Manual Hacking FULL GUIDE | Bug Bounty Explained
三句話摘要
以 AI 輔助 JavaScript 分析與功能導向測試,提升 Bug Bounty 偵測效率的實戰方法。 將 regex 提取的 JavaScript 資料直接餵給 AI 排序優先測試目標,再搭配功能導向的多漏洞類型分析,是目前效益最高的 Bug Bounty 深度偵測工作流程。 廣度 vs 深度的策略平衡
重點整理
重點- 1
廣度 vs 深度的策略平衡
- 2
廣度偵測依賴自動化工具掃描大量目標,無需太多手動思考;深度偵測針對單一功能深挖,漏洞價值更高。講者建議不要只鎖定一種漏洞類型,而是分析功能本身可能衍生哪些漏洞類型,這樣反應更快、命中率更高。
- 3
AI 加速 recon 流程
- 4
將 regex 提取出的 GraphQL 查詢或 API endpoint 直接匯入 ChatGPT,讓 AI 標示最高優先順序的測試目標,避免浪費時間在低風險 endpoint 上。進一步可使用 Shift 等 agentic AI 工具,讓 AI 自動執行測試,而非只提供建議。
- 5
功能導向測試(Feature-Centric Approach)
- 6
每個功能(登入、註冊、建立文章、訂閱等)都應獨立分析,常被忽略的功能往往藏有嚴重漏洞。建議同時建立兩個帳號,搭配 Authify 外掛或 Kaido/Burp Suite 的 IDOR 外掛,被動測試每個請求的授權控制。
- 7
Client-side 漏洞鏈的影響力
- 8
Client-side Path Traversal 若結合 API subdomain 的 Open Redirect,可洩露 Authorization Header,在最佳情況下達成 one-click account takeover。PostMessage 若未驗證 origin 或將訊息內容直接寫入 innerHTML,同樣可導致 XSS。
實用技巧與重點
乾貨- 工具清單
- Link Finder:從 JS 提取 URL / API endpoint 的 regex 工具
- JX Scout:自動下載 JS 檔案並匯入 VS Code,支援美化與跨檔 regex 搜尋
- ChatGPT:分析 GraphQL / API endpoint,建議漏洞類型與 curl 測試指令
- Shift:agentic AI 安全測試工具,自動執行測試案例
- Burp Suite AI / Kaido:內建 IDOR 被動測試外掛
- Authify:在請求頁面加入雙帳號 cookie 切換按鈕
- Firefox Containers:同一瀏覽器隔離兩個帳號 cookie
- Wayback Machine:查看歷史 API endpoint,比較新舊差異
- PostMessageTracker:追蹤頁面所有 PostMessage 事件的瀏覽器擴充套件
- RetireJS:檢測頁面使用的 JavaScript 函式庫是否有已知漏洞
- DOMPurify:常見 HTML sanitization 函式庫,最新版 3.3.1
- Swagger UI:API 視覺化介面,Bug Bounty 目標常見,舊版含 DOM XSS
- 關鍵數字與版本
- DOMPurify < 2.4.2:存在 Prototype Pollution 漏洞,可繞過 XSS 過濾
- DOMPurify 最新版:3.3.1
- ChatGPT API 使用成本:約 2 週 $0.30 美元
- 漏洞類型清單(功能測試涵蓋)
- IDOR(Insecure Direct Object Reference)
- Stored / Reflected / DOM XSS
- CSRF(需無 CSRF token 或 token 可移除)
- Client-side Path Traversal(結合 Open Redirect 可升級影響)
- PostMessage 漏洞(未驗證 origin + innerHTML 注入)
- GraphQL 注入、Introspection 暴露、mutation 授權繞過
- S3 misconfiguration(檔案上傳功能)
- Business Logic Error(JWT 未過期、帳號邏輯缺陷)
- 流程步驟
- 使用目標 1-2 天,熟悉功能
- 執行 Link Finder regex,提取所有 JS 中的 endpoint
- 用 JX Scout 下載 JS,在 VS Code 跨檔執行 regex
- 將結果(GraphQL / API endpoint)匯入 ChatGPT,取得優先測試清單
- 查閱官方 API 文件,理解 endpoint 用途與參數
- 用 Wayback Machine 比較歷史 endpoint
- 建立兩個帳號,搭配 IDOR 外掛進行功能測試
- 針對每個功能分析多種漏洞類型(不限單一類型)
- 檢查第三方 JS 函式庫版本(RetireJS / DOMPurify 版本)
- 測試 PostMessage 是否驗證 origin 及是否直接寫入 innerHTML
結論
結論“將 regex 提取的 JavaScript 資料直接餵給 AI 排序優先測試目標,再搭配功能導向的多漏洞類型分析,是目前效益最高的 Bug Bounty 深度偵測工作流程。”
完整解析
詳細這支影片是講者頻道中三支影片的合輯,涵蓋 JavaScript 分析、功能導向測試、Client-side 漏洞三大主題,並在各段落加入了最新補充技巧。講者開宗明義說明,他偏好深度偵測而非廣度自動化,原因在於廣度偵測門檻低、競爭激烈,深度測試雖然需要更多目標知識,但 AI 工具的出現大幅降低了進入門檻。
在偵測策略上,講者用「珠子藏在沙地」的比喻解釋廣度與深度的取捨:廣度是掃描大面積地表,靠機器自動找出常見漏洞;深度是針對特定一塊深挖,找到別人找不到的高價值漏洞。最佳策略是兩者結合,不要在一個目標上耗費太久,也不要完全流於廣度掃描而錯失深層機會。在 recon 工具層面,講者示範如何將 Link Finder 的 regex 引擎結合 ChatGPT:先讓 AI 生成針對 minified JavaScript 的 regex 模式(例如提取所有 API key、GraphQL 查詢、字串等),再將結果注入 Link Finder,批量掃描頁面。對於使用 Webpack 分包的現代應用,他推薦 JX Scout 將所有 JS 下載至本地並匯入 VS Code,讓跨檔 regex 搜尋成為可能,同時也讓美化後的程式碼更易於人工閱讀。
AI 整合是這支影片最核心的新技巧。講者將 GraphQL 查詢列表直接上傳給 ChatGPT,要求 AI 標示哪些 endpoint 最值得測試、可能存在哪些漏洞(broken access control、mutation 授權繞過、introspection 暴露、SQL/LM prompt injection 等),甚至要求 AI 直接生成可執行的 curl 指令。他也介紹了 Shift 這類 agentic AI 工具,能讓 AI 實際執行測試,而非只是提供建議,進一步節省人工驗證時間。他補充指出 ChatGPT 相較於 Claude 更適合這類任務,因為 Claude 有時拒絕提供漏洞細節。
在功能導向測試部分,講者以自建的 Express.js 部落格網站為範例,帶領觀眾逐一測試建立文章、編輯個人資料、訂閱等功能。他強調不應只鎖定單一漏洞類型,而應針對每個功能思考多種可能的漏洞(XSS、IDOR、CSRF、Path Traversal 等),因為不同功能的漏洞形態差異極大。實測結果中,建立文章功能發現 HTML injection 與 IDOR(跨帳號建立文章),而編輯個人資料功能因有 CSRF token 保護而相對安全——他認為這完全正常,測試後發現安全是好事,繼續往下一個功能移動即可。
最後,影片深入講解 Client-side 漏洞:DOM XSS(透過 eval 執行用戶輸入)、Client-side Path Traversal(利用 `../` 繞過 API 路徑,結合 Open Redirect 可洩露 Authorization Header 達成 account takeover)、PostMessage 漏洞(未驗證 origin 且直接寫入 innerHTML 可導致 XSS)。對於防禦函式庫 DOMPurify,講者說明 2.4.2 以前版本存在 Prototype Pollution 漏洞,在 Swagger UI 等常見平台上尤其值得檢查版本,並推薦 RetireJS 作為自動偵測舊版 JS 函式庫的工具。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
