想不到吧,这都给钱(6)

渗透技巧 3年前 (2021) admin
563 0 0

其实刚开始写的时候,没想到这个会成一个系列,既然开始了,那就一直写下去吧。


本次看的价值30w人民币漏洞链接:https://hackerone.com/reports/1087489。


截图:

想不到吧,这都给钱(6)


大概场景如下:


白帽子:hey,大兄弟,我发现贵司员工自己写的一个app,泄露了github的token权限啊,我拿这个token可以操纵他的github的读写哟。


审核:hey,大兄弟,不行啊,你说的这个我没复现,是否可以提供进一步的详细信息啊?


白帽子:好的,brother。那个Token是balabala(此处省略若干)。


审核:收到,brother。已经可以复现了,写这个程序的开发已经被拿枪指着在改了。


想不到吧,这都给钱(6)


然后就给了5w美刀。5W美刀啊啊啊,等于人民币30多W。


想不到吧,这都给钱(6)


当然这家厂商还是shopify,上期已经提过一次,然后上期文章末尾说我已经去注册账号挖SELF-XSS去了,那么SELF-XSS到底挖到没有呢?


挖到肯定挖到了,不光挖到自己的,还挖到了别人家的。只是都在不收范围之内。桑心。

想不到吧,这都给钱(6)


点击 阅读原文 可以玩下挖到的XSS(不确定能不能触发,如果不能触发,就发关键词 shopify到公众号获取)


结衣镇楼,加油加油加油:

想不到吧,这都给钱(6)

原文始发于微信公众号(奔跑在Hackerone的路上):想不到吧,这都给钱(6)

版权声明:admin 发表于 2021年7月28日 上午12:00。
转载请注明:想不到吧,这都给钱(6) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...