用手机编辑的将就着吃,下饭。
字节改了规则,然后我就去挖了,毕竟想着钱多嘛。
第一个漏洞是我提交了一个泄露大量配置文件的平台,账号密码一堆,然后给了我3分,说没有任何危害,还都在内网。然后我就随便找了一个配置文件里的账号密码
去外网找资产登录。
然后200多台机器都可以登录,不过说是监控系统,没什么危害,但是那个配置文件里只有这一个账号密码?
当时我把弱口令交的时候,字节运营说我交了弱口令,就不要再继续测试了,ok,我就停了。然后后面我觉得不服,为啥那么多账号密码泄露,只能定一个中减。然后审核说让我去找更多的证据,我tnnd,一个让我停一个又让我继续测。我去测的时候那个配置文件已经看不了,被关掉了,我测个??
第二个漏洞
存储xss
数据不同,界面不同,啥都不同,三个站的存储xss算了一个,而且只给了21分。我闭嘴不多说啥。
第三个漏洞,昨晚交的
一个活动的任意用户登录。想的是边缘资产事jb太多,不想跟审核吵,我就怼中高等级的资产去了。
爆破验证码然后登录上去能查看用户信息,给了3分,真心打发叫花子呢还tnnd主站。
没有断章取义,直接截图发的我跟审核的原话。审核真厉害,中间惊世骇俗的话:就算rce也是中危,考虑到风险存在,给你3分买个鸡腿吃。yue了。