hackerone之看着大佬的漏洞流口水

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

最近梅雨季和躺平最配啦，人呀，有时候就很奇怪，有着时间不想着捡捡漏洞，就喜欢看大佬的报告流哈喇子（没错，说的正是在下，上篇说的分享重复的漏洞后续等厂商修复了再分享哈，其实想想似乎也没有啥可分享的，就比较简单，毕竟在下只配捡洞）。

话不多说直接上正文，最近周末看到2份公开报告，之所以要分享它们，主要也并不是因为它思路不错而分享，主要是想把他的赏金亮出来羡慕羡慕（天天自问：为啥不是me的）。

2份报告都是和绕过限制有关，其实思路大家估摸着都熟悉的一批啦，但是就是挖不到，只能看着大佬的嘎嘎赚，问题来了这是为啥呢。

第一份报告，比较典型的host碰撞。这里原理就不用讲啦，相信各位大佬都玩到手软啦，直接上大佬的报告。

比较朴素哈，但这不是重点，重点是赏金呀，白花花的美刀，刺溜刺溜，嘎嘎舔屏。

另外一份报告，更加简单丝滑，XFF头绕过，emmmm，为啥我就遇不到呢，而且大佬这里的报告似乎按道理讲没有太说得出来的危害，因为只是绕过了限制，但是并没有啥敏感信息泄露 or 利用情况。在国内估计已经被嘎嘎忽略啦。

但是国外厂商似乎认可啦，出手真大方（这不是反话，是真羡慕）。

原文始发于微信公众号（安全无界）：hackerone之看着大佬的漏洞流口水