主页 > 网络知识 > TOKEN访问项目私有仓库(2)

TOKEN访问项目私有仓库(2)

 

TOKEN访问项目私有仓库

因此,我用下述命令对其私有仓库进行了请求:

 

npm view private_repo
npm get private_repo

响应如下:

 

TOKEN访问项目私有仓库

使用这种方法,我可以下载一些目标项目的私有仓库,从中发现了一些配置类JS脚本和大量的源代码。开发者在项目中明显未做权限设置。没有做深入测试,我就把漏洞上报了。漏洞在当天就被分类处理了,7天之后,我收到了$8000的奖励。

 

 

 

TOKEN访问项目私有仓库

 

总结

 

1、可以从一些JS脚本文件中发现隐藏信息;
2、要学会使用浏览器的开发者工具,它们的功能超乎想像;
3、保持测试工具更新;
4、坚持不懈是关键。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!

您可能还会对这些文章感兴趣!