Intigriti Bug Bytes

qife122
40 阅读5分钟

Intigriti Bug Bytes #227 - 2025年8月 🚀

作者:Intigriti
2025年8月15日

目录

  • 嗨,黑客们
  • INTIGRITI 0725结果揭晓
  • 博客和视频
  • 工具和资源
  • Intigriti在DEF CON
  • 反馈和建议

嗨,黑客们

欢迎阅读最新一期的Bug Bytes!本月内容将涵盖:

  • 绕过Cloudflare、Akamai和AWS Cloudfront等WAF
  • 构建完整的漏洞赏金自动化系统
  • 功能强大的针对性备份文件扫描器
  • 通过PDF文件的巧妙技巧绕过CSP实现XSS

还有更多精彩内容!让我们开始吧!

INTIGRITI 0725结果揭晓

我们最新的XSS挑战由@J0R1AN设计,仅有7个确认解出,成为Intigriti有史以来最难的挑战之一。

快速回顾:

  • 7名黑客报告了正确的flag
  • 首杀由@dr_brix获得
  • 3名黑客撰写了详细的解题报告

博客和视频

识别服务器原始IP

在流行的反向代理后面识别服务器原始IP

遇到可能的SQL注入点却被WAF阻止可能会让人感到沮丧……但如果你能绕过这个WAF并实现SQLi呢?在我们的技术文章中,我们介绍了多种识别CDN和WAF后面目标原始IP的方法。

GitHub探测技术

GitHub探测技术大多被忽视……然而,这里几乎是开发人员每天意外提交API密钥、数据库凭据和其他秘密的地方。在我们的详细文章中,我们记录了如何使用GitHub探测技术发现更多漏洞。

回顾我们之前的文章:文件上传

文件上传无处不在……有时,一个简单的验证错误可能导致高严重性发现(如RCE)。在我们的技术文章中,我们记录了一些在下一次测试文件上传功能时可以尝试的酷炫技巧。

工具和资源

工具

Fuzzuli备份文件扫描器

需要快速检查目标上意外上传的备份文件吗?@musana开发的Fuzzuli是一个极速备份文件扫描器。它还包括动态词表生成功能,以获得更准确的结果。

DOM日志记录器

基于DOM的XSS漏洞是最容易被忽视的XSS类型之一。@kevin_mizu开发的Domloggerpp是一个简单的Web扩展,可帮助您跟踪导致基于DOM的漏洞(如XSS)的JavaScript DOM接收器。

黑客原始IP查找器

绕过WAF(如Cloudflare、Akamai和AWS Cloudfront)很困难。幸运的是,我们有像@hakluke开发的Hackoriginfinder这样的工具,这是一个帮助识别反向代理后面服务器原始IP的简单工具。

资源

使用网站图标哈希发现更多漏洞

网站图标哈希可以通过找到类似范围内的目标来扩展您的攻击面。查看我们最近的帖子,我们分享了一个简单的单行命令来计算网站图标哈希并在Shodan中使用。

漏洞赏金自动化

想要提升您的漏洞赏金自动化水平?Rs0n在这个视频中分享了他自动化漏洞赏金狩猎的方法论和方法。

2025年的Log4Shell

Log4Shell(Log4J)在2025年仍然存在,虽然大多数研究人员已经转向其他方向,但有些人仍然通过它获得关键漏洞。在我们的技术推文中,我们分享了如何在2025年识别和利用Log4Shell。

WAF绕过技巧

绕过WAF可能是一项棘手且耗时的任务。@coffinxp7分享了如何找到任何目标的服务器原始IP。

GraphQL漏洞挖掘

这位研究人员通过在GraphQL中提交漏洞在Intigriti上获得了不错的赏金。如果您想了解更多关于攻击GraphQL目标的信息,并开始寻找关键的GraphQL漏洞,我们为您准备了一个简短的推文,包含所有入门所需的资源。

CSP绕过技巧

被CSP阻止?@xssdoctor在他的推文中分享了一个使用PDF文件绕过CSP的酷炫技巧。

Intigriti在DEF CON

DEF CON 33太棒了!活力四射的氛围、才华横溢的人才以及与社区的对话令人难忘。

快速回顾:

  • 我们的首席黑客官Inti De Ceukelaire展示了Magical Hacks节目,充满了令人惊叹的黑客和魔术技巧。
  • 我们在周五早上举办了一个聚会,提供咖啡和新鲜食物,开启DEF CON的第二天。
  • 我们的私人套房在整个活动期间为与我们的CEO和团队进行深入对话提供了一个轻松的空间。

不要错过我们的下一次黑客聚会,在LinkedIn和Twitter/X上关注我们以获取即将到来的活动公告。

反馈和建议

在您离开之前: 您有反馈意见,或者希望您的技术内容在下一期Bug Bytes中展示吗?我们想听听您的意见!请随时发送电子邮件至support@intigriti.com或在X/Twitter上私信我们,我们会处理。

喜欢这期Bug Bytes吗?考虑与您的朋友分享,并在X/Twitter、Instagram或LinkedIn上标记我们。

祝您下个月收获丰厚, 继续努力!

加入125,000多名每月获取漏洞赏金技巧和见解的安全研究人员! 立即订阅

您可能还喜欢

  • Intigriti Bug Bytes #229 - 2025年10月 🚀
  • Intigriti Bug Bytes #228 - 2025年9月 🚀
  • Intigriti Bug Bytes #226 - 2025年7月 🚀
avatar
文章
阅读
粉丝