漏洞挖掘365天挑战——Day070:漏洞报告学习之The story of an old report

链接:https://medium.com/@qdoan95/the-story-of-an-old-report-31606490d01f

作者给我科普了一个安全漏洞披露平台,https://huntr.dev, 我研究了一下。 主要是针对开源项目,还是适合用来学习的。

作者发现了一个youtube的下载程序,在使用youtube-dl的时候,并不验证url。所以导致用它的项目可能SSRF。 因为youtube-dl其实是设计为本地使用的,如果用来做服务的话,就可以通过SSRF来探测一些内网的东西。

在使用开源项目的时候,也需要注意使用的方式,不然很容易出漏洞。

链接: https://huntr.dev/bounties/e6f2d10e-be4d-4d0d-9068-fc7a6dc0e2fc/

我的想法

就这个漏洞,使用了youtube-dl,那我如果在github上搜这个,然后很多项目的star也是很高的,也是可以获得一些奖励,这是不是就是刷漏洞呢?

漏洞挖掘365天挑战——Day070:漏洞报告学习之The story of an old report”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s