我当前的账户已经是管理员权限,可以通过某个路径看到管理员看到的一切!当前的账户身份不仅是该子域名网站下的管理员,还是其它子域名网站的管理员,从中我发现在域名枚举中未发现的其它子域名网站。由于授权原因,我不敢深入测试其它子域名,只能浅尝辄止,立即做了漏洞上报。几个小时后,该公司就修复了该漏洞。几天之后,我的漏洞被评级为P1严重级。
漏洞上报和处理进程
2021.1.22 漏洞上报
2021.1.23 漏洞修复
2021.2.6 漏洞评估为P1级并收获$5000的奖励