📡 伪装成追踪像素的CSRF攻击:如何像间谍一样窃取用户操作 🚁🎯
嘿!😁
放大图片将显示
😂 生活就像像素化…
有没有感觉像被电影里那个隐形人监视?没错,这就是我这周的感受,只不过我拥有的不是隐身超能力,而是一个1x1像素图片和一个CSRF配置错误。欢迎来到又一集"用最小努力和最大戏剧性黑遍全球"。
说实话——成年人的生活很难。但最难的是向妈妈解释你不是在黑Facebook,而是在负责任地披露漏洞。她仍然以为我在"谷歌客服"工作。
总之…
我是如何发现支付篡改漏洞并几乎实现零元支付的!
免费链接🎈
infosecwriteups.com
🌐 侦察:像素狩猎开始
像每个值得拥有连帽衫的漏洞赏金猎人一样,我从大规模侦察开始。使用gau、waybackurls和katana等工具,我开始像吸尘器一样从每个子域名收集端点。
|
|
创建帐户以阅读完整故事。
作者仅向Medium会员提供此故事。
如果您是Medium新用户,请创建新帐户免费阅读此故事。
在应用中继续
或在移动网页端继续
使用Google注册
使用Facebook注册
使用邮箱注册
已有帐户?登录
42422关注
发布于InfoSec Write-ups
6.6万关注者·最后发布1天前
收录全球最佳黑客的各类文章,涵盖漏洞赏金、CTF、vulnhub机器、硬件挑战和真实遭遇。订阅我们的每周通讯获取最酷的信息安全更新:https://weekly.infosecwriteups.com/
关注
关注
作者:Iski
1.7K关注者·6正在关注
网络安全研究员 | 渗透测试员 | 漏洞赏金猎人 | Web安全 | 热爱网络安全和安全自动化
关注
回复 (2)
写回复
您有什么想法?
取消
回复
Ahmed Karaibrahimov 1天前
又是一篇很棒的文章。您已经是我Medium上前三的作者了。希望您在某处有一些漏洞赏金课程可以学习。真的,我从您的每篇文章中都能学到新东西。谢谢!
1回复
Metasploit254 4小时前
一如既往没有错过阅读您的文章😂👍🏾
回复
帮助
状态
关于
职业
媒体
博客
隐私
规则
条款
文本转语音