如何在放弃漏洞赏金希望后发现价值250美元的XSS漏洞

几个月前，我几乎要放弃漏洞赏金狩猎了。

我测试了太多目标，从登录面板到发票生成器都尝试过，但每次收到的回复都一样：

“重复漏洞。无奖励。”

很令人沮丧，对吧？

于是我休息了一段时间。然后在某个晚上，我决定再试一次。我打开Google，快速进行了一次dork搜索，找到了一个随机网站。它看起来和我之前测试过的其他平台没什么两样。

但内心有个声音说：无论如何都探索一下吧。

我注册了一个账户并开始四处挖掘。这个网站有很多功能 - 你可以创建客户、生成发票、调整设置等等。

乍一看，一切看起来都很安全。然后我进入了设置面板，因为说实话，这里正是开发人员有时会忘记清理输入的地方😏

在浏览选项时，有一个字段引起了我的注意：

自定义发票参考编号格式

下面写着： “{{increment}}将被替换为递增的整数。”

起初，我以为这只是个占位符。我输入了999，但收到了错误：

“自定义发票编号必须至少包含{{letter}}、{{number}}或{{increment}}…”

创建账户以阅读完整故事。 作者仅向Medium会员提供此故事。