深夜iSpy.today警报如何转化为1000美元漏洞赏金

大约一个月前，我推出了iSpy.today——一个专为漏洞赏金猎人打造的工具，用于实时监控GitHub推送事件并捕获暴露的敏感信息。我通过配置目标的GitHub组织名称和匹配的邮箱域名添加了多个监控目标。

深夜警报

某天凌晨2点左右，当我正在手机上漫无目的地浏览时，一条iSpy警报突然弹出。

iSpy.today Discord警报

iSpy.today发现了一个包含疑似API密钥的提交。提交使用的邮箱与我某个监控目标的域名匹配，但该代码库并不在其官方GitHub组织下。

这立刻引起了我的注意。

经过深入调查，我发现拥有该代码库的GitHub组织确实由目标公司运营——只是这不是他们的主要或对外公开的组织。

确认该目标在赏金范围内后，我迅速在HackerOne上提交了报告。

第二天早上，另一位iSpy用户给我发消息说他们也收到了相同的警报，但为了避免重复报告而暂未提交。看来我抢先了一步——而且很幸运。

报告在当天就被分类处理并获得了1000美元的赏金。

作者: Arshad Kazmi 106位关注者 · 关注10人 回复 (1) 查看所有回复