漏洞挖掘365天挑战——Day027:Anessha的第一个Bounty

链接:https://medium.com/@interc3pt3r/my-first-bounty-and-how-i-got-it-a6dba459c652

这里面介绍了一个工具,findomain-linux,我研究了一下。

地址:https://github.com/Findomain/Findomain

这个工具竟然是Rust写的,就是整合了很多工具和API,主要是用来查询子域名的。号称最快的子域名工具,后面研究一下。

这个漏洞呢。就是用Findomain扫出来一个子域,https://offers.grofer.io 发现并没有网站托管。那作者就去注册了一个,然后就接管了这个子域。

最后得到了10000卢比,差不多1000人民币。

这里关键就是子域,枚举的时候,还是需要字典得准备得好。这里的offer子域,应该是很好扫出来的。

漏洞挖掘365天挑战——Day027:Anessha的第一个Bounty”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s