Intigriti Bug Bytes #227 - 2025 年 8 月 🚀

作者：Intigriti

2025 年 8 月 15 日

目录

• 嗨，黑客们

• INTIGRITI 0725 结果揭晓

• 博客和视频

• 工具和资源

• Intigriti 在 DEF CON

• 反馈和建议

嗨，黑客们

欢迎阅读最新一期的 Bug Bytes！本月内容将涵盖：

• 绕过 Cloudflare、Akamai 和 AWS Cloudfront 等 WAF

• 构建完整的漏洞赏金自动化系统

• 功能强大的针对性备份文件扫描器

• 通过 PDF 文件的巧妙技巧绕过 CSP 实现 XSS

还有更多精彩内容！让我们开始吧！

INTIGRITI 0725 结果揭晓

我们最新的 XSS 挑战由 @J0R1AN 设计，仅有 7 个确认解出，成为 Intigriti 有史以来最难的挑战之一。

快速回顾：

• 7 名黑客报告了正确的 flag

• 首杀由 @dr_brix 获得

• 3 名黑客撰写了详细的解题报告

博客和视频

识别服务器原始 IP

在流行的反向代理后面识别服务器原始 IP

遇到可能的 SQL 注入点却被 WAF 阻止可能会让人感到沮丧……但如果你能绕过这个 WAF 并实现 SQLi 呢？在我们的技术文章中，我们介绍了多种识别 CDN 和 WAF 后面目标原始 IP 的方法。

GitHub 探测技术

GitHub 探测技术大多被忽视……然而，这里几乎是开发人员每天意外提交 API 密钥、数据库凭据和其他秘密的地方。在我们的详细文章中，我们记录了如何使用 GitHub 探测技术发现更多漏洞。

回顾我们之前的文章：文件上传

文件上传无处不在……有时，一个简单的验证错误可能导致高严重性发现（如 RCE）。在我们的技术文章中，我们记录了一些在下一次测试文件上传功能时可以尝试的酷炫技巧。

工具和资源

工具

Fuzzuli 备份文件扫描器

需要快速检查目标上意外上传的备份文件吗？@musana 开发的 Fuzzuli 是一个极速备份文件扫描器。它还包括动态词表生成功能，以获得更准确的结果。

DOM 日志记录器

基于 DOM 的 XSS 漏洞是最容易被忽视的 XSS 类型之一。@kevin_mizu 开发的 Domloggerpp 是一个简单的 Web 扩展，可帮助您跟踪导致基于 DOM 的漏洞（如 XSS）的 JavaScript DOM 接收器。

黑客原始 IP 查找器

绕过 WAF（如 Cloudflare、Akamai 和 AWS Cloudfront）很困难。幸运的是，我们有像 @hakluke 开发的 Hackoriginfinder 这样的工具，这是一个帮助识别反向代理后面服务器原始 IP 的简单工具。

资源

使用网站图标哈希发现更多漏洞

网站图标哈希可以通过找到类似范围内的目标来扩展您的攻击面。查看我们最近的帖子，我们分享了一个简单的单行命令来计算网站图标哈希并在 Shodan 中使用。

漏洞赏金自动化

想要提升您的漏洞赏金自动化水平？Rs0n 在这个视频中分享了他自动化漏洞赏金狩猎的方法论和方法。

2025 年的 Log4Shell

Log4Shell（Log4J）在 2025 年仍然存在，虽然大多数研究人员已经转向其他方向，但有些人仍然通过它获得关键漏洞。在我们的技术推文中，我们分享了如何在 2025 年识别和利用 Log4Shell。

WAF 绕过技巧

绕过 WAF 可能是一项棘手且耗时的任务。@coffinxp7 分享了如何找到任何目标的服务器原始 IP。

GraphQL 漏洞挖掘

这位研究人员通过在 GraphQL 中提交漏洞在 Intigriti 上获得了不错的赏金。如果您想了解更多关于攻击 GraphQL 目标的信息，并开始寻找关键的 GraphQL 漏洞，我们为您准备了一个简短的推文，包含所有入门所需的资源。

CSP 绕过技巧

被 CSP 阻止？@xssdoctor 在他的推文中分享了一个使用 PDF 文件绕过 CSP 的酷炫技巧。

Intigriti 在 DEF CON

DEF CON 33 太棒了！活力四射的氛围、才华横溢的人才以及与社区的对话令人难忘。

快速回顾：

• 我们的首席黑客官 Inti De Ceukelaire 展示了 Magical Hacks 节目，充满了令人惊叹的黑客和魔术技巧。

• 我们在周五早上举办了一个聚会，提供咖啡和新鲜食物，开启 DEF CON 的第二天。

• 我们的私人套房在整个活动期间为与我们的 CEO 和团队进行深入对话提供了一个轻松的空间。

不要错过我们的下一次黑客聚会，在 LinkedIn 和 Twitter/X 上关注我们以获取即将到来的活动公告。

反馈和建议

在您离开之前：您有反馈意见，或者希望您的技术内容在下一期 Bug Bytes 中展示吗？我们想听听您的意见！请随时发送电子邮件至 support@intigriti.com 或在 X/Twitter 上私信我们，我们会处理。

喜欢这期 Bug Bytes 吗？考虑与您的朋友分享，并在 X/Twitter、Instagram 或 LinkedIn 上标记我们。

祝您下个月收获丰厚，继续努力！

加入 125,000 多名每月获取漏洞赏金技巧和见解的安全研究人员！立即订阅

您可能还喜欢

• Intigriti Bug Bytes #229 - 2025 年 10 月 🚀

• Intigriti Bug Bytes #228 - 2025 年 9 月 🚀

• Intigriti Bug Bytes #226 - 2025 年 7 月 🚀更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享