اولین پاداش باگ‌بانتی هانتر 100 دلار در 5 دقیقه

اولین پاداش باگ‌بانتی هانتر 100 دلار در 5 دقیقه

سلام به همه

این داستان مربوط به باگی است که در یک وبسایت پیدا کردم و باآن اولین پاداش باگ بانتی را دریافت کردم.

به طور خلاصه دوستم یک برنامه به من پیشنهاد کرد و من بدون فکر کردن بلافاصله تصمیم گرفتم که آن را بررسی کنم. اجازه بدهید که این برنامه را redacted.com بنامیم.

من عملیات ریکان را ابتدا با بررسی لیستی از زیردامنه‌ها با استفاده از subfinder شروع کردم.

سپس از Wappalyzer استفاده کردم تا تکنولوژی‌هایی که توسط دامنه استفاده شده است را بدانم. شما می‌توانید افزونه آن (Wappalyzer) را بر روی مرورگر خود نصب کنید. اکنون خود من از مرورگر گوگل کروم استفاده میکنم.

پس از آن با استفاده از Wappalyzer متوجه شدم که یکی از زیر دامنه ها، یعنی login.redacted.com، از Google Maps استفاده می‌کند. سپس فورا در سورس کد، API های افشا شده (لو رفته) Google Maps را جستجو کردم و API Google Maps را پیدا کردم. حال، نیاز است با استفاده از Google Maps API Key Checker آنلاین، بررسی کنم که آیا این API آسیب‌پذیر است یا خیر. شما می‌توانید برای این کار از ابزار های دیگری مانند gmapsapiscanner ساخته شده توسط ozguralp، در ترمینال استفاده کنید. و بله!!!!!! این آسیب‌پذیر است!!!!!

اما فقط به این راضی نبودم، و روش‌های دیگری را نیز امتحان کردم. سپس با استفاده از httpx ، زیردامنه‌هایی که توسط subfinder جمع‌آوری کرده بودم بررسی کردم که کدام یک فعال یا غیرفعال است.

سپس از یک اسکنر آسیب‌پذیری به نام Nuclei برای پیدا کردن آسیب‌پذیری‌های موجود در زیردامنه‌ها استفاده کردم.

با استفاده از Nuclei، یک فایل به نام wp-config.php.bak پیدا کردم که شامل اطلاعات حساس مانند database credentials بود. همچنین یک آسیب‌پذیری  XSSمعکوس هم پیدا کردم!

سپس با مالک برنامه تماس گرفتم، گزارشی از یافته‌هایم را تهیه کردم و به آن‌ها تحویل دادم. آن‌ها به خوبی به من پاسخ دادند و اظهار کردند که یافته‌های من معتبر و صحیح است. بعد از دو هفته با من تماس گرفتند و مبلغ 100 دلار به عنوان جایزه دادند.

من در حس و حالی بودم که به خودم میگفتم ” آره، بالاخره تونستم!!!!”. بعد از مدت‌ها تلاش برای یافتن تعداد زیادی موارد دوپلیکیت‌شده، سرانجام موفق شدم که اولین پاداش خودم را دریافت کنم.

ممنون از اینکه تا انتها این مقاله رو مطالعه کردید، امیدوارم که برای شما نیز جالب بوده باشه!

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *