Комментарии 1
После обычной аутентификации эти страницы открыты для всех.
Не понял как приватные репозитории становятся открытыми. Сначала отравили кеш авторизации (используя одинаковый nonce?). Потом привели пользователя на свою gitpage, и спёрли куку. Но в самом начале написано:
$10000 чтение флага flag.private-org.github.io без взаимодействия с пользователем.
А здесь нужно явно найти пользователя приватной репы, вполне себе взаимодействие?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как хакнуть Github и заработать $35000?