无游戏,只黑客——我在TikTok漏洞赏金项目中赚取3000美元的经历
作者:Radian ID | LegionHunters
发布日期:2025年7月
阅读时间:3分钟
TikTok在HackerOne上的漏洞赏金项目
那是一个普通的夜晚。我的朋友邀请我一起玩《Valorant》——这是我们的日常晚间活动。但出于某种原因,我拒绝了。相反,我打开了Burp Suite,开始寻找漏洞赏金机会。这是我做过的最好的决定。
因为那天晚上,我在TikTok上发现了三个漏洞,最终赚取了总计3000美元的赏金。
侦察游戏
我的探索从简单的侦察开始。我使用urlscan.io扫描与TikTok域名相关的所有端点。经过一番挖掘,我得到了一个庞大的列表——大约有10,000个URL。
手动滚动浏览(是的,手动),我发现了一个路径下的端点,看起来像是一个活动分享功能。该URL附带了几个参数——这立刻引起了我的好奇心。(无法分享完整端点)
我开始尝试修改区域参数。为了测试反射,我输入了这个无害的Payload:
|
|
猜猜发生了什么?它完全反射回来了。没有过滤,没有编码。
进入WAF——Akamai
我心想:“好吧……这可能有点意思。”于是我测试了一个经典的Payload:
|
|
被Akamai——TikTok的WAF拦截了。而且不是一般的WAF……是一个很难绕过的。
游戏开始了。
绕过尝试
我开始深入研究Akamai WAF的绕过技术。找到了一些很酷的文章,讨论了字符串混淆、大小写敏感性和标签规避。
一些常见的尝试包括:
</ScRiPt>→ 被拦截</SCRIPT>→ 被拦截</ScRpt>→ 未被拦截,但也无效</Script+xxx>→ 短暂绕过,但最终再次被过滤
我知道我需要更有创意的方法。
Payload进化
经过多次失败的尝试,我想出了这个看起来奇怪但有效的绕过字符串:
|
|
这绕过了过滤——但alert()、confirm()和prompt()在运行时都被拦截了。所以我采取了安全措施,首先报告了这个漏洞,使用开放重定向Payload来避免可能的重复提交。
完整的Payload有点疯狂,看起来像这样:
|
|
两天后,我收到了HackerOne分类团队的回复:
需要完整的XSS证明
构建真正的XSS
我回到了绘图板。由于直接的alert()被拦截,我尝试使用混淆访问来分解它:
|
|
完整Payload:
|
|
这奏效了。我更新了我的PoC并再次发送。
内部分类团队回复:
已验证——正在分配赏金
挑战完成。
我继续使用这个最终Payload来窃取cookie:
|
|
砰。确认有效的XSS。同一天晚些时候——1000美元赏金到账。
奖励回合:另外两个漏洞
在这次成功之后,我继续挖掘同一路径系列中的更多端点。最终,我又发现了两个具有相同漏洞的端点。
相同的技术。相同的XSS。相同的赏金:每个1000美元。
💸 最终统计
- 第一个漏洞:1000美元
- 第二个漏洞:1000美元
- 第三个漏洞:1000美元
➡️ 总计:3000美元
而且我那天晚上甚至不需要玩Valorant。
给同行黑客的最终思考
漏洞赏金不仅仅是关于技能——它还关乎耐心、侦察、创造力和时机。有时候,对游戏邀请说“不”可以让你多赚几千美元😂
致所有的猎人:永远不要低估一个反射参数。最简单的漏洞可能导致最意想不到的奖励——如果你知道如何正确构建你的Payload。
持续学习,保持安全。
祝黑客愉快。