C-haidragon-CSDN博客

原创 Top Bugs That Actually Paid Bounties in 2025

复杂的查询和各个 GraphQL 实现之间缺乏统一的输入消毒，打开了新的攻击面。但说实话，虽然稳定能付账，真正让人肾上腺素飙升的，是那种高额钜奖。在 2025 年，漏洞赏金的竞争比以往更激烈，但高影响力漏洞依然存在——只是需要更敏锐的眼光和更深入理解现代应用是如何构建与被攻破的。会让你靠近屏幕、把多个链条小心拼接起来，最后报告结尾出现四位数（或接近）奖金打到账户里的那种。常用字段受保护，但我注意到一个少用的。下面是今年给我带来高额回报的漏洞类别，并附上促成发现它们的高层次 POC 思路。

2025-11-26 12:17:58 332

原创我为了一个漏洞花了 5 小时 —— 然后被厂商 _彻底放鸽子_

翻看自己过去上报漏洞的记录，我发现了一个直到现在仍然。

2025-11-24 12:06:21 765

原创 2025 年每个初学者都能发现的 P4 漏洞

P4 漏洞可能不够炫，但它们稳定丰富，且是新手道德黑客最容易的入门点。2025 年，公司依然会奖励这些漏洞，因为它们有助于强化安全，防止更严重问题出现。从这些简单类别开始建立可重复发现的流程注重清晰、专业的报告仅在授权目标上测试你的奖励不一定需要高危漏洞——稳定才是关键。

2025-11-21 11:56:29 834

原创 GitHub Dorking：在公开代码中寻找秘密的猎人指南

import req=q= {query } " response = requests . get(url , headers = headers) return response . json() # 示例调用 results = github_dork_search('filename:.env+API_KEY+org:targetcompany')# 示例调用第七部分：负责任的披露主题：安全报告 - GitHub 凭据泄露## 概要发现暴露的 [凭据类型]。## 细节。

2025-11-19 12:01:38 422

原创五个赏金，一个漏洞：同一处 SSRF 的五种独立利用方式

服务端请求伪造（SSRF）是一种严重的安全漏洞，当服务器对用户提供的未验证输入发起请求时，就可能被攻击者利用去访问内部或外部未授权的系统。本文描述的是。

2025-11-17 12:07:54 814

原创如何把一个无聊的图片下载器变成 IDOR 金矿

漏洞挖掘并不总是 0day 或炫酷链子，有时「无聊」功能才隐藏真正的宝藏。

2025-11-14 12:09:04 810

原创 macOS 微内核 | 用于注入的 IPC 消息

在本文中，我们聚焦于 Mach 微内核的基础，特别是内核如何通过 IPC（进程间通信）实现进程之间的通信。这对 macOS 的安全研究（利用链/实时测试）非常重要，尤其是在你开始考虑像进程/代码注入这样的技术时。任务使用端口权限（port rights）来发送或接收消息，端口权限定义了任务对端口可执行的操作。任务使用端口权限名（port right names）来标识端口权限，这些名字只是普通整数。一个 Mach 消息通常有固定的头（header）和承载数据的自定义体（body）。

2025-11-12 12:11:02 551

原创特权升级：从访客到管理员

支持个人与团队工作区、共享项目以及基于链接的项目分享。，此时任何人在项目界面可以点击“复制链接（Copy Link）”并把该链接分享给团队外的人（他们只能查看，无法编辑或做其它操作）。是的，这个场景成功了：访客（攻击者）升级了权限，可以移除项目中的任意管理员或任意成员。因此攻击者能够通过上述流程升级角色，获得对项目的完整访问权限（包括编辑与移除成员）。访客可以移除管理员，服务器返回 200 => 所有者被移除。在把第二个账号以访客邀请后，我发现项目可被切换为。，此时工作区外的任何人都可以“查看”（只读）。

2025-11-10 12:12:01 241

原创 Cloudflare-Bypass：源服务器也值得关爱

如果那台服务器没有被严格锁定，攻击者就可以直接访问源服务器，完全绕开 Cloudflare 的安全功能。某天深夜，在一次例行的侦查扫描中，我注意到一个通配符 SSL 证书的根域名（apex/root domain）解析到了一个并非 Cloudflare 的 IP。关键错误在于：如果你的源 IP 公开且接受任意连接，Cloudflare 的保护就会被绕过。现在你直接连到了源服务器，完全绕过了 Cloudflare 的防护。如果你已经知道目标服务器的 IP，可以专注于绕过 Cloudflare 的保护。

2025-11-05 12:19:25 290

原创为什么数据包模糊测试对漏洞悬赏仍然有价值

对漏洞悬赏而言，刻意进行的数据包模糊测试正在被忽视，但如果有目的地去做，它常常能证明自己的价值。如今，大多数热门且现代的游戏的数据包校验系统都很安全，但对于新作或小众游戏，底层情况可能完全不同。你可以先从盲模糊开始——它有可能不起作用，迫使你理解数据结构，但也有可能给出哪些地方可被破坏的线索。简单来说，你需要一个变量保存你电脑的 IP，一个函数去搜索并获取服务器的 IP 与端口，然后再写一个函数去执行模糊参数。今年 7 月，我凭借之前没有任何红队经验的情况下，拿到了人生中的第一笔漏洞赏金。

2025-11-04 12:14:01 607

原创 IPs、ASN 与 CIDR — 当游戏规则是网络，我们就画这张地图 — target.com 如何把我们带到可达的数据库

展示需要关注的那类暴露——例如暴露的配置文件和在非标准端口上可达的数据库。最后，你会得到一份。

2025-11-03 12:08:44 948

原创 Ghost HTTP 方法：HTTP 动词变异如何绕过现代 WAF 跨中间件层

HTTP 方法覆盖是一个遗留的便利功能，却成为现代的盲点。当边缘和后台对请求的理解不一致时，安全控制形同虚设。检查你的框架，尽可能禁用。

2025-10-31 12:05:47 1024

原创反向工程 API 安全：我如何破解并绕过“Request-Hash”或“Signature”保护

本文可能枯燥且篇幅较长，因为我会详细解释”本安全研究揭示了移动 API 认证中的一个严重漏洞：Android APK 中硬编码的 HMAC-SHA256 密钥允许完全绕过请求验证。通过反向工程，我提取了密钥，并演示如何为任意 API 请求生成有效签名，从而彻底破坏了认证机制。请求时间戳认证令牌请求体内容秘密密钥（仅客户端与服务器知晓）✅ 使用JADX反编译 APK✅ 定位下的类✅ 提取硬编码密钥✅ 开发可用 Python 概念验证脚本✅ 在真实 API 端点验证绕过成功。

2025-10-29 12:05:34 1172

原创我是如何在漏洞赏金中赢得 1100 美元，这改变了我在玻利维亚的生活

800 美元对我来说很多，因为这是我在网络安全领域赚到的最多的钱——但我没有停止。我开始寻找漏洞，不仅是通过我在一家网络安全审计公司的工作，还因为黑客和发现漏洞能让我从失去祖父和分手后的持续痛苦中分散注意力。但我可以分享我收到的付款，以及描述我发现的漏洞和公司回应——这对我成为道德黑客和漏洞猎人的道路帮助很大。完成这些公司的漏洞报告后，我收到了三次闭门漏洞赏金计划的邀请，并获得了第一家公司提供的工作机会。对我来说，这是当时的重大成就，也帮助我重建自信，克服抑郁，并意识到只要专注于目标，

2025-10-27 12:10:20 808

原创 SSRF 深度解析 — PoC、实验室与报告工具包（第 2 部分）

副标题：实战 PoC、高级向量、实验室配方、加固代码片段，以及可复制粘贴的报告模板，帮助你把 SSRF 漏洞转化为高价值的悬赏收益。第 1 部分涵盖了检测信号与安全狩猎手册。第 2 部分则提供工具与现成的工件，帮你负责任地证明 SSRF 的影响、运行本地实验，并提交开发/运维团队能快速复现的报告。盲 SSRF 指的是应用发起了出站请求但不会把响应返回给你。collaborator 服务（如 Burp Collaborator、interactsh）是检测这些盲回调的最安全方法。步骤 — 最小且可靠的证明

2025-10-24 12:06:48 581

原创如何在 30 分钟内发现认证绕过

我曾经发现一个 JWT 的 payload 里居然包含用户的密码哈希和另一个 API 的 key——漏洞就是这么明显。如果你收到 200 OK 而不是 401 Unauthorized 或 403 Forbidden，说明你很可能找到第一个漏洞。我们跑一个聚焦的 30 分钟剧本，找出最常见且最关键的 API 认证缺陷。你一小时后有个会议，想尽快找到有影响力的问题。把你握有的每一个端点——从用户资料页到重置密码接口——都把。开发者常常忘了把认证中间件应用到新旧或非生产的端点上，结果这些端点意外被发布。

2025-10-22 12:04:33 861

原创 Android 渗透测试实战——TikTok rce 远程代码执行案例分析

所以虽然博客讲的是 TikTok 远程代码执行漏洞，我也会尽量在你的 Android 应用测试过程中提供指导。当 URL 在 WebView 加载时，如果是 “falcon” URL，它会从离线缓存文件中加载。我决定重新发布它，改善写作，并补充关键点，因为它包含丰富内容，能够帮助漏洞猎人和研究人员。虽然是两次点击漏洞，但可以持续尝试，一旦用户点击，Activity 就会启动。我们无法在 TikTok WebView 上加载自己的 URL，但 WebViewClient 方法会处理加载的 URL，通过。

2025-10-20 15:02:19 796

原创高级狩猎 | 在 2025 年仍然有效的 7 种漏洞赏金实战技巧

下面我把七种高级技巧浓缩出来——每种都带有简短的、在实验室安全的示例、最小可复现流程（你可以在自己环境重现）和可直接复制进报告的缓解建议。刷新令牌、访问令牌、cookie 和内部令牌交换端点之间的相互作用会产生机会。如果你把数据流（上传 → 处理器 → webhook → 内部服务）绘出来，每一段的小假设会串联成严重的安全问题。这就是为什么有的报告只值 50 美元，而有的能拿到 5k+ 美元的差别。结构化数据解析器和模板引擎会被滥用，尤其当代码路径重用解析器或在提升权限的上下文渲染用户提供的模板时。

2025-10-17 16:43:51 1110

原创从图片上传到工作区接管：解析一次关键的存储型 XSS 攻击

一个看似无害的功能——文件上传——在 Dust 平台的最近一次漏洞中，成为了完全接管工作区的入口。此案例提醒我们，经典的存储型跨站脚本（Stored XSS）漏洞，结合架构疏忽，可能导致严重后果，包括权限升级和完全的管理控制。此次攻击的巧妙之处在于其简单性，以及将几个看似微小的漏洞串联成高影响的利用链。单点失误——在应用同源上下文中信任并渲染用户上传文件——可能导致整个系统防御瓦解。) 并限制资源加载来源，即便恶意文件被上传和渲染，也能显著降低 XSS 攻击面。文件确实是 PNG，而不是 HTML 标签。

2025-10-16 12:05:02 396

原创将路径遍历串联为 RCE —— Meta 的 $111,750 漏洞

在高额赏金的漏洞狩猎世界里，一个漏洞有时能换来巨额回报。这篇写法讲述了在 2024 年 6 月 Meta BountyCon 活动中发现的一个关键漏洞链：将文件放置问题串联为远程代码执行（RCE），最终为研究者赢得了第一名和 $111,750 的大奖。在 E2EE 场景下，服务端无法看到加密内容，客户端必须自行验证所有接收的数据——这种客户端信任模型常常带来丰富的攻击面。本文分解了整个攻击链，从最初的路径遍历缺陷到巧妙的 DLL 劫持技术，展示了创造性思维与坚持如何把一个小漏洞放大为严重安全威胁。

2025-10-15 12:15:33 723

原创安全的幻象：为什么大多数 CSP 会失败

你找到完美的 XSS 向量，精心构造了 payload，按下回车，结果……什么也没有。控制台闪烁红色错误信息：“拒绝执行内联脚本，因为它违反了以下内容安全策略（CSP）…”游戏结束了吗？绝对不是。对于漏洞猎人来说，这才是有趣的开始。错误信息不是一道墙——几乎像是一种邀请。CSP 只是浏览器遵循的一套规则。而规则？总有漏洞。通常情况是：开发者加上一个基本 CSP，勾选安全审计的选项，然后安心地认为他们已经彻底阻止了 XSS。然而，我在实际项目中看到的大多数 CSP 就像潜水艇上的纱门一样不安全。

2025-10-14 12:09:42 1115

原创第 1 周 —— OSI 之旅开始了

嗨，大家好！我是 Aang（网络上叫 @iamaangx028）。我是一名正在成长中的漏洞猎人。刚入行时，我跳过了许多基础知识，直接开始在真实目标上挖漏洞。虽然过程很刺激，但很快我发现自己有巨大的知识盲区，这成了瓶颈。所以我决定慢下来 —— 暂时减少实战狩猎的时间，专注于补齐我遗漏的基础。我希望从初学者的角度重新看问题，反思自己当初能做得更好的地方，打下更扎实的底层功夫。我同时在实习期间进行这些学习。如果你也和我一样 —— 有热情但仍在补漏洞（知识上的那种）—— 那就跟我一起学吧。

2025-10-13 12:05:25 244

原创将 HTML 注入升级为“一键账号接管”

我在一个有漏洞悬赏计划的网站上发现了这个 bug。该计划是外包/外部项目，故我不能透露站点名称。撰写本文时漏洞尚未修复；为方便起见，目标站点统一称为。

2025-09-28 12:13:34 964

原创实验：利用源服务器归一化进行网页缓存欺骗（Web Cache Deception）

缓存是浏览器（Firefox、Brave、Chrome、Edge）、CDN 或反向代理用于保存静态资源响应（例如 index、index.php、images.png）的临时存储。与每次页面加载都去源服务器请求相同的静态文件相比，缓存保存了副本，后续请求可以直接从缓存返回。这样能减轻源服务器负载并提高性能。

2025-09-22 12:10:35 607

原创特权升级（查看者 → 所有者）— 绕过他们修复的方法

修复措施使得待处理邀请仅对角色匹配的用户可见 —— Viewer 只看见 Viewer 邀请，Editor 看见 Editor 邀请，Owner 看见 Owner 邀请。这意味着一个 Editor（或具有 Editor 级别请求能力的人）可以在响应中看到或提取到 Owner 邀请的哈希，即使前端 UI 不再展示这些邀请。我在响应中把邮箱改成了我之前用 Google 在同一浏览器上注册过的邮箱，然后继续后续流程。在该问题修复后，我又找到了一个绕过修复的方法，并负责任地披露了该问题。我接着尝试再次绕过该修复。

2025-09-19 11:57:16 692

原创我是如何轻松在 GitHub 上发现关键漏洞的

这是一个有用且容易执行的检查，任何允许的程序都应该寻找类似内容 —— 人们真的会忘记在仓库中留密钥。

2025-09-18 12:06:22 1074

原创通过 Linux 本地进程枚举实现 LFI/SSRF 提权

是 Linux 内核在内存中创建的虚拟文件系统，不存在于磁盘上，但提供了系统的实时视图。漏洞时，你可以收集更多进程信息。不过，这种方法常被忽略，虽然执行简单，但可以提供非常有价值的数据。命令会循环遍历 PID 范围，读取每个进程的。问题是，攻击者如何知道哪些 PID 正在运行，每个 PID 对应的命令和用户呢？该接口存在 LFI 漏洞，允许我们读取系统上的任意文件。在本指南中，我们使用我写的一行命令，通过。可以看到启动 Netcat 的完整命令，方法：遍历所有可能的 PID，检查。

2025-09-17 12:17:27 490

原创一键账户接管：不安全的密码重置流程 + 批量分配如何导致全面入侵

在测试修改密码页面时，我注意到一件很重要的事：当你尝试修改密码时，应用要求你输入两次新密码。邮件看起来完全合法，当收件人点击确认链接时，其账户密码会被自动更新为攻击者控制的值——无需额外操作。发送修改后的请求后，我确认邮件内容已成功反映出修改文本。被操纵的文本完全按照我的设计显示，使得可以在官方系统邮件中插入任意内容。字段的操控，攻击者可以制作高度可信的重置邮件，插入自定义社工消息，使整个流程既可利用又可信。下面，我将说明我发现的内容、其重要性、修复方法，以及安全团队如何检测更广泛的滥用情况。

2025-09-12 14:34:37 1017

原创子域名接管（Subdomain Takeover）

想象你正在访问。1. 浏览器： “blog.example.com 的 IP 地址是什么？2. 2. DNS 服务器： “blog.example.com 指向 company-blog.github.io (CNAME)”3. 3. 浏览器： “那 company-blog.github.io 的 IP 是多少？5. 5. 浏览器：连接 GitHub 服务器 → 显示博客内容6. ```在正常情况下，这个过程完全没问题。

2025-09-11 10:58:14 700

原创 ASC War Games 2025 总决赛 — Legacy Edition 挑战

以上就是全部过程，希望你们在阅读后有所收获。

2025-09-10 14:51:36 996

原创 Gemini 的安全回归：旧漏洞卷土重来

如果一个已知数据泄露向量的补丁可以在基础模型中被悄悄撤销，企业如何信任他们私有微调模型的安全性？例如，一家公司在 Gemini 上微调私有源代码或客户数据，未来 Google 更新可能再次引入漏洞，悄无声息地泄露其最宝贵的机密。我可以确认，原始未修改的攻击再次有效，使任何人都可以强制模型泄露敏感内部数据。这不仅仅是一个巧妙的新型越狱攻击，这是一个已知漏洞的回归。今天，我要报告 Google Gemini 中的一个关键安全回归。最初，模型会遵从指令重复单词。，模型停止重复单词，开始输出一连串无关的内部数据。

2025-09-05 14:35:16 1009

原创 JWT 安全指南：漏洞赏金猎人的实战攻略（第二部分）

弱对称密钥—— 使用字典+暴力破解找出 secret。签名算法混淆—— 将 RS256 降级为 HS256，使用公钥签名。后面还有一些方法，留到第三部分再讲。在那之前 ——继续狩猎吧！

2025-09-04 11:59:51 948

原创 Cloudflare Tunnel — 原始服务器暴露的武器化

Cloudflare Tunnel 是将私有应用暴露到互联网的一种流行方式，无需开放防火墙端口。它广泛用于内部仪表板、API 和测试环境。理论上，它可以隐藏源服务器 IP，并将所有流量通过 Cloudflare 网络，在那里启用 WAF、防 DDoS 和缓存保护。但是，如果源服务器仍然暴露在互联网上怎么办？在本文中，我将演示我如何测试 Cloudflare Tunnel 配置、发现误配置，并将源服务器暴露武器化，从而完全绕过 Cloudflare。

2025-09-03 12:21:36 639

原创 Cloudflare Tunnel — 原始服务器暴露的武器化

2025-09-02 11:51:05 1157

原创通过篡改 AWS Cognito 自定义 metadata 实现完整 ATO：应用配置错误

简单且安全的用户注册、登录和访问控制Amazon Cognito 为 Web 和移动应用提供认证、授权和用户管理。用户可以使用用户名+密码直接登录，或者通过第三方（Facebook、Amazon、Google、Apple）登录。Cognito 的两个主要组件是用户池（user pools）和身份池（identity pools）。用户池：用户目录，支持注册与登录功能。身份池：允许开发者让用户访问其他 AWS 服务。两者可以单独使用，也可以结合使用。这是一个典型的密码重置投毒攻击。

2025-09-01 12:11:42 603

原创我是如何订阅并接收公司 QA 的通知警报，并找到了他们的内部邮箱地址的

之后我继续测试，因为我找到了邮件地址，我认证进入系统并查看我的通知。我认为这已经足够了，我尝试过暴力破解他们的账户以最大化影响，但没有成功。总体上，我的报告被接受，并产生了影响。，我尝试将自助注册的分组分配给一个权限很低的普通用户，并尝试多种方式提升权限，但都没有成功。文档中有一个自助注册端点的截图，他们在记录系统文档时展示了端点，假设端点是。进一步研究，我发现即使不知道文档中列出的端点，也能访问自助注册端点。

2025-08-26 12:11:14 418

原创 €2000 奖金 —— 从 IDOR 到权限提升：由管理员跃升为内部员工

今天，我将带你深入剖析一个因 IDOR（不安全的直接对象引用）导致的严重权限提升案例。直觉告诉我，这第四个 UUID 绝不简单——它未在 UI 中出现，显然被刻意隐藏。我登录该应用的管理后台，浏览用户管理、访问控制与权限配置等常规功能，未发现异常。这一简单的 UUID 替换，竟成为通往系统核心的“黄金票据”。我立即将该 UUID 复制到 Burp 历史中搜索，结果在之前的。在一次常规侦察中，我回顾 Burp 流量，意外发现响应里出现了。的增删改权限，而这些角色本应与我绝缘。，在我的一番操作后，总数飙升至。

2025-08-21 14:17:28 614

原创 Bug Bounty Hunting: JWT 漏洞深度解析（现场逐步实践）

我知道我还没完成之前提到的 IDOR 系列，但好消息是我回来了——而且带着一些宝贵的经验和知识回来了，这肯定会对我们大家的 Bug Bounty 旅程有所帮助。这是目前公司和开发者们在 Web 应用程序中使用的最新技术，你现在会发现 JWT 随处可见——比如“某某人通过 JWT 令牌漏洞获得了赏金”或者“JWT 令牌弱点”。在载荷部分，会包含主要数据——例如，用户名、用户 ID、角色——任何用于验证用户的信息都会在这里。算法是指用于创建此令牌的算法，类型则是令牌的类型，它通常是 JWT。

2025-08-19 12:08:10 969

原创我的前 150 天漏洞赏金猎人生涯

这虽令人泄气，但仍给我一点动力，因为在 Bugcrowd 个人资料上显示我发现了 7 个有效漏洞，于是我继续努力。长话短说，我会编程，了解互联网和网络的工作原理，但在刚开始做漏洞赏金时，我对 Web 漏洞完全不了解。我选择的第一个 VDP 是 Bosch VDP，因为它没有在任何漏洞赏金平台上展示，我认为竞争更少。很快，我找到了第一个有效的 P2/High 漏洞，这是我首个非信息性漏洞。我们还要考虑，小时收入是按整个时间段计算的，前几个月几乎没收入，最后几个月才赚得最多，每小时收入超过 20 美元。

2025-08-18 11:59:53 343