2025年5月漏洞赏金月度总结与更新

本文详细介绍了2025年5月的漏洞赏金计划动态,包括Hackdonalds挑战赛结果、月度XSS挑战、Spring Heist 2025活动、平台新功能更新,以及各种安全工具和资源推荐,为安全研究人员提供实用指南。

Bug Bytes #224 | 2025年5月漏洞赏金总结与更新

Hackdonalds挑战赛结果揭晓!

一个比往常更容易的挑战,展示了"氛围编码"应用的危险性!感谢所有参与者的贡献。一些关键数据:

  • 94名黑客报告了flag!
  • 首杀由@s3bsrt获得!
  • 21名黑客撰写了优秀的分析报告,@_CryptoCat制作了详细的演练视频!

阅读社区分析报告 →

月度黑客挑战:Confetti

本月Intigriti举办了由joaxcar制作的新XSS挑战。该挑战包含ReDoS、DOM污染和URL消毒绕过。我们再次收到大量提交,其中一些报告制作精良。挑战数据:

  • 13名黑客找到了正确解法
  • 7名黑客撰写了精彩分析报告
  • 首杀由@salvatoreabello获得!

阅读社区分析报告 →

错过挑战?请系好安全带,我们每月都会组织这些挑战!只需确保在Twitter/X上关注我们以获取最新动态!

Spring Heist 2025

你是否具备以下能力…

  • 参与虚拟黑客活动
  • 赚取高达10,000欧元的赏金
  • 攻击有趣的银行目标,挑战你的创造力
  • 并且持续2周不间断?

准备就绪!Spring Heist 2025终于来了!立即申请,有机会获得比利时现场黑客活动的私人邀请!

立即申请 →

最新平台更新

新功能已上线,帮助你发现最相关的项目并根据你的经验进行定制:

  • 行业过滤器 — 轻松按行业筛选项目,专注于对你最重要的内容
  • 个人资料中的首选行业 — 在个人资料中设置行业偏好,获得更个性化的项目推送

Bug Bounty Talks工具上线!

我们很高兴推出全新的Bug Bounty Talks页面,这是一个让公司和活动组织者能够发现并邀请我们社区的顶级道德黑客进行演讲的空间。

👉 无论你是想为下一次安全会议预订演讲者,还是想向最佳学习,这里都是起点。

工作原理:

  1. 浏览才华横溢的研究人员的演讲
  2. 通过表格提交请求
  3. 我们将审核并将有效请求直接转发给演讲者

你是想分享故事的黑客吗?提交你自己的演讲并加入阵容,快速简单!

访问Bug Bounty Talks页面 →

博客和视频

以下是过去一个月我们建议你阅读的Intigriti博客和网络文章精选。

利用NoSQLi注入漏洞 NoSQL注入相比经典SQL注入更容易利用…但它们似乎更难发现!在我们最新的文章中,我们记录了如何识别、利用和升级这种著名的SQL注入类型!

想要开始发现更多子域名接管漏洞?避免重复捕获? 阅读我们的详细文章,了解如何开始发现大多数其他猎人错过的子域名接管!

氛围编码是席卷Web开发领域的最新趋势之一! 我们为你策划了一份深入指南,帮助你在AI生成的代码中发现更多漏洞!

工具和资源

工具

SQLTimer 想要快速扫描基于时间的SQL注入?一定要试试SQLTimer!这是一个简单、极速的工具(用Golang编写),可在GitHub上获取!

@albinowax来自PortSwigger分享了一个快速简单的脚本来帮助你测试竞争条件漏洞!这种漏洞类型可能导致各种意外结果!

寻找移动端渗透测试工具?查看Ch0pin的Medusa,这是一个帮助测试Android和iOS移动应用的框架!

使用奇怪字符进行模糊测试可能引发有趣响应。Recollapse是一个简单的模糊测试工具,帮助你在Web应用中寻找异常规范化,并生成有效载荷来绕过弱验证!

想要将你的有效载荷转换为晦涩字符?Unicode文本转换器是一个简单工具,让你轻松将有效载荷转换为奇怪字符以绕过弱过滤器!

资源

调查利用CraftCMS中RCE的真实活动 CraftCMS中的RCE!Orange Cyberdefense的这份技术调查报告深入探讨了服务器如何通过CraftCMS中的2个CVE被入侵!

测试2FA绕过时,始终检查你的请求!@tabaahi_在他的最新文章中分享了他如何通过一个相当简单的技巧绕过2FA!如果你想深入了解2FA黑客技术,一定要阅读这篇文章!

账户接管漏洞可以通过多种方式实现!@sec_0xbro记录了他如何通过2种不同的密码重置漏洞接管任何账户!

客户端漏洞对你来说难以发现?在浏览以下广泛的客户端漏洞资源列表后就不再是问题了!

开发人员仍然会将不需要的代码推送到生产环境!Nocley和他的队友Fatman分享了他们如何通过GitHub Dorking发现ENV文件!

我们都知道SSRF漏洞可能变成有影响力的漏洞。Skyer记录了他发现SSRF漏洞的方法,从而获得内部面板和数百万用户记录的访问权限!

幕后花絮

Intigriti参加CyberSec Europe! Intigriti参加了CyberSec Europe!我们的团队进行了3场卓越演讲,最后我们的首席黑客官(CHO)@intidc在主舞台上带来了魔法表演!快速回顾:

  • “揭开黑客的面纱”(5月21日,16:00-16:30) — 与顶级道德黑客进行炉边谈话
  • “扩展漏洞管理”(5月22日,10:00-10:30) — 我们的安全与IT主管Niels H.分享资源有限组织的实用建议
  • “大结局” — 我们的首席黑客官Inti De Ceukelaire将呈现他的"魔法黑客"表演作为闭幕演讲

Intigriti现已获得CREST认证! Intigriti现已正式获得CREST认证!这一 prestigious 认可验证了我们强大的方法论和对提供顶级安全渗透测试服务的承诺!

在我们最新的文章中阅读所有相关内容!

CREST认证强化Intigriti的渗透测试卓越性

阅读完整文章 →

反馈和建议

如果你有反馈或建议帮助我们构建和发展,我们想听取你的意见!发送邮件至support@intigriti.com,我们将接手处理!

祝愿你下个月收获丰厚, 继续摇滚!

加入125,000+安全研究人员,获取月度漏洞赏金提示和见解! 立即订阅

你可能还喜欢

  • Intigriti Bug Bytes #226 - 2025年7月 🚀 2025年7月18日 继续阅读
  • Intigriti Bug Bytes #225 - 2025年6月 🚀 2025年6月13日 继续阅读
  • Intigriti Bug Bytes #223 - 2025年4月 🚀 2025年4月11日 继续阅读
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次