|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
这篇文章中提到的漏洞没什么技术含量,但作者在文末说的几句话我认为还是值得很多新人学习...。
大家好👋,我叫 Amjad Ali,是一名网络安全爱好者。最近,我在测试10分钟内发现了一个超链接注入漏洞,并将其报告给Bugcrowd程序。6 小时内,我收到了 200 美元的赏金、5 分、名人堂和 P4 评级。
由于程序只允许在主域上进行测试,所以我跳过了侦察过程,直接创建了一个帐户。我尝试在我的个人资料图片上上传 SVG 文件以进行 XSS,但我没有成功,也没有尝试绕过文件上传。
然而,我注意到网站上有一个讨论功能,用户可以在其中写下他们对产品的想法并进行讨论。我注意到当在讨论部分输入链接时,该网站没有显示超链接。
任何链接输入(例如 www.evil.com)都将显示为纯文本,然后我放置了一个简单的 HTML 有效负载,例如 <h1>hi</h1>,它也以纯文本形式显示。
然而,当我尝试使用 Markdown 有效负载[Click on me to claim 100$ vouchers]( https://evil.com ) 时,超链接变为活动状态。
最初,我认为我的发现可能无效,并将其视为 P5 信息。因此,我决定不报告问题就离开。
几个小时后,我和一位朋友闲聊,他问我是否在寻找 bug。我告诉他,那天我在 Bugcrowd 程序上进行了搜索,但没有发现任何有效的问题。然而,我确实找到了一个超链接注入并与他分享了所有细节。他建议我报告这个问题。与我的朋友讨论后,我被鼓励报告该漏洞。
五小时内,我收到一封电子邮件,说我的发现被触发为 P4,我获得了 200 美元和 5 积分的奖励。
“我了解到,人们永远不应该忽视报告问题,也不应该失去动力,而应该继续寻找并保持耐心。”
我希望我的故事能够激励您继续寻找和报告漏洞,无论它们看起来有多小。请记住,每一个发现都很重要,在这个领域保持耐心和坚持至关重要。
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
|
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
原文始发于微信公众号(潇湘信安):一个超链接注入让我赚了200美元!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论