链接:https://junoonbro.medium.com/how-i-earned-9000-with-privilege-escalations-b187d1f8f4fe
作者主要关注的是数据泄露和访问控制。
方法一
一个项目的搜索界面
然后发现了可以bypass,可以泄露所有者的私人信息,评论和邀请链接等
当他删除q的查询字符串之后
得到了一些敏感的信息
方法二
创建了账户,owner和collaborator,然后收集所有的owner的端点,然后用collaborator去尝试一个一个请求。发现了会把很多owner的信息泄露给合作者的漏洞。
为了找到更多的端点,你必须查找JS文件。
Pxiaoer's Blog 
[…] Day064:漏洞报告学习之 How I earned $9000 with Privilege escalations […]
赞赞
[…] Day064:漏洞报告学习之 How I earned $9000 with Privilege escalations […]
赞赞