Hello Hacking8!

美国当地时间8月6日—11日，Black Hat USA 2022在拉斯维加斯重磅拉开帷幕。

Hackernews 编译，转载请注明出处： 周四，美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞，称有证据表明这些漏洞被积极利用。 这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关，这两个漏洞都可以链接在受影响的电子邮件服务器上，实现未经身份验证的远程代码执行。 CVE-2022-27925（CVSS评分：7.2） – 认证用户通过mboximport远程代码执行（RCE）（在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复） CVE-2022-37042 – MailboxImportServlet中的身份验证绕过（在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复） “如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26，你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。 CISA没有透露任何有关利用这些漏洞进行攻击的信息，但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。 简而言之，这些攻击涉及利用上述身份验证绕过漏洞，通过上传任意文件在底层服务器上获得远程代码执行。 Volexity表示：“在访问CVE-2022-27925使用的同一端点（mboximport）时，有可能绕过身份验证，并且该漏洞可以在没有有效管理凭据的情况下被利用，从而大大提高了该漏洞的严重性。” 它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例，其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。 这些攻击发生在2022年6月底，还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。 Volexity说：“CVE-2022-27925最初被列为需要身份验证的RCE漏洞，然而，当与一个单独的漏洞结合使用时，它变成了一个未经验证的RCE漏洞，从而使远程利用攻击变得微不足道。” 一周前，CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924，如果被利用，攻击者可能会从目标实例的用户那里窃取明文凭据。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.

Impacket is a collection of Python classes for working with network protocols.

We are going to talk about “Excessive Data Exposure” in this post that we are making for API Security.
Continue reading on InfoSec Write-ups »
我们将在这篇为 API 安全而写的文章中讨论“过度数据暴露”。
继续阅读资讯安全网的文章”

攻防演练结束后，在做向上汇报时如果被问责，安全人员如何避免“被动接锅”？复盘总结时，可以从哪些方面展开？围绕哪些指标？

程序:Dutch Government 漏洞类型:XSS, Open redirect, CSRF, Account takeover 赏金:N/A (VDP) 作者:Jefferson Gonzales (@gonzxph)

程序:AWS, Amazon, Akamai, Cisco, Verisign, Pulse Secure, Varnish 漏洞类型:HTTP Request Smuggling, Desync attack 作者:James Kettle (@albinowax)

程序:Meta / Facebook 漏洞类型:Email confirmation bypass, Logic flaw 赏金:$3,000 作者:Avinash Kumar (@itsavinash_)

程序:Cloudflare 漏洞类型:Path traversal 赏金:$6,000 作者:ANDRI

漏洞类型:403 bypass, Information disclosure 赏金:$1,800 作者:Christian Dray (@G0ds0nXY)

漏洞类型:Reflected XSS, Account takeover 作者:Mohamed Tarek (@timooon107)

程序:Cisco 漏洞类型:OS command injection, RCE 作者:Quentin Kaiser (@QKaiser)

漏洞类型:2FA bypass, Account takeover 作者:Sharat Kaikolamthuruthil (@sharp488)

程序:MikroTik 漏洞类型:Container escape, Local Privilege Escalation 作者:nns

Security & Development

该工具基于命令行实现其功能，并通过Golang包帮助广大研究人员审计Kubernetes集群中的各种安全问题。

在拉斯维加斯举办的黑帽大会上，调查记者 Kim Zetter 表示：自 2010 年发现“震网”（Stuxnet）蠕虫病毒以来，针对全球石油 / 天然气管道、电力 / 水厂、以及其它基础设施计算机系统的攻击有急剧增加。但若人们能够积极落实必要的预防措施，去年针对 Colonial Pipeline 的勒索软件攻击，也本该是能够避免的。 Black Hat USA 2022（图自：Cnet / Bree Fowler 摄） 多年来，Kim Zetter 为《连线》等出版物撰写了多篇重大安全事件的报道，并且有在一本著作中详细介绍了针对伊朗铀浓缩设施的震网攻击。 由一位白罗斯安全研究人员率先发现的 Stuxnet 攻击，起初普遍被认为是美国与以色列在幕后主导，但后来也被 Symantec 等网络安全公司给深入挖掘。 Kim Zetter 表示，震网引发了国家之间的“网络军备竞赛”、并预示着“网络空间正向着军事化”去发展。 Stuxnet 展示了通过网络攻击解决地缘政治冲突的可行性，突然间，每个人都想加入这场游戏。 虽然此前只有少数国家持有攻击性的黑客程序，但震网还是促使其它国家迅速迎头赶上。 在事件全面曝光后，以电力为代表的需要高度监管的领域，已对其关键基础设施增强了防护。 然而在没有全面提升安全性的情况下，大多数领域的安全防护形势也正变得更加复杂。 Kim Zetter 以 Colonial Pipeline 遭遇的黑客攻击举例称： 在计算机系统被勒索软件挟持后，Colonial 迅速支付了数百万美元的赎金。 但是这笔灰色交易，也让那些认为石油和天然气管道运营商‘会有充分的数据备份’的观察人士大跌眼镜。 当时 Colonial Pipeline 官员向议员透露，该公司的安全响应计划，并未将勒索软件攻击考虑在内 —— 即便针对关键基础设施的攻击已经蔓延数年。 Kim Zetter 指出，坦普尔大学的研究人员，早在前一年就记录了针对关键基础设施的数百次攻击，此外各大网络安全公司也通报了此类攻击的增长。 2020 年，美国网络安全和基础设施安全局（CISA）还特地发布了一份报告，以提醒相关行业警惕针对能源管网的勒索软件攻击。 后续调查发现，攻击者利用了在另一个网络上使用、且不受多因素身份验证保护的员工密码，而渗透进了 Colonial 的虚拟专用网络。 在被勒索软件击倒后，该公司被迫停运近一周。当时相关报道还引发了民众的恐

美国国务院今天宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息，包括首次展示了其中一名成员的脸。正义奖赏计划是美国国务院的一项计划，会用高额金钱来奖励那些能够提供影响美国国家安全者相关信息的人。该计划最初是为了收集针对美国利益的恐怖分子的信息，现在已经扩大到为网络罪犯的信息提供奖励，如俄罗斯沙虫黑客、REvil勒索软件和邪恶集团黑客。 美国政府首次披露Conti成员的外貌 今天，国务院首次披露了被称为 “Target “的Conti勒索软件操作者的外貌，为他和其他四名被称为 “Tramp”、”Dandis”、”Professor “和 “Reshaev “的成员的信息提供了高达1000万美元的奖励。 正义奖赏计划悬赏1000万美元寻找Conti成员的信息 Conti勒索软件是一个臭名昭著的勒索软件组织，据统计，该勒索组织对全球超过1000次攻击负责，并收到超过1.5亿美元的赎金。在2020年夏天从Ryuk改名为Conti之后，这个勒索软件组织迅速崛起，出手攻击了高知名度的受害者，包括塔尔萨市、布劳沃德县公立学校以及爱尔兰卫生服务执行局（HSE）和美国卫生部（DoH）。 Conti选择与俄罗斯站在一起 然而，在俄乌战争中，Conti选择与俄罗斯站在一起后，一名乌克兰安全研究员开始泄露Conti勒索软件团伙成员之间的17万多条内部聊天对话以及Conti勒索软件加密器的源代码。这一数据泄露事件统称为“Conti泄露事件”。 此次发生的Conti数据泄露事件不仅导致Conti勒索软件的最终关闭，而且流出的内部谈话也使网络安全研究人员和执法部门能够迅速确定谁在负责该行动以及他们的职权划分。 一些Conti的成员在各个攻击行动中起到了重要的核心作用，因此现在已经成为正义奖赏计划的目标。 AdvIntel首席执行官Vitali Kremez向外界宣布的计划目标成员在Conti行动中具有以下作用： Tramp是BlackBasta勒索软件行动的所有者/领导者，之前是Conti勒索软件行动的领导者之一。他也是Qbot恶意软件指挥和控制基础设施业务的所有者和管理者。 Dandis是技术经理和领导，负责管理勒索软件行动的技术经理和领导者。 Professor是Ryuk的领导人之一，负责从战术层面进行勒索

据The Record网站消息，一些黑客和加密货币盗窃者正在转向所谓的跨链平台洗钱，并试图避免执法部门追踪和冻结他们的非法收益。 根据区块链分析公司 Elliptic 本周发布的研究报告，在过去3年中，名为 RenBridge 的平台已被用于洗钱至少 5.4 亿美元的加密货币，该平台允许在不同的区块链网络之间无缝移动资产，例如将比特币转换为以太坊区块链。 目前。一些跨链桥被合法地用于帮助较新的加密货币与更通用的数字资产竞争，但这些平台也越来越受到网络犯罪分子的青睐，相比那些受监管的加密货币交易所，这些新型平台往往不会要求对客户进行过多的身份识别并向执法部门提供信息。 根据研究，一些最臭名昭著的网络犯罪集团已经使用了这些服务，比如攻击了哥斯达黎加政府而出名的Conti，通过 RenBridge 洗钱超过 5300 万美元；而 Ryuk 洗钱超过 9200 万美元，目前转账仍在进行中。 Elliptic 表示，在过去两年中，RenBridge还被用来清洗从交易所和去中心化金融服务中窃取的至少 2.67 亿美元加密货币资产，其中包括从日本加密货币交易所 Liquid 盗窃的 3380 万美元，该公司在去年 8 月与朝鲜有关的一次攻击中总共损失了 9700 万美元。 据 Chainalysis 的数据， 网络犯罪分子长期以来一直滥用加密货币的去中心化和不受监管的性质，使他们在去年洗钱86 亿美元。尽管加密货币为网络犯罪分子提供了一些匿名性，但它们并非无法追踪。网络犯罪分子不得不利用各种工具来隐藏被盗数字资产的来源。 Elliptic 的研究强调了跨链网络所带来的威胁：通过在区块链网络中轻松转移资金来隐藏被盗资金的来源。 Elliptic 研究人员写道：“RenBridge 等区块链桥对监管机构构成了挑战，因为没有中央服务提供商可以促进这些跨链交易。” “金融行动特别工作组 (FATF) 最近在其关于虚拟资产风险的最新报告中指出了通过‘链式跳跃’进行的洗钱活动，但如何监管此类活动仍有待观察。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341744.html 封面来源于网络，如有侵权请联系删除

据infosecurity消息，肆虐Android平台的银行木马 SOVA 卷土重来，和之前相比增加了更多的新功能，甚至还有可能进行勒索攻击。8月11日，安全公司 Cleafy 对SOVA木马进行细致调查，并以报告的形式分享了调查结果。 报告指出，2021年9月，SOVA首次被安全人员发现，当时其开发人员在暗网上发布了未来更新的路线图，并声称正在进入市场。在接下来的几个月里，Cleafy 公司还发现了SOVA的各种迭代版本，实现了更新路线图中提到的某些功能。其中包括双因素身份验证 (2FA) 拦截、cookie 窃取和针对新目标和国家（例如多家菲律宾银行）的注入。 根据报告，SOVA将分布式拒绝服务（DDoS）、中间人（MiTM）和 RANSOMSORT 功能整合到其武器库中——在现有的银行覆盖、通知操作和键盘记录服务之上。SOVA还可以模仿的目标包括需要信用卡访问才能操作的银行应用程序、加密货币钱包和购物应用程序。 2022年7月，Cleafy公司发现了SOVA (V4)版本，并在其最新的公告中进行详细说明，针对的目标应用APP也从2021年的90个增加至200个，包括银行应用程序和加密货币交易所/钱包。 Cleafy 公司在报告中表示，“SOVA最有趣的部分与虚拟网络计算功能有关，自 2021 年 9 月以来，此功能一直在 SOVA 路线图中，这是攻击者不断更新恶意软件新功能的一个有力证据。” 此外，SOVA的最新版本还可以从受感染的设备中获取屏幕截图、记录和执行手势以及管理多个命令。在 SOVA V4版本，cookie 窃取机制被进一步重构和改进，以指定目标 Google 服务的综合列表以及其他应用程序列表。而更新后的恶意软件可以通过拦截那些卸载应用程序的操作来保护自己。 值得注意的是，Cleafy声称发现了 SOVA 的新版本（V5），对于代码进行了重构，添加了一些新功能，与命令/控制 (C2) 服务器之间通信的一些小变化。虽然SOVA V5 缺少 VNC 模块，但它具有勒索软件功能，这在移动端中较为罕见。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341757.html 封面来源于网络，如有侵权请联系删除

上市不到一个月时间，由悬镜安全创始人兼CEO、OpenSCA开源社区创始人子芽撰写，10位学术界和企业界权威安全专家联袂推荐的《DevSecOps敏捷安全》，登顶京东、当当【新书热卖榜】双榜TOP1。子芽新书《DevSecOps敏捷安全》作为网络安全产业的热门赛道，DevSecO ...

UEFI shim loader

Onsite Analysis Infrastructure

360-CERT每日安全简报

SysEye是一个window上的基于att&ck现代EDR设计思想的威胁响应工具

新的样本增加了持久化的功能，保证即使在设备重新启动或者删除恶意软件后，攻击者仍然可以通过 SSH 继续访问失陷主机。

渗透测试常用密码字典合集(持续更新)

肆虐Android平台的银行木马 SOVA 卷土重来，和之前相比增加了更多的新功能，甚至还有可能进行勒索攻击。

该平台允许在不同的区块链网络之间无缝移动资产，例如将比特币转换为以太坊区块链。

美国国务院今天宣布悬赏1000万美元征集5名Conti勒索软件高级成员的信息。

Hackernews 编译，转载请注明出处： 网络安全研究人员披露了资产管理平台Device42的多个严重安全漏洞，如果成功利用这些漏洞，黑客可以控制受影响的系统。 Bitdefender在周三的一份报告中说：“通过利用这些漏洞，攻击者可以冒充其他用户，获得应用程序中的管理员级别访问权限（通过泄露与LFI的会话），或者获得对设备文件和数据库的完全访问权限（通过远程代码执行）。” 更令人担忧的是，在主机网络中具有任何级别访问权限的攻击者可以用菊花链连接其中三个漏洞，以绕过身份验证保护，并以最高权限实现远程代码执行。 漏洞如下： CVE-2022-1399 – 计划任务组件中的远程执行代码 CVE-2022-1400 – Exago WebReportsApi中的硬编码加密密钥IV.dll CVE 2022-1401 – Exago中提供的路径验证不足 CVE-2022-1410 – ApplianceManager控制台中的远程代码执行 其中最关键的漏洞是CVE-2022-1399，它通过命令注入和root权限执行bash指令，授予攻击者对底层设备的完全控制权。 虽然远程代码执行本身无法实现，但它可以与CVE 2022-1401和CVE-2022-1400串联在一起，通过利用Exago报告组件中发现的本地文件包含漏洞，来提取已认证用户的有效会话标识符。 罗马尼亚网络安全公司于2月18日披露之后，Device42在2022年7月7日发布的18.01.00版本中解决了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

笔记分享

A curated list of awesome frameworks, libraries and software for the Java programming language.

阿里云X零售|云上安全建设与运营私享会报名开启!

利用Bosss反序列化命令执行漏洞、Couchdb的组合漏洞、Redis、Hadoop未授权访问漏洞等入侵互联网中的服务器并植入该木马，运行脚本后，下载挖矿程序，进行恶意挖矿，该挖矿样本疑似来源于8220挖矿团伙。

前几天与团队成员一起审计复现关于flask框架的反序列化漏洞以及session伪造相关的漏洞。想到了2021年虎符杯线下决赛的这个赛题。

内布拉斯加州一名妇女和她17岁的女儿面临重罪和轻罪指控，她们涉嫌在20周后进行堕胎，这在该州长期以来是非法的，并隐藏了尸体。林肯日报明星报》和Motherboard的报道显示，本周执法部门为这些指控收集证据，部分是通过向Meta公司索取数据，命令该公司交出17岁女孩的Messenger聊天记录。 虽然Meta公司遵守了合法的法庭命令，但如果参与者使用了端对端加密，该公司就无法提供这些聊天记录，而Meta公司早就承诺为所有用户默认开启这一功能。同时，在一个Meta公司说完全不相关的举动中，这家社交媒体巨头今天上午宣布，它正在测试Messenger上的端到端加密信息的扩展。 自2016年以来，该公司一直承诺全面默认部署该隐私功能。首席执行官马克扎克伯格甚至在2019年承诺在其所有聊天应用程序中实施端到端加密。但是，该公司面临着技术和政治上的挑战，年复一年地推迟了全面推广，迫使Meta公司转而采取渐进、渐进的步骤。这家社交巨头目前表示，它正朝着2023年在全球范围内推出默认的个人信息和通话端对端加密的方向发展。 不过，就目前而言，该公司今天继续缓慢前进，说它正在测试一组与加密有关的新功能和举措。本周，Meta公司将扩大某些人之间自动开启端到端加密的聊天记录的数量。这意味着这些用户将不必选择启用保护。同样，该公司表示，它将很快扩大可以在Instagram Direct Messenger上选择端到端加密的用户数量。 从本周开始，Meta还在测试端到端加密聊天的”安全存储”功能，因此用户可以备份他们的信息，以防他们丢失设备或得到一个新的设备并想恢复他们的聊天记录。该公司表示，这种安全备份功能将成为Messenger上端对端加密聊天的默认功能，并可选择用PIN码或生成的代码锁定备份。用户也可以选择不使用备份，并关闭该功能。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1303401.htm 封面来源于网络，如有侵权请联系删除

感谢各位师傅们阅读，文章哪有不对的，希望师傅们提出来呀

参照 VMware Security 博客 学习 emotet 家族的 C2 配置提取，并对 DLL 进行完整分析。

8月11日晚间，@美的集团 官微就“美的受黑客攻击并勒索千万美元”的传闻进行回应。美的集团表示，网传美的遭受病毒勒索系谣言，2022年8月11日，美的集团遭受新型网络病毒攻击，少数员工电脑受到感染，公司各业务系统未受影响，经营正常进行，也没有收到勒索信息。 此前，网络上流传的一则聊天记录显示，美的集团在休集体年假期间遭遇加密勒索，工厂多处电脑中病毒，导致无法打开文件或进入不了系统。该病毒为勒索病毒，需要7天内汇1000万美金到指定账户。 聊天记录还提到，针对发生的加密勒索，公司提示相关用户需要保持非必要不开机；已经开机的用户马上关机断电；不要使用美信、邮箱发送文件等，并且会安排安保进行强制关机。 据了解，2021年美的集团实现营业总收入3434亿元，同比增长20.2%；实现净利润290亿元，同比增长5.5%。 2022年第一季度，美的集团实现营业总收入909亿元，同比增长9.5%；实现净利润72亿元，同比增长10%。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1303447.htm 封面来源于网络，如有侵权请联系删除

美国新泽西州的一个露天停车场，全部架设了太阳能大棚，既可以用光伏板发电，又防止车辆被暴晒。这种做法值得推广。（via）
本周话题：葡萄酒，樱花，全球变暖
今年夏天，气温创了历史纪录，很多地方超过40度。
高温的日子非常难熬，白天根本无法户外活动。而且，一想到将来，就更让人沮丧：以后的每年夏天，难道都要在这么炎热的天气中度过吗？
本周，我看到两个很有趣、也很沉重的气候分析，想跟大家分享。葡萄酒和樱花

一家汽车供应商的系统在 5 月的两周内被三个不同的勒索软件团伙破坏并加密了文件。

software/apt-lib.pl in Webmin before 1.997 lacks HTML escaping for a UI command.
[GitHub]A Python script to exploit CVE-2022-36446 Software Package Updates RCE (Authenticated) on Webmin < 1.997.
Software/apt-lib.pl 在1.997之前的 Webmin 缺乏用于 UI 命令的 HTML 转义。
[ GitHub ]在 Webmin < 1.997上利用 CVE-2022-36446软件包更新 RCE (Authenticated)的 Python 脚本。

上周周末结束的 corCTF 中有一个题目提出了一种很有意思的攻击，该攻击方式可以利用 HTTP/2 Server Push 机制 XSS 到其他域，尽管利用条件有点苛刻，但是我个人非常喜欢这种 Magic 的攻击方式。（在征求了原作者 @ehhthing 同意下将该方法分享给大家）

[GitHub]A Python script to exploit CVE-2022-36446 Software Package Updates RCE (Authenticated) on Webmin < 1.997.
[ GitHub ]在 Webmin < 1.997上利用 CVE-2022-36446软件包更新 RCE (Authenticated)的 Python 脚本。

[GitHub]PoC for CVE-2022-24654
[ GitHub ]用于 CVE-2022-24654的 PoC

[GitHub]GOG Galaxy LPE Exploit

不断发展/扩展沉浸式体验、加速人工智能自动化和优化技术专家交付。

Passwords have lousy security properties, and if you try to use them securely (long, complicated, and different for every site), they often have horrible usability as well. Over the decades, the industry has slowly tried to shore up passwords’ security with multi-factor authentication (e.g. one-time codes via SMS, ToTP authenticators, etc) and usability improvements (e.g.Continue reading "Passkeys – Syncable WebAuthN credentials"
密码具有糟糕的安全属性，如果您试图安全地使用它们(对于每个站点，它们都是长的、复杂的和不同的) ，那么它们的可用性通常也很糟糕。几十年来，业界一直在慢慢尝试通过双重身份验证(例如，通过短信发送一次性代码、 ToTP 身份验证器等)和可用性改进(例如，继续阅读“ Passkey-SynCable WebAuthN 凭证”)来加强密码的安全性

Topic: Intelbras ATA 200 Cross Site Scripting Risk: Low Text:# Exploit Title: Intelbras ATA 200 Authenticated Stored XSS # Date: 17/01/2022 # Exploit Author: Leonardo Goncalves # Vendor...

Topic: Fiberhome AN5506-02-B Cross Site Scripting Risk: Low Text:# Exploit Title: FiberHome - AN5506-02-B - RP2521 - Authenticated Stored XSS # Date: 10/08/2022 # Exploit Author: Leonardo Go...
标题: FiberHome-AN5506-02-b 跨网站脚本风险: 低文本: # 开发标题: FiberHome-AN5506-02-b-RP2521-验证存储的 XSS # 日期: 10/08/2022 # 开发作者: Leonardo Go..。

Topic: AirSpot 5410 0.3.4.1-4 Remote Command Injection Risk: High Text:# -*- coding: utf-8 -*- # Exploit Title: AirSpot unauthenticated remote command injection # Date: 7/26/2022 # Exploit Auth...
主题: AirSpot 54100.3.4.1-4远程命令注入风险: 高风险文本: #-*-编码: utf-8-*-# 开发标题: AirSpot 未经身份验证的远程命令注入 # 日期: 7/26/2022 # 开发授权..。

Topic: Sophos XG115w Firewall 17.0.10 MR-10 Authentication Bypass Risk: Medium Text:# Exploit Title: Sophos XG115w Firewall 17.0.10 MR-10 - Authentication Bypass # Date: 2022-08-09 # Exploit Author: Aryan Cheh...
讲题: Sophos XG115w 防火墙17.0.10 MR-10认证绕过风险: 中等文本: # 开发标题: Sophos XG115w 防火墙17.0.10 MR-10认证绕过 # 日期: 2022-08-09 # 开发作者: Aryan Cheh..。

Topic: Matrimonial PHP Script 1.0 SQL Injection Risk: Medium Text:...

影响厂商:Internet Bug Bounty(https://hackerone.com/ibb) 
禁用上下文隔离，nodeIntegrationInSubFrames 使用未授权的帧。

影响厂商:Shopify 奖励:2900.0USD 危险等级:medium
管理小组没有证书的暴露在 https://plus-website.shopifycloud.com/Admin.php

Intelbras ATA 200 Cross Site Scripting