شماره 11 غیر رسمی

غیر رسمی
ارسال شده توسط
1402/08/19
185 بازدید

سلام بهروزم و با شماره 11 غیر رسمی در خدمتتون هستم.

غیر رسمی شماره 11 مربوط به تاریخ 13 تا 19 آبان 1402 هستش.

 

جواب یک سوال پر تکرار

جواب یک سوال پر تکرار

معمولاً این سوال رو زیاد میپرسن که آقای منصوری ما که تازه الان داریم وارد حوزه باگ بانتی میشیم می تونیم گزارش باگ بدیم؟

اصلا دیگه چیزی مونده که ما بخوایم پیداش کنیم؟

و قیافه من اون لحظه 😐 

یه هانتر ماه پنجم از ورودش به هکروان که بوده روی یک برنامه 100 تا آسیب پذیری پیدا کرده.

جدا از این که اون برنامه نبوده، باگ بوده بعداً دست و پا در آورده 😆

ولی منظور این که اینقدر ناامیدانه به قضیه نگاه نکنید.

مقاله ای که این فرد در مورد این اتفاق توضیح داده رو می تونی اینجا مطالعه کنی.

 

این Feature نیست باگه!

اگر باگ هانتینگ کار کرده باشید اطلاع دارید که خیلی از مدیران سایت ها وقتی گزارش باگ میدی، میگن نه این آسیب پذیری نیست قابلیتی هستش که خودمون قرار دادیم.

آره جون خان داییت 😐 

امروز یه رایتاپ پیدا کردم که با استفاده از feature سایت  به آسیب پذیری رسیده بود.

برای این که در سایت به یکسری افراد بتونی پیام بدی باید بسته های 10 تایی پیام بخری.

این بابا دیده بود تو قسمت ارسال پیام اگر از <script>alert(1)</script>  استفاده کنه آسیب پذیری xss وجود نداره ولی cloudflare تگ های اسکریپت رو پاک میکنه و پیام ارسال میشه.

حالا نکته طلایی اینجاست که وقتی پیام ارسال میشه از اون ۱۰ تا چیزی کم نمیشه 😆 

خب دیگه باید متوجه موضوع شده باشی!

کافیه هر پیامی که می خواد بده داخل تگ اسکریپت قرار بده. اینطوری محتوای پیام تغییر نمیکنه و از تعداد ۱۰ تا پیام هم کم نمیشه.

پس ارسال پیام رو برای خودش نامحدود کرد و کافیه سری اول یه بسته ۱۰ تایی بخره و تمام عمر استفاده کنه.

رایتاپ کاملش رو اینجا بخون جالبه.

 

سوال پر تکرار بعدی

یه سوال پر تکرار دیگه این سواله که وقتی می خوایم یه سایت باگ بانتی انجام بدیم از کجا شروع کنیم؟

این بستگی به متدولوژی شما داره. این که چه ابزاری رو استفاده کنی و یا کدوم ابزار رو بعد از کدوم انجام بدی همه به متدولوژی شما برمیگرده.

ممکنه یک روش، در وب سایتی خوب کار کنه ولی در سایت بعدی روش دیگه بهتر باشه.

و این مسیر با آزمون و خطا بهتر میشه.

برای این که یه دید کلی در مورد این موضوع داشته باشید یه مقاله رو لینک میکنم.

خوبی مقاله اینه که هم ساده توضیح داده و خیلی جهت دهی نسبت به متدولوژی خودش نداره، که باعث میشه شما سعی کنید مسیر خودتون رو بسازید.

 

رایتاپ جالب

نمیدونم این چیزی که میگم رو تجربه کردی یا نه ولی یه وقتایی هست یه کتابی می خونی یا مثلا یه فیلمی می بینی خیلی بهت حال میده.

تو رایتاپ خوندنم اینا داریم.

یه وقتایی رایتاپ در عین حال که داره یه نکته ساده رو بهت توضیح میده ولی شیوه فکر کردن اون هانر برات جالب میشه.

این رایتاپ این هفته به من خیلی چسبید.حتما مطالعه کن.

برچسب ها: