https://blog.qife122.com/tags/%E9%85%8D%E7%BD%AE%E6%B3%84%E9%9C%B2/ Recent content in 配置泄露 on 办公AI智能小助手 Hugo zh-cn qife Sat, 27 Sep 2025 12:03:56 +0800 https://blog.qife122.com/p/%E6%BC%8F%E6%B4%9E%E8%B5%8F%E9%87%91%E6%97%A5%E8%AE%B0%E6%B3%84%E9%9C%B2%E7%9A%84appsettings.json%E5%A6%82%E4%BD%95%E6%88%90%E4%B8%BA%E9%AB%98%E4%BB%B7%E5%80%BC%E5%8F%91%E7%8E%B0/ Sat, 27 Sep 2025 12:03:56 +0800 https://blog.qife122.com/p/%E6%BC%8F%E6%B4%9E%E8%B5%8F%E9%87%91%E6%97%A5%E8%AE%B0%E6%B3%84%E9%9C%B2%E7%9A%84appsettings.json%E5%A6%82%E4%BD%95%E6%88%90%E4%B8%BA%E9%AB%98%E4%BB%B7%E5%80%BC%E5%8F%91%E7%8E%B0/ <h1 id="漏洞赏金日记泄露的appsettingsjson如何成为高价值发现">漏洞赏金日记：泄露的appsettings.json如何成为高价值发现</h1> <p>每个漏洞赏金猎人都梦想发现完美的远程代码执行或关键SQL注入漏洞。但往往，高价值报告的起点要低调得多：一个配置不当的文件。</p> <p>最近在一次测试中，我偶然发现了一个文件，它将黑盒测试变成了白盒测试，向我展示了一家公司的完整应用基础设施数字蓝图。这个文件就是appsettings.json。</p>