通过监控js获得18000奖金

1 起因 翻看文章时看到bebiks师傅公开了一份漏洞报告，危害和奖金都挺高的。 就想看看怎么玩，之前没搞过js监控这里就了解一下，顺便找了找找有什么工具可以用。 2 漏洞正文 通过js监控发现，出现了一个新的 Google Docs 链接： https://docs.google.com/forms/d/1cwHTgNBd51ECJ3w-5Hy6LgioJWhJ2qFF_vdlmXb6zao/edit#responses 此 google docs 链接已在位于以下位置的 JS 文件中泄露： https://xxxxxx.com/assets/static/js/5930.078b8e86.chunk.js 允许攻击者编辑任何内容并查看有关用户的一些敏感数据，例如电子邮件/调查回复。 3 工具推荐 推荐监控工具： https://github.com/ahussam/url-tracker 可检查不同时间段（每小时、每天、每周、每月）的网页内容，并检测自上次检查以来是否修改了网页内容。它可用于监控 S3、Azure、JS 文件......等。 4 工具案例 这里工具的作者也给出了一个案例，在某次使用打车app的时候，存在莫名其妙的收费。于是进行投诉，客服给发了一个邮件，发现图片挂掉了。 就分析了一下，发现图片存储的Bucket不存在了（也就是过期被回收了）。 NoSuchBucket 在这里就可以通过重新申请，接管Bucket 就是这次的漏洞出现，工具作者就写出了这款工具，用于长期监控。 文章来源：None安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END