赏金猎人 - 第 3 | CN-SEC 中文网

安全文章

【赏金猎人】折扣政策绕过漏洞

前言：这是在私人计划发现的bug，Target: https://bhojdeals.com 这篇文章会演示：未经授权的操作漏洞，绕过 Waf 和防火墙安全，未经身份验证的优惠券创建漏洞，价格操纵漏...

02月19日29 views评论

阅读全文

安全文章

【赏金猎人】缓存中毒XSS绕过waf接管帐户

一，什么是缓存中毒Web 缓存中毒是一种复杂的技术，攻击者希望利用 Web 服务器和缓存的操作向其他用户提供恶意 HTTP 响应。Web 缓存中毒有两个步骤。首先，攻击者必须弄清楚如何从后端服务器获取...

02月16日25 views评论

阅读全文

安全文章

赏金猎人|记一次越权导致敏感信息泄露及信息发送

0x01 前言叙述目标平台是一个招聘网，对资产进行打点，发现真没啥可以做的，现在安全防范做的都不错，WEB各种防护鉴权，但是功能点是真的LOW，文件上传点都没有，发送验证码压根收不到，最后从APP下手...

02月12日25 views评论

阅读全文

安全工具

自动化监控赏金项目 - laoyue

01 项目地址https://github.com/Soufaker/laoyue02 项目介绍一款自动化SRC监控赏金猎人，专为安全研究人员和赏金猎人项目设计，提供多种工具集成和自动化功能，加快漏洞...

02月07日36 views评论

阅读全文

安全文章

【赏金猎人】聊天机器人接管：冒充网站并控制用户通信

target: xxx.com 这个网站可以通过右下方聊天窗口进行互动就像经常看到的客服窗口一样的。首先创建两个窗口登录网站进行互相对话使用F12大法找到聊天id可以用burpsuite找到另一个窗口...

02月07日28 views评论

阅读全文

安全文章

赏金猎人|从摆烂的逻辑漏洞到离CNVD证书差一步之遥

0x01 前言最近对于挖洞确实很摆烂、首先就是没有明确的目标和想要的漏洞类型，其次就是在几年前不起眼的逻辑漏洞在如今被重视起来，挖的也烦了，年前再水一次文章罢，不过这次的故事挺滑稽的，本次漏洞...

02月05日36 views评论

阅读全文

安全文章

【赏金猎人】从shodan到未经身份验证100$

记录一次从shodan到测试页面->信息泄露的漏洞过程https://www.shodan.io/测试目标target：redated.com使用shodan对目标域名进行搜索，直到发现一个ip...

02月05日29 views评论

阅读全文

安全文章

【赏金猎人】鼠标一点直接将2FA绕过

先说一下什么是2FA？双因素身份验证（2FA），有时称为两步验证或双因素身份验证，是一种安全过程，其中用户提供两种不同的身份验证因素来验证自己，以更好地保护用户的凭据和用户可以访问的资源。什么是OP...

01月24日56 views评论

阅读全文

安全文章

赏金猎人|兜兜转转拿下平台充值漏洞

0x01 前言业务平台为网络虚拟商品，此次做被动信息收集，本着也是平台老用户的心态，做好事不留名，看看有无逻辑漏洞及手工测试漏洞，各位师傅们测白盒审代码撸洞永远是我追随的目标此处说明关...

01月24日44 views评论

阅读全文

安全文章

赏金猎人|利用nday快速刷分挖洞篇

0x01 前言首先，对于0day、1day、nday在某平台提交漏洞入口是这么说明的0day（零日）漏洞：指软件厂商尚未发现并修复的漏洞。黑客利用这些未知漏洞进行攻击，而软件开发商还没有来得及发布补丁...

01月09日277 views评论

阅读全文

安全新闻

赏金猎人App曝光：非法获取车辆位置信息致数十万人个人隐私泄露

关键词违法软件、个人信息安全近期曝光的一款名为“赏金猎人”的App引发了一场关于隐私安全的争议。该应用以拍摄路边停放的车辆为“猎物”，用户上传车辆照片和位置后有机会获得“赏金”。然而，调查发现这一行为...

01月06日53 views评论

阅读全文

安全闲碎

HackerOne 公开的热门报告【赏金猎人的下饭菜】

热门公司报告排名：Mail.ru：作为一家国际知名的互联网公司，Mail.ru的报告在排名中占据重要位置。我们深度分析了其网络安全漏洞，以确保用户数据的安全。HackerOne：作为全球最大的漏洞...

12月27日85 views评论

阅读全文