字节SRC,你真的泰裤辣
2023-4-28 14:22:7 Author: 虚拟尽头(查看原文) 阅读量:73 收藏

用手机编辑的将就着吃,下饭。

字节改了规则,然后我就去挖了,毕竟想着钱多嘛。

第一个漏洞是我提交了一个泄露大量配置文件的平台,账号密码一堆,然后给了我3分,说没有任何危害,还都在内网。然后我就随便找了一个配置文件里的账号密码

去外网找资产登录。

然后200多台机器都可以登录,不过说是监控系统,没什么危害,但是那个配置文件里只有这一个账号密码?

当时我把弱口令交的时候,字节运营说我交了弱口令,就不要再继续测试了,ok,我就停了。然后后面我觉得不服,为啥那么多账号密码泄露,只能定一个中减。然后审核说让我去找更多的证据,我tnnd,一个让我停一个又让我继续测。我去测的时候那个配置文件已经看不了,被关掉了,我测个??

第二个漏洞

存储xss

数据不同,界面不同,啥都不同,三个站的存储xss算了一个,而且只给了21分。我闭嘴不多说啥。

第三个漏洞,昨晚交的

一个活动的任意用户登录。想的是边缘资产事jb太多,不想跟审核吵,我就怼中高等级的资产去了。

爆破验证码然后登录上去能查看用户信息,给了3分,真心打发叫花子呢还tnnd主站。

没有断章取义,直接截图发的我跟审核的原话。审核真厉害,中间惊世骇俗的话:就算rce也是中危,考虑到风险存在,给你3分买个鸡腿吃。yue了。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxOTM1MTU0OQ==&mid=2247484979&idx=1&sn=1ed6f616b67737894e9cef66ebb1f59f&chksm=c1a23fa1f6d5b6b7586b2dec6e11cfcccda0c9aae4384e3da9326e9453b26af2188aa2343656#rd
如有侵权请联系:admin#unsafe.sh