其实刚开始写的时候,没想到这个会成一个系列,既然开始了,那就一直写下去吧。
本次看的价值30w人民币漏洞链接:https://hackerone.com/reports/1087489。
截图:
大概场景如下:
白帽子:hey,大兄弟,我发现贵司员工自己写的一个app,泄露了github的token权限啊,我拿这个token可以操纵他的github的读写哟。
审核:hey,大兄弟,不行啊,你说的这个我没复现,是否可以提供进一步的详细信息啊?
白帽子:好的,brother。那个Token是balabala(此处省略若干)。
审核:收到,brother。已经可以复现了,写这个程序的开发已经被拿枪指着在改了。
然后就给了5w美刀。5W美刀啊啊啊,等于人民币30多W。
当然这家厂商还是shopify,上期已经提过一次,然后上期文章末尾说我已经去注册账号挖SELF-XSS去了,那么SELF-XSS到底挖到没有呢?
挖到肯定挖到了,不光挖到自己的,还挖到了别人家的。只是都在不收范围之内。桑心。
点击 阅读原文 可以玩下挖到的XSS(不确定能不能触发,如果不能触发,就发关键词 shopify到公众号获取)
结衣镇楼,加油加油加油:
原文始发于微信公众号(奔跑在Hackerone的路上):想不到吧,这都给钱(6)
