站点存在XSS漏洞(CVE-2020-3580)

https://hackerone.com/reports/1243650

挖洞技巧

使用FUZZ技术绕过hostname限制来成功利用SSRF

https://blog.deesee.xyz/fuzzing/security/2021/02/26/ssrf-bypassing-hostname-restrictions-fuzzing.html

挖洞工具

基于nuclei构建的graphql指纹识别模版~

https://github.com/KingOfBugbounty/KingOfBugBountyTips/blob/master/graphql-OFJAAAH.yaml

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容