site:http://hackerone.com inurl:reports "postmessage""xss"原文始发于微信公众号(Khan安全团队):hackerone 国外公开报告搜索语法
观hackerone大佬之轻轻松松上w美刀
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。周末闲着没事,于是乎上hackerone学习学习大佬们的新姿势,这不看不得了一看发现,不愧是大佬,思路属实...
通过 OPTIONS 请求+方法走私:HackerOne赏金案例解析
假如服务器对于 OPTIONS 的请求过于‘宽容’,会有怎样的惊喜呢?今天让我们来看一个 HackerOne 上的案例。 首先,某网站的端点的请求抓包如下: POST /user/profile/ex...
价值$10,000的漏洞
前言 白帽 TheFlow 通过漏洞平台 HackerOne 披露了一项新的 PS5 内核漏洞。这是一次全面的披露(尽管没有实际的 PoC 代码),因此假设该漏洞由用户模式被发现,这可能会给寻求越狱的...
价值$10,000的PS5内核漏洞!TheFlow再曝索尼系统级缺陷
前言 白帽 TheFlow 通过漏洞平台 HackerOne 披露了一项新的 PS5 内核漏洞。这是一次全面的披露(尽管没有实际的 PoC 代码),因此假设该漏洞由用户模式被发现,这可能...
价值 $25,000 的hackerone 漏洞
这个故事的标题听起来有点怪,但确实如此。故事围绕的是在 HackerOne 发现的一个安全漏洞展开,这个漏洞会暴露 HackerOne 的漏洞报告者(也就是“黑客”)和项目团队成员账户的敏感个人数据。...
我2024年在国外赏金的挖洞经验分享
大家好,我叫xiutan555(草莓醉雪),给大家分享一下我是如何在去年进入hackerone 中国区2024年第一季度第三以及第二季度第二的 在开始之前先讨论一下BBP和VDP的区别 BBP 就是我...
HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒?
“ 和审核斗智斗勇。”看到了,关注一下不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP知识点,...
hackerone 挖洞利器-Synchro - 越权测试工具
阅读须知 文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!...
利用条件竞争绕过 HackerOne 2FA
扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)这篇文章讲述了我是如何发现 HackerOne 的一个 竞争条件漏洞,该漏洞允许我...
由于争用条件而绕过 HackerOne 2FA
这篇文章是关于我如何发现一个竞争条件漏洞,该漏洞允许我关闭任何 HackerOne 帐户的 2FA。我不知道这个漏洞存在了多长时间,直到我注意到并向团队报告。 背景:首先了解 Hackerone 的 ...
用户界面拒绝,后端放行 记一次邮件验证bypass
HELLO HACKERS, 希望大家一切顺利!今天,我将分享一个在 HackerOne 公开项目 中发现的逻辑漏洞。所以,话不多说,让我们直接进入正题。 前言 这个漏洞出现在 HackerOne 的...