在一个星期日的早晨,醒来后我像往常一样拿起手机并登录我的Facebook帐户,在滚动新闻提要时,我遇到了这个 showmax 的 facebook广告 (showmax 是一个在线电影网站,就像 NetFlix 一样)。
然后我点击广告并访问该网站。根据我的原则,每当我访问新网站时,我要做的第一件事就是通过搜索 " hackerone " 或 " bug bounty" 等关键字来检查该网站是否正在运营 Bug Bounty 项目。我在这里使用了相同的方法,发现 showmax 正在 hackerone 上运营 Bug Bounty 项目。
最有趣的部分是,showmax约有6个月没有任何漏洞报告,这是发现 bug 的好机会。
我启动了 BurpSuite 并再次访问该站点,然后浏览该站点,打开出现在屏幕上的任何链接。
单击"试用 14 天"后,将我带到注册页面,然后将我重定向到付款页面。坦率地说,我没有万事达卡或 Visa 卡(我曾用姐姐的朋友的),但是这次他们不在那儿,没有给卡。
然后,我在 BurpSuite 中单击以检查 Burp 的 “历史记录”,滚动后,我从 " secure.showmax.com" 中看到了 Burp History 之一的请求正文中的内容,如下所示:
{payment_url:“https://secure.showmax.com/v97.3/website/payment/subscriptions/zooz_card/thre
05-07
702
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
04-28
568
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
04-21
1238
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
04-12
943
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
04-08
897
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
03-22
1554
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
03-11
1445
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
03-08
5421
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
03-05
1401
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
03-02
1371
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
02-20
1352
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
02-19
1077
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)
02-19
1433
![](https://csdnimg.cn/release/blogv2/dist/pc/img/readCountWhite.png)