Bug Bounty Tips(10-26 2022)
2022-11-2 15:28:36 Author: 安全狗的自我修养(查看原文) 阅读量:15 收藏

Bug Bounty Tips(10-26 2022)

Github Recon

Heroku配置文件中敏感信息泄露

cloud/heroku.json中包含了Heroku配置文件中敏感信息

org:company filename:heroku.jsonorg:company HEROKU_API_KEY OR HEROKU_KEYuser:name filename:heroku.jsonuser:name HEROKU_API_KEY OR HEROKU_KEY"company.com" HEROKU_API_KEY OR HEROKU_KEY

示例:

{    "heroku": {      "HEROKU_EMAIL": "[email protected]",      "HEROKU_API_KEY": "7a2f9a4289e530bef6dbf31f4cbf63d5"    }  }

PostgreSQL文件中密码泄露

db/.pgpass:PostgreSQL文件中密码泄露

org:company filename:.pgpassorg:company :database:user:name filename:.pgpassuser:name :database:"company.com" :database:

示例:

#hostname:port:database:username:passwordlocalhost:5432:database:root:password

Recon

使用HTTPX进行端口探测、扫描以及目录暴力破解的shell脚本:

cat domains | httpx -nc -silent -p 80,443,8080,8443,9000,9001,9002,9003 -path wordlist.txt -fc 400,404,403 -title -content-length -ip -status-code -server 

AWS 测试的一个 checklist

其它学习教程。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247486007&idx=6&sn=93d50807450da3880da375ee69a0e20c&chksm=c13f397ef648b068cde4a36ee6d417adb17c2fbeb58d37009781ba13a1310009c77c62955b65#rd
如有侵权请联系:admin#unsafe.sh