漏洞挖掘365天挑战——Day046:最好的5个bugbountytips

链接:https://twitter.com/h4x0r_dz/status/1493291233501929475

内容:

主要就是理解应用程序。 评论里面其实不少可以看的。

  1. 要测试API的时候,需要去读API文档
  2. 可以fuzzing js文件中的隐藏的API端点
  3. 使用所有的功能,读取API文档,查找测试每一个端点并对其进行修改

我的想法

针对一个目标,肯定是要去熟悉业务,通读文档,然后是每一个功能,尝试修改,写笔记。然后你才在挖洞的时候,才会有关联。

类似,你测试到一个api的v1版本,然后就会想到可能有v2版本。

/api/v1/user/18739 = 403

/api/v2/user/18739 = 200 success

漏洞挖掘365天挑战——Day046:最好的5个bugbountytips”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s