我及时上报给目标公司后,他们在一小时之内及时进行了修复,并奖励了我$2500+$500的奖励。
二、可登录访问的管理员账户导致商业合作伙伴公司详细信息泄露
这是一家跨国公司网站,其中存在一个存储型XSS,由此我获得了网站的管理员账户token并深入测试获得了公司合作伙伴企业的详细信息。
我在该公司网站的数据格式页面中发现了存储型XSS漏洞,其格式化数据存储在本地的管理员账户中,所以我用了XSSHunter的内置 Payload形成触发反弹,当管理员触发Payload之后,就会把我想要的数据发送给我:
上报了该漏洞之后,我获得了$1250的奖励。
相关文章教程推荐:web服务器安全
以上就是AWS S3存储桶错误配置――百万个人信息泄露的详细内容,更多文章请关注木庄网络博客!
相关阅读 >>
更多相关阅读请进入《AWS》频道 >>
