Intigriti Bug Bytes #227 - 2025年8月 🚀

Hi黑客们

欢迎阅读最新一期Bug Bytes！本月内容聚焦：

让我们开始探索！

本次由@J0R1AN设计的XSS挑战仅有7人成功破解，成为Intigriti史上最难挑战之一：

识别服务器源IP 在流行的反向代理后识别服务器源IP。当发现SQL注入点却被WAF阻挡时，如何绕过WAF实现SQL注入？我们的技术文章详细介绍了在CDN和WAF后识别目标源IP的多种方法。

GitHub代码搜索 GitHub代码搜索常被忽视，但这里每天都有开发者意外提交API密钥、数据库凭证等敏感信息。我们的技术文章记录了如何通过GitHub代码搜索发现更多漏洞。

文件上传漏洞回顾 文件上传功能无处不在，简单的验证错误可能导致高危漏洞（如RCE）。我们的技术文章记录了几种在测试文件上传功能时可尝试的技巧。

工具

Fuzzuli备份文件扫描器需要快速检查目标是否意外上传备份文件？@musana开发的Fuzzuli是一款极速备份文件扫描器，支持动态字典生成功能。了解更多使用定向字典发现漏洞的技术细节。

Domloggerpp DOM型XSS是最容易被忽视的XSS类型。@kevin_mizu开发的Domloggerpp是一款简单浏览器扩展，可追踪导致DOM型漏洞的JavaScript DOM接收器。

Hackoriginfinder 绕过Cloudflare、Akamai等WAF具有挑战性。@hakluke开发的Hackoriginfinder能帮助识别反向代理后的服务器源IP。如需深入了解技术原理，请阅读我们的详细文章。

资源

通过favicon哈希发现漏洞 Favicon哈希可通过发现类似目标扩大攻击面。我们最近分享了计算favicon哈希的单行命令，可在Shodan中使用。

漏洞赏金自动化进阶 Rs0n在本视频中分享其自动化漏洞挖掘的方法论。

Log4Shell漏洞在2025年依然存在当大多数研究人员已转向其他方向时，仍有人通过Log4Shell获得关键漏洞。我们的技术推文分享2025年如何识别和利用Log4Shell。

WAF绕过技巧 @coffinxp7分享如何发现任何目标的服务器源IP。

GraphQL漏洞挖掘有研究人员通过提交GraphQL漏洞在Intigriti获得奖金。我们准备了包含所有入门资源的简短推文。

CSP绕过新技巧 @xssdoctor分享通过PDF文件绕过CSP的巧妙方法。

DEF CON 33令人难忘！我们的首席黑客官Inti De Ceukelaire呈现了融合黑客技术与魔术的精彩演出。我们举办了周五早间交流会，并通过私人套房与CEO团队进行深度交流。

如有反馈或希望技术内容被收录，请发送邮件至support@intigriti.com或通过X/Twitter联系我们。

祝您收获丰硕的一个月，继续努力！

加入125,000+安全研究人员每月获取漏洞赏金技巧与洞察！立即订阅