第一个漏洞

我最初的目标并不是寻找漏洞，而是在开发一个自动化dorking工具。当时我正在收集各种Google dork，用于测试工具功能。

查看QueryDorker工具：https://github.com/pand-coder/QueryDorker/blob/main/QueryDorker.py

在测试过程中，我输入了我们学院CMS的URL作为测试目标，发现了一个敏感端点，这导致了访问控制破坏漏洞。

使用的Dork：

1

site:*.https://xyz.com/ -www

该dork用于搜索xyz.com的所有HTTPS子域名，但排除包含www的域名。

最终收到了大学的感谢信。

重复漏洞

使用BurpSuite跟踪dell.com和bumba.global网站的登录过程，在认证点获取了JWT令牌。尝试通过{alg:none并在第二个点后移除签名}的方式伪造JWT，同时确保令牌的exp声明（过期时间）已到期。重新尝试时，服务器仍然返回有效令牌，这表明服务器无法区分伪造令牌和有效令牌的问题。

误报分析

在SAP、Geeks for Geeks、Leetcode、MedicalBabaji、Toloko AI等平台发现了类似的JWT后端处理问题。在服务器验证不当的情况下，报告了exp声明和算法混淆攻击。

荣誉榜

通过Web Archive的URL回调API：

1

https://web.archive.org/cdx/search/cdx?url=https://www.xyz.com//api/*&output=text&fl=original&collapse=urlkey&from=

替换目标站点的URL后，成功获取了API端点、资源文件和敏感信息。

在此案例中，我获得了一个名为location.json的文件，其中包含大量公司相关的员工Gmail地址和姓名，这些信息可用于社会工程学攻击、用户登录枚举、网络钓鱼和恶意软件分发。

漏洞类型：敏感信息泄露

感谢所有在这段旅程中陪伴我的人。还有更多需要学习、更多需要失败、更多需要成长的空间——因为每一次失败都教会我变得更好。我始终保持开放的心态，准备向任何人、在任何地方学习。我很想听听您的想法——请留下您的观点，让我们一起继续学习。

签名： Pavan Shanmukha Madhav Gunda

相关标签

Bug Bounty | 漏洞报告编写 | 概念验证 | 渗透测试 | 测试