文章预览
声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名: https://gugesay.com 不想错过任何消息?设置星标 ↓ ↓ ↓ 背景介绍 作为一名 安全 研究员,国外白帽小哥Karthikeyan Nagaraj对漏洞赏金很感兴趣。 几年前,小哥看到了一篇“进入 NASA 名人堂”的帖子,从此能够进入NASA名人堂让他着迷。 从今年6月开始,小哥开始挖掘NASA漏洞,共发现4处漏洞: 2X个信息泄露漏洞 → 重复 2X个安全配置错误漏洞→ 2个被接受 案例1: 打破访问控制 漏洞概述 NASA FRC Grants 门户登录页面包含一个漏洞,允许用户通过客户端操作启用已禁用的“创建帐户”按钮,从而使未经授权的用户能够创建帐户并获得对系统的访问权限。 复现步骤 打开
………………………………