[翻译]价值$4,913的SSRF | 我最高的赏金!
嗨,大家好!
希望您一切安好,今天我要写一篇有关我最好的发现之一和有史以来最高的赏金的write-up。这是我在?Dropbox Bug Bounry计划?中发现的SSRF—服务器端请求伪造漏洞。
第一眼看,Dropbox计划对我来说非常有趣,因为它具有最佳的支付和及时的响应时间,因此我选择挖 Dropbox Bug赏金计划政策中提到的Hellosign。
我开始在app.hellosign.com上搜索主应用程序,发现了具有从Dropbox、GDrive、BOX、OneDrive、EverNote导入文档的功能。此时,SSRF已经进入到我脑海里,因此我从Dropbox导入功能开始,我看到了以下请求:
我将file_reference参数的值更改为burp collaborator URL,但我得到404
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![昕瑜baby就做一阵风 英勇又温柔[爱你]@bearbybear熊熊 ](https://imgs.knowsafe.com:8087/img/aideep/2021/11/17/4ed9740c9f66476ee6f4199b59c5ec69.jpg?w=250)
Chamd5安全团队
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记带领我们“办好自己的事” 7903995
- 2 再次提醒:中国公民近期避免前往日本 7809524
- 3 联合国厕所不再提供擦手纸 7714071
- 4 近15万亿新增贷款去哪了 7616311
- 5 华为重夺中国手机市场份额第一 7519874
- 6 蜜雪冰城开始卖早餐了 7424080
- 7 网警:男子AI生成车展低俗视频被拘 7331654
- 8 东北阿姨1984年买的黄金一克47元 7231433
- 9 “无名”男子医院躺7年半 警方介入 7138198
- 10 立冬以来最大规模雨雪上线 7042536
