在漏洞赏金计划中重拾希望：我是如何发现价值250美元的XSS漏洞的

几个月前，我已经对漏洞赏金狩猎感到厌倦了。

我测试了太多目标，从登录面板到发票生成器都尝试过，但每次收到的回复都一样：

“重复报告。无奖励。”

很令人沮丧，对吧？

于是我休息了一段时间。然后在某个晚上，我决定再试一次。我打开Google，快速进行了一次dork搜索，找到了一个随机网站。它看起来和我之前测试过的其他平台没什么两样。

但内心有个声音说：还是探索一下吧。

我注册了一个账户并开始四处挖掘。这个网站功能繁多 - 你可以创建客户、生成发票、调整设置等等。

乍一看，一切看起来都很安全。然后我进入了设置面板，说实话，这里正是开发人员有时会忘记对输入进行清理的地方 😏

在浏览选项时，有一个字段引起了我的注意：

自定义发票参考编号格式

下面写着： “{{increment}} 将被替换为递增的整数。”

起初，我以为这只是一个占位符。我输入了999，但收到了错误提示：

“自定义发票编号必须至少包含 {{letter}}、{{number}} 或 {{increment}}…”

创建账户以阅读完整故事。 作者仅向Medium会员开放此故事。

如果你是新用户，请创建新账户免费阅读此故事。