漏洞挖掘365天挑战——Day064:漏洞报告学习之 How I earned $9000 with Privilege escalations

链接:https://junoonbro.medium.com/how-i-earned-9000-with-privilege-escalations-b187d1f8f4fe

作者主要关注的是数据泄露和访问控制。

方法一

一个项目的搜索界面

然后发现了可以bypass,可以泄露所有者的私人信息,评论和邀请链接等

当他删除q的查询字符串之后

得到了一些敏感的信息

方法二

创建了账户,owner和collaborator,然后收集所有的owner的端点,然后用collaborator去尝试一个一个请求。发现了会把很多owner的信息泄露给合作者的漏洞。

为了找到更多的端点,你必须查找JS文件。

漏洞挖掘365天挑战——Day064:漏洞报告学习之 How I earned $9000 with Privilege escalations”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s