通过监控js获得18000奖金
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
1 起因 翻看文章时看到bebiks师傅公开了一份漏洞报告,危害和奖金都挺高的。 就想看看怎么玩,之前没搞过js监控这里就了解一下,顺便找了找找有什么工具可以用。 2 漏洞正文 通过js监控发现,出现了一个新的 Google Docs 链接: https://docs.google.com/forms/d/1cwHTgNBd51ECJ3w-5Hy6LgioJWhJ2qFF_vdlmXb6zao/edit#responses 此 google docs 链接已在位于以下位置的 JS 文件中泄露: https://xxxxxx.com/assets/static/js/5930.078b8e86.chunk.js 允许攻击者编辑任何内容并查看有关用户的一些敏感数据,例如电子邮件/调查回复。 3 工具推荐 推荐监控工具: https://github.com/ahussam/url-tracker 可检查不同时间段(每小时、每天、每周、每月)的网页内容,并检测自上次检查以来是否修改了网页内容。它可用于监控 S3、Azure、JS 文件......等。 4 工具案例 这里工具的作者也给出了一个案例,在某次使用打车app的时候,存在莫名其妙的收费。于是进行投诉,客服给发了一个邮件,发现图片挂掉了。 就分析了一下,发现图片存储的Bucket不存在了(也就是过期被回收了)。 NoSuchBucket 在这里就可以通过重新申请,接管Bucket 就是这次的漏洞出现,工具作者就写出了这款工具,用于长期监控。 文章来源:None安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END