一个超链接注入让我赚了200美元!
2023-11-6 08:31:34 Author: 潇湘信安(查看原文) 阅读量:4 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

这篇文章中提到的漏洞没什么技术含量,但作者在文末说的几句话我认为还是值得很多新人学习...。


大家好👋我叫 Amjad Ali,是一名网络安全爱好者。最近,我在测试10分钟内发现了一个超链接注入漏洞,并将其报告给Bugcrowd程序。6 小时内,我收到了 200 美元的赏金、5 分、名人堂和 P4 评级。

由于程序只允许在主域上进行测试,所以我跳过了侦察过程,直接创建了一个帐户。我尝试在我的个人资料图片上上传 SVG 文件以进行 XSS,但我没有成功,也没有尝试绕过文件上传。

然而,我注意到网站上有一个讨论功能,用户可以在其中写下他们对产品的想法并进行讨论。我注意到当在讨论部分输入链接时,该网站没有显示超链接。

任何链接输入(例如 www.evil.com)都将显示为纯文本,然后我放置了一个简单的 HTML 有效负载,例如 <h1>hi</h1>,它也以纯文本形式显示。

然而,当我尝试使用 Markdown 有效负载[Click on me to claim 100$ vouchers]( https://evil.com ) ,超链接变为活动状态。


最初,我认为我的发现可能无效,并将其视为 P5 信息。因此,我决定不报告问题就离开。

几个小时后,我和一位朋友闲聊,他问我是否在寻找 bug。我告诉他,那天我在 Bugcrowd 程序上进行了搜索,但没有发现任何有效的问题。然而,我确实找到了一个超链接注入并与他分享了所有细节。他建议我报告这个问题。我的朋友讨论后,我被鼓励报告该漏洞

五小时内,我收到一封电子邮件,说我的发现被触发为 P4,我获得了 200 美元和 5 积分的奖励。

“我了解到,人们永远不应该忽视报告问题,也不应该失去动力,而应该继续寻找并保持耐心。”

我希望我的故事能够激励您继续寻找和报告漏洞,无论它们看起来有多小。请记住,每一个发现都很重要,在这个领域保持耐心和坚持至关重要。

关注我们

 还在等什么?赶紧点击下方名片开始学习吧!


信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247507340&idx=1&sn=28099bab4828137263c8356ccb618bfb&chksm=cfa5799ff8d2f0899d129250a935283c272df2c974a0aa464fa7c231bb2ae8ac4efd32ef886f&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh