欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

我是如何找一个影响数千职业网站的持续型XSS的

来源:本站整理 作者:佚名 时间:2017-07-09 TAG: 我要投稿

我们 Detectify Crowdsource 平台的安全研究员ak1t4最近在他的个人博客中向我们解释了,关于他是如何发现并报告了Teamtailor上一个影响数千职业网站的持续型XSS漏洞的过程,其中也包括了我们Detectify的职业网站。在提交报告一天后,Teamtailor便修补了该漏洞。在此我代表Crowdsource感谢ak1t4和 Teamtailor 的积极响应!

注:这里ak1t4并没有利用持久型XSS访问我们的 Detectify 主站或者用户数据!

关于Detectify Crowdsource研究员

我叫ak1t4,来自阿根廷。我的专业是网络工程,但直到漏洞赏金计划进入我的生活之前,我从未直接与安全工作有过接触。而如今,我已经成功侵入过Google,Uber,Twitter等知名公司。自2006年12月以来,我便一直是 Detectify Crowdsource 的成员之一。

现在,让我们一起回顾下此次漏洞挖掘的精彩过程。

信息收集:

这几天让我感到有些无聊,不经意间我又把目光集中在了我的计算机上。当前我正在浏览detectify.com这个网站,突然一股冲动在我脑海中闪现,没错我决定将detectify.com作为我的测试目标。首先我要对目标站点的子域做个扫描,我习惯性的打开了sublister.py脚本,得到的结果如下:

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载