2020年漏洞赏金记录表|bug bounty writeups,OTP bypass,AWS错误配置,RCE,XSS,SQL,帐户接管,参数篡改,命令注入,密码重置,授权缺陷,身份验证绕过,Web缓存中毒,竞争条件,HTTP参数污染,逻辑漏洞,路径遍历,篡改付款

2020年漏洞赏金记录表|bug bounty writeups

标题和网址作者赏金计划公司脆弱性奖励$$发布日期
Facebook Javascript SDK中使用的错误正则表达式会导致包含该正则表达式的网站被帐户接管Samm0uda(@ samm0uda)Facebook帐户接管$ 21,0002020年12月31日
Facebook bug赏金(500 USD):被阻止的筹款活动组织者将无法查看或将自己从筹款活动中移除。Vivek PS(@ vivekps143)FacebookDoS,逻辑缺陷$ 5002020年12月31日
跨域引荐来源泄漏Mohsinalibukc跨域推荐人泄漏$ 3002020年12月31日
在页面上对某人的直播回复评论作为个人身份发布普拉卡什·潘塔(@ prakashpanta268)Facebook信息披露$ 5002020年12月30日
通过页面发帖时,群组管理员无法审核评论:Facebook Bug Bounty 2020普拉卡什·潘塔(@ prakashpanta268)Facebook逻辑缺陷2020年12月30日
事件创建者无法在事件直播期间阻止攻击者普拉卡什·潘塔(@ prakashpanta268)Facebook逻辑缺陷$ 0(资料性)2020年12月30日
缓存键规范化-可能出什么问题了?尤斯汀(@iustinBB)Web缓存中毒,DoS2020年12月29日
在集成服务中使用IDOR进行敏感数据泄漏罗纳克·帕特尔(@ ronak_9889)IDOR2020年12月29日
通过“ Create doc”按钮创建Facebook页面管理员(赏金:5000美元)Shubham Bhamare(@ theshubh77)Facebook信息披露$ 5,0002020年12月28日
我如何从Google获得第一笔赏金和荣誉(CSRF导致帐户删除)Bhupendra Rajbhar(​​@ bhupendra1238)谷歌CSRF2020年12月28日
[Google VRP]劫持Google Docs屏幕截图吉隆坡Sreeram(@kl_sree)谷歌PostMessage缺陷,XSS2020年12月27日
正则表达式注入,代码审查低落的果实多米尼克(@dee__see)重做2020年12月27日
通过“消息卖方”按钮在Facebook页面上进行管理员披露(赏金:1500美元)Shubham Bhamare(@ theshubh77)Facebook信息披露$ 1,5002020年12月26日
Opera Mini Android上的完整地址栏欺骗Piyush Raj〜雷克斯(@ 0x48piraj)歌剧,谷歌地址栏欺骗2020年12月26日
EN | 通过基于Web Cache Poisoning的Reflected XSS进行帐户接管LütfüMert Ceylan(@lutfumertceylan)反映了XSS,Web缓存中毒,帐户接管2020年12月26日
供应链污染:应对CTF挑战的1600万下载/周npm软件包漏洞尤金林(@spaceraccoonsec)Node.js第三方模块原型污染2020年12月23日
Cookie在Google Cloud JupyterLab上折腾到RCEs1r1us(@ S1r1u5_)谷歌自XSS,DoS,CSRF,RCE$ 3133.702020年12月23日
从堆内存中破解加密秘密以利用Android应用程序secureITmania(@secureitmania)密码问题2020年12月22日
Google地图中的SSTIs1r1us(@ S1r1u5_)谷歌科学技术研究院$ 0(资料性)2020年12月22日
这就是我能够在Instagram上查看任何人的私人电子邮件和生日的方式Saugat Pokharel(@ saugatpk5)Facebook信息泄露,逻辑缺陷$ 13,1252020年12月20日
Facebook bug赏金-查找私人活动的隐藏成员。Vivek PS(@ vivekps143)Facebook信息泄露,逻辑缺陷$ 1,0002020年12月20日
价值$ 1,500 IDOR(访问未经授权的数据)穆罕默德·阿西姆·沙扎德(@ protector47)IDOR$ 1,5002020年12月20日
写出:Google VRP N / A –作为Apigee API代理的根目录的Rce沙盒@omespino谷歌RCE$ 0(不适用)2020年12月19日
samsung.com子域上的访问控制损坏导致三星员工应用程序帐户被大众帐户接管Gal Nagli(@naglinagli)三星信息泄露,账户接管,授权漏洞$ 0(OOS)2020年12月18日
错误配置的s3存储桶导致敏感数据泄露(无超级控件)VirdoexhunterAWS错误配置$ 4002020年12月18日
我的Bug赏金之旅和我的第一个严重错误-基于时间的盲SQL注入马克思·克莱兹SQL注入$ 3,5002020年12月17日
我如何入侵IBM并获得许多服务的完全访问权限?阿卜杜拉·穆罕默德(@ 3bodymo_)IBM公司信息披露2020年12月16日
JavaScript分析导致管理门户访问NotRickyy(@RickyyNot)授权缺陷,访问控制中断2020年12月16日
TikTok职业生涯门户网站帐户接管劳里兹(@ lauritzTikTokCSRF,开放式重定向,帐户接管$ 2,3732020年12月15日
由于RTLO字符渲染不正确而导致下载文件名操作Jayateertha Guruprasad(@JayateerthaG)实时时钟2020年12月15日
确认属于特定用户的电子邮件地址阿卜杜拉·雅拉(@yaalaab)Facebook信息披露$ 5,0002020年12月12日
我如何入侵Facebook:第一部分Alaa Abdulridha(@ alaa0x2)Facebook缺少身份验证,身份验证绕过,帐户接管$ 7,5002020年12月11日
我如何获得我的第一个Bug赏金来吸引目标(从LFI到SXSS)日立博士LFI,存储的XSS$ 2502020年12月11日
如何在电子商务站点中转储客户的PII信息?NotRickyy(@RickyyNot)AWS错误配置2020年12月11日
在移动应用程序上开发请求伪造的新时代Sayed Abdelhafiz(@dPhoeniixx)Pinterest的CSRF,帐户接管2020年12月11日
游戏进行中–在Valve的“蒸汽插座”中发现漏洞艾尔·伊特金(Eyal Itkin)Eyal Itkin(@EyalItkin)阀门内存损坏错误2020年12月10日
内容安全策略绕过以使用MIME嗅探执行XSSKleitonx00XSS,CSP旁路2020年12月10日
黑客攻击-篡改URL参数,尤其是当它们修改页面时杰克HTTP参数污染2020年12月9日
Facebook泄漏引荐来源数据Neilmark Ochea(@PhClownX)Facebook开启重新导向2020年12月8日
我如何能够接管戴尔的一个子域TahaBıyıklı(@tahabykl)戴尔电脑子域接管2020年12月8日
Facebook推送通知链接绕过他Neilmark Ochea(@PhClownX)Facebook开启重新导向2020年12月7日
“重要的欺骗”-Microsoft Teams中的零点击,可蠕虫,跨平台的远程代码执行奥斯卡·维格里斯(Oskars Vegeris)微软RCE,存储的XSS,CSP旁路,CSTI2020年12月7日
到目前为止,我发现的最佳漏洞的故事…Vedant Tekale(@_justYnot)自助XSS,盲XSS,帐户接管2020年12月7日
通过LFI日志中毒进行RCE-死亡药水Shrey Shah(@ ShreySh43332033)RCE,LFI,原木中毒$ 0(VDP)2020年6月12日
重定向如何在Facebook上工作?技术故障Abhisek R(@ abh1sek_r)Facebook开启重新导向$ 02020年6月12日
Opera浏览器(XSS)Neilmark Ochea(@PhClownX)歌剧XSS2020年12月5日
$ 10000 Facebook SSRF(Bug赏金)阿米·阿布(@amineaboud)FacebookSSRF$ 10,0002020年3月12日
日志中的信用卡活动泄漏?是的先生!罗迪·沙纳扎里安(@ Komradz86)信息披露$ 8002020年3月12日
跨站点脚本(XSS)反映在“通用汽车”的子域之一中(Bugbounty)通用汽车反映的XSS$ 0(VDP)2020年3月12日
Glassdoor上的站点范围CSRF塔巴希(@_tabahi)玻璃门CSRF$ 3,0002020年3月12日
浏览器URL /协议处理程序泄漏塔巴希(@_tabahi)Google,Microsoft,Mozilla信息披露$ 0(资料性)2020年3月12日
SSTI到本地文件读取恶魔(@ R29k_)SSTI,LFI2020年12月2日
骇客入侵-务必检出图片杰克GitLab信息披露$ 5002020年12月2日
iOS零点击无线电邻近漏洞利用系统奥德赛伊恩·比尔(@ i41nbeer)苹果缓冲区溢出2020年12月1日
链接漏洞导致帐户被接管艾哈迈德(@ahzsec)帐户接管,密码重置漏洞,开放重定向,缺乏速率限制$ 0(重复)2020年12月1日
利用盲目的Postgresql注入并泄露Psycopg2中的数据沙瓦·汗(@ShawarkOFFICIAL)SQL注入$ 3,0002020年11月30日
速卖通验证码重用独角兽安全速卖通验证码旁路2020年11月30日
链接多个请求以实现速率限制漏洞艾哈迈德·哈拉比(@Ahmad_Halabi_)限速旁路$ 1,0002020年11月29日
Bcrypt —弱加密导致的帐户接管—#HR51KDBDarkLotus(@darklotuskdb)信息披露,账户接管2020年11月29日
我的第一个严重错误的故事Shellbr3ak(@ 0xShellbr3ak)SQL注入2020年11月29日
我如何轻松地获得SQL注入错误的$$$拉菲·安迪卡·加卢(Rafi Andhika Galuh)SQL注入2020年11月26日
使用OAuth错误配置进行帐户前接管the_unluck_guy(@ 7he_unlucky_guy)OAuth漏洞$ 8002020年11月26日
通过Reflected xss将CORS链接到帐户接管#我的第一个博客Santosh Kumar ShaCORS配置错误,反映XSS,帐户接管2020年11月26日
Github上的图像将如何泄漏您的私人信息fuomag9(@ fuomag9)Github信息披露$ 0(资料性)2020年11月24日
在REDACTED程序上反映出跨站点脚本(赏金:750 $)Canmustdie反映的XSS$ 7502020年11月23日
修复Google漏洞我(@InsecureNature)艾莉森·多诺万(@matter_of_cat)谷歌特权提升2020年11月22日
将XSS升级到帐户接管Aditya Verma(@ 0cirius0)反映了XSS,帐户接管2020年11月22日
错误页面上的奇怪(im)可能的XSS罗迪·沙纳扎里安(@ Komradz86)反映的XSS2020年1月1日
2反映在Razer中的XSS莫斯塔法雷蛇反映的XSS2020年1月1日
将基于盲错误的SQL注入转换为可利用的布尔值一奥兹古尔阿尔卑斯山(@ozgur_bbh)SQL注入2020年1月1日
利用动态渲染引擎来控制Web应用程序瓦西里·埃尔米洛夫(@ ermil0v)SSRF,开放重定向$ 5,0002020年11月19日
通过7种方法绕过重定向过滤器ElMahdi Mrhassel(@ElMrhassel)开放式重定向,OAuth漏洞2020年11月19日
通过ADB Pull在客户端上任意写入文件塞拉菲娜(Sera)Tonin Brocious(@daeken)谷歌任意文件写入$ 02020年11月19日
电子商务IOS应用程序中的带外XXE高朗·巴特纳加(@ 0xgaurang)XXE2020年11月19日
服务器端错误配置-有趣的修复Shrey Shah(@ ShreySh43332033)大本营信息披露$ 1002020年11月18日
3个漏洞的故事,说明帐户被接管!Avinash Jain(@ logicbomb_1)SSRF,帐户接管2020年11月17日
Firefox:网站如何窃取您的所有Cookie佩德罗·奥利维拉(Pedro Oliveira)(@kanytu)Mozilla任意文件读取$ 5,0002020年11月16日
通过直接访问API端点来窃取用户的PII信息Kunal Pandey(@ kunalp94)信息泄露,逻辑缺陷$ 5002020年11月16日
通过服务器端模板注入的RCEGaurav Mishra(@ gmishra010)SSTI,RCE2020年11月15日
优化VDP中的Bug赏金计划中使用的狩猎结果-从敏感的信息披露到访问可用于检索客户数据的隐藏APIYoko Kho(@YokoAcc)信息泄露,访问控制中断,IDOR,SQL注入$ 4,7502020年11月15日
Microsoft Bug赏金报告–存储的XSS漏洞Pethuraj(@Pethuraj)微软储存的XSS2020年11月15日
对帐户接管者的弱密码学letmeslidein(@VasuYadaav)密码问题,帐户接管,IDOR2020年11月15日
使用AuthToken开发API拉菲·阿罕默德(莱昂尼达斯·D·艾斯)代币泄漏,信息泄露2020年11月15日
通过密码重置帐户奥马尔·哈姆迪(@ seaman00o)帐户接管,密码重设漏洞$ 2,0002020年11月14日
从理论上讲可能是实际帐户接管Mukul Lohar(@ironfisto)IDOR,帐户接管2020年11月14日
在页面上通过某人的LiveStream回复评论被发布为个人身份普拉卡什·潘塔(@ Prakashpanta268)Facebook逻辑缺陷$ 5002020年11月13日
走私(无法利用的)XSS朱利安·阿伦斯(@MrTuxracer)HTTP请求走私,XSS2020年11月13日
我如何找到数百万用户的Facebook Messenger泄露访问令牌古汉·拉贾(@havocgwen)Facebook信息披露$ 16,1252020年11月13日
SQLi有趣的情况尼克·斯里瓦斯塔瓦(@niksthehacker)SQL注入$ 3,0002020年11月13日
通过页面的新闻源打开帖子来评论帖子来自错误的演员(即管理员的个人帐户)萨米普·阿里亚尔Facebook信息披露$ 5002020年11月13日
用户的私人观看的视频/保存的视频(通过锁定的智能手机通过Messenger呼叫公开)。萨米普·阿里亚尔Facebook信息泄露,授权缺陷$ 5002020年11月13日
逃避过滤器以执行任意URL重定向攻击苛刻的博特拉(@harshbothra_)开启重新导向2020年11月12日
1000美元的赏金-严重的业务逻辑缺陷导致帐户接管和产品订单金额操纵穆罕默德·阿西姆·沙扎德(@ protector47)逻辑缺陷,帐户接管,篡改价格$ 1,0002020年11月12日
Evernote:Universal-XSS,所有站点中所有cookie的盗窃等等过度安全(@OversecuredInc)印象笔记UXSS2020年11月12日
Google Cloud Monitoring中的31,000美元SSRF导致元数据暴露大卫·内舒塔(@david_nechuta)谷歌SSRF$ 31,3372020年11月10日
价值4,913美元的SSRF(服务器端请求伪造)|英特尔®开发人员专区 我最高的赏金!Sayaan Alam(@ehsayaan)投寄箱SSRF$ 4,9132020年11月10日
链接密码重置链接中毒,IDOR和信息泄漏,以在api.redacted.com上实现帐户接管贾德马克(@ mase289)HTTP标头注入$ 0(重复)2020年11月10日
适用于Android的Firefox:基于LAN的意图触发初始化字符串(@init_string)Mozilla不安全的意图2020年11月10日
Facebook iOS地址栏欺骗拉胡尔·坎克拉尔(@RahulKankrale)Facebook地址栏欺骗$ 1,5002020年11月10日
由于IDOR简单,我如何在美国国防部网站上接管任何帐户Gal Nagli(@naglinagli)美国国防部IDOR,帐户接管2020年11月7日
使用postMessage的基于Facebook DOM的XSSSamm0uda(@ samm0uda)FacebookDOM XSS$ 25,0002020年11月7日
克隆攻击:Git客户端远程执行代码Vitor Fernandes(@ Rapt00rVF)和Julio Fort的GitHubRCE$ 0(重复)2020年11月6日
帐户前接管的故事Kushal Dhakal(@ dhakal0kushal)帐户接管,OAuth漏洞2020年11月6日
通过未知技术进行公开重定向的费用为1000美元[BugBounty撰写]ruvlolGitLab开启重新导向$ 1,0002020年11月5日
我如何在Brave Browser中发现Tor漏洞,进行报告,看着它得到修补,得到了CVE(CVE-2020-8276)和一小笔赏金,全部在一个工作日内完成病码(@sickcodes)勇敢的软件信息披露$ 1002020年11月5日
删除Facebook中的任何照片Lokesh Kumar(@ lokeshdlk77)Facebook授权缺陷,逻辑缺陷$ 10,7502020年11月4日
从500错误到Django管理员接管沙尚克(@cyberboyIndi​​a)授权绕过,帐户接管$ 3,0002020年3月11日
强制赏金$$拉菲·阿罕默德(莱昂尼达斯·D·艾斯)授权缺陷$ 5002020年3月11日
在评论部分显示在页面上上传视频的页面管理员Lokesh Kumar(@ lokeshdlk77)Facebook信息泄露,逻辑缺陷$ 4,8382020年11月2日
在评论部分显示在页面上上传视频的页面管理员Lokesh Kumar(@ lokeshdlk77)Facebook信息泄露,逻辑缺陷$ 4,8382020年11月2日
CVE-2020-13294劳里兹(@ lauritz身份验证漏洞,OpenID Connect漏洞2020年11月1日
Azure中的子域接管:进行PoC迭戈·伯纳尔·阿德兰多多(@secfaults)子域接管2020年11月1日
.git文件夹泄漏导致RCE詹姆斯·克莱(@jtcsec)RCE2020年11月1日
CVE-2020-13294劳里兹(@ lauritzGitLabOAuth配置错误$ 0(重复)2020年11月1日
经常被忽略的Oauth配置错误。有效载荷VipItHunter(@ VipItHunter1)OAuth配置错误2020年11月1日
我如何为我的关键发现获得7000美元的Bug赏金。Kishan Kumar / Noobie BoY(@hst_kishan)信息披露$ 7,0002020年10月31日
滥用“举报滥用行为”Aseem Shrey(@AseemShrey)逻辑缺陷,授权缺陷$ 2002020年10月31日
越过墙:命令注入仍然有效。艾哈迈德·康斯坦斯(@a_Constant_)命令注入2020年10月31日
铰链Hackerone Writeup泰勒·巴特勒(@ tbutler0x90)合页存取控制中断2020年10月31日
能够为Android后门Facebook阿什莉·金(@AshleyKingUK)Facebook不安全的深层链接2020年10月30日
Alien Swarm中糟糕的远程代码执行梅夫阀门RCE2020年10月30日
手动断开链接监视穆罕默德·塔拉特(@ T4144t)限速旁路,OTP旁路2020年10月30日
手动断开链接监视GrumpinouT(@RVerwilghen)链接劫持中断2020年10月29日
一个有趣的错误的故事。Vedant Tekale(@_justYnot)缺乏速率限制,拒绝服务2020年10月28日
在WordPress网站上进行基于错误的SQL注入并提取超过15万个用户详细信息伊诺夫·阿拉西里(Ynoof Alassiri)SQL注入2020年10月27日
使用Dalfox和Paramspider自动化XSS识别Paras Arora(@ parasarora06)反映的XSS2020年10月27日
YouTube错误,允许不公开上传到任何频道瑞安·科沃奇(Ryan Kovatch)谷歌IDOR,信息公开$ 6,3372020年10月27日
我如何使用手机在5分钟内获得250美元telaviv_h4x0r大本营HTML注入$ 2502020年10月26日
TikTok修复了Check Point Research发现的隐私问题伊兰·瓦克宁(Eran Vaknin)和阿隆·博辛纳(Alon Boxiner)TikTok信息披露2020年10月26日
链接预览:简单功能可能会带来隐私和安全风险Talal Haj Bakry(@ parasarora06)Tommy MyskDiscord,Facebook,Google,LINE,LinkedIn,Slack,Twitter,Zoom信息披露2020年10月25日
即使Workplace管理员隐藏了电子邮件配置文件字段,也要对电子邮件执行子字符串搜索。拉胡尔·坎克拉尔(@RahulKankrale)Facebook访问控制损坏,授权漏洞$ 1,0002020年10月25日
我在Google上的第一个错误玛纳斯·哈什(@ ManasH4rsh)谷歌IDOR2020年10月25日
偶然观察到严重的IDOR苛刻的博特拉(@harshbothra_)IDOR2020年10月24日
三星S20-通过三星银河应用商店的RCEF-安全三星RCE$ 02020年10月23日
300 $ P3 Easy Bug在30秒内奥马尔·哈姆迪(@ seaman00o)缺乏身份验证,访问控制中断$ 3002020年10月22日
即使Workplace管理员隐藏了电子邮件配置文件字段,也要对电子邮件执行子字符串搜索。拉胡尔·坎克拉尔(@RahulKankrale)Facebook授权缺陷$ 2,0002020年10月21日
Facebook页面管理员披露拉胡尔·坎克拉尔(@RahulKankrale)Facebook信息披露$ 3,0002020年10月21日
GitHub Pages-通过不安全的Kramdown配置的多个RCE-$ 25,000赏金威廉·鲍灵(William Bowling)/ vakzz(@wcbowling)的GitHubRCE,路径遍历$ 25,0002020年10月20日
返回2019年:披露雇主PII和证书Saneklarek(@ wh11tew0lf)信息披露$ 1,0002020年10月20日
GitHub Gist-通过开放重定向接管帐户-10,000美元的赏金威廉·鲍灵(William Bowling)/ vakzz(@wcbowling)的GitHub打开重定向,帐户接管$ 10,0002020年10月19日
GitHub-通过git选项注入的RCE(几乎)-20,000美元赏金威廉·鲍灵(William Bowling)/ vakzz(@wcbowling)的GitHubRCE$ 20,0002020年10月18日
Discord桌面应用程序RCEMasato Kinugawa(@kinugawamasato)不和谐RCE$ 5,0002020年10月17日
XSS的娱乐化和利润化萨阿德·艾哈迈德(@XSaadAhmedX)XSS,CSRF$ 2,2002020年10月14日
我玩过这个XSSyappare(@yappare)XSS2020年10月13日
盲SSRF-捉迷藏游戏Shrey Shah(@ ShreySh43332033)盲SSRF$ 4002020年10月13日
我如何找到我的第一个P1级错误。$$$残酷的XSS2020年10月13日
公开电子邮件,电话号码,以及更多尝试向帐户中添加资金的Facebook用户穆斯塔法·艾哈迈德(Mustafa Ahmed)(@ mustafa0x2021)Facebook信息披露$ 5002020年10月12日
来宾博客文章:回滚攻击刘晓音(@general_nfs)Mozilla本地特权升级2020年10月12日
未经授权访问所有用户帐户。拉胡尔·奈杜(Rahul Naidu)帐户接管,身份验证绕过,JWT配置错误2020年10月12日
利用XSS读取内部文件阿迪亚·迪克西特(@ zombie007o)XSS,LFI2020年10月9日
JS是l0ve❤️。Shivam Kamboj Dattana(@ sechunt3r)信息泄露,API密钥泄漏$ 5,0002020年10月9日
practo.com上的弱密码设置功能黑暗恶魔普拉托授权缺陷$ 0(无法修复)2020年10月9日
CVE-2018–5230 | JIRA跨站点脚本Paras Arora(@ parasarora06)反映的XSS2020年10月9日
像老板一样利用管理面板Shivam Kamboj Dattana(@ sechunt3r)授权绕过,凭据薄弱$ 1,5002020年10月8日
通过主机标头中毒进行ATOShivam Kamboj Dattana(@ sechunt3r)主机头注入,帐户接管,密码重置漏洞$ 2,0002020年10月8日
我输入您的服务器吗?Microsoft Azure中的新漏洞整合器微软特权升级,RCE2020年10月8日
SVE-2020-18025:未经授权访问三星安全文件夹文件拉胡尔·坎克拉尔(@RahulKankrale)三星授权流程$ 3,7502020年10月7日
研究:.google.com /产品的大量CSRFing 。密苏姆·赛义德(@ missoum1307)谷歌CSRF$ 30,0002020年10月7日
新加坡星巴克通过IDOR收购价值6k $的帐户卡米尔·奥努尔·厄兹卡莱利(@ ko2sec)星巴克IDOR,帐户接管$ 6,0002020年10月7日
Curve App中的敏感信息泄漏[Bug Bounty]ΡRΛSΞUDΟ®(@praseudo)曲线信息披露$ 1,5002020年10月7日
参加Microsoft Azure Sphere赏金计划的经验迈克菲高级威胁研究(ATR)微软本地特权升级,RCE,安全功能旁路$ 160,0002020年6月10日
90天,16个错误和Azure Sphere挑战思科Talos微软本地特权提升,RCE,DoS,信息公开2020年6月10日
注意您的要求!打开重定向到完整的帐户接管九十九(@ ninetyn1ne_)路径遍历,开放重定向,SSRF,帐户接管2020年10月5日
轻松获胜:值得Facebook HOF处理的冗长错误Mukul Lohar(@ironfisto)Facebook信息披露$ 5002020年10月5日
在拥有+20000用户的网站中利用LFI到RCEKleitonx00LFI,RCE2020年10月4日
花更多的时间进行侦察,您会发现更多的问题。Vedant Tekale(@_justYnot)反映的XSS,信息公开2020年10月3日
利用支付网关letmeslidein(@VasuYadaav)篡改付款2020年10月3日
我的第一个漏洞赏金之旅(2018年11月)严厉的柳木(@ harshtya9i)三星身份验证绕过$ 2002020年10月2日
通过下载功能在Android上的Facebook上任意执行代码Sayed Abdelhafiz(@dPhoeniixx)Facebook任意代码执行$ 10,0002020年10月2日
强大的HTTP请求走私💪里卡多·伊拉玛尔·多斯·桑托斯(@ricardo_iramar)HTTP请求走私$ 17,0502020年10月1日
写出– Google Bug赏金:XSS到Cloud Shell实例的接管(Rce作为根源)– 5,000美元@omespino谷歌XSS,RCE$ 5,0002020年10月1日
我在Facebook上发现一个怪异漏洞的故事阿米·阿布(@amineaboud)Facebook身份验证绕过,信息泄露2020年9月30日
IDOR的艺术:Edm0d0中的7个IDORPratyush Anjan Sarangi埃德莫多IDOR2020年9月29日
公共存储桶允许访问即将到来的Google Cloud Blog帖子中的图像托马斯·奥尔利塔(@ThomasOrlita)谷歌GCP存储桶配置错误,信息泄漏2020年9月29日
由于不安全的JSONP呼叫,取消了Kolesa网站中的SSO和帐户接管Yasho(@YShahinzadeh)帐户接管2020/09/28
在单个网站中进行帐户接管的5种方法letmeslidein(@VasuYadaav)帐户接管,OAuth配置错误,缺乏速率限制,OTP绕过,IDOR,JWT配置错误2020年9月27日
链上链:将多个低级外伤链接到一个Critical中。丹尼尔·玛特(@ Masonhck3571)盲XSS,CSP旁路,缺乏速率限制,暴露的JWT生成端点2020年9月26日
破解中型合作伙伴计划穆罕默德·阿里·班扎尔中等的逻辑缺陷2020年9月26日
参数篡改₹→$苏涅特·辛格(SuneetSingh)参数篡改2020年9月26日
咨询:AWS KMS和AWS Encryption SDK中的安全性问题泰国扬(@XorNinja)亚马逊密码问题,信息披露2020/09/25
通过IDOR泄漏PII +重置弱密码=完全接管帐户Pradeep Kumar(@ Killer007p)IDOR,信息公开2020/09/25
悬空的DNS:AWS EC2Mohamed Elbadry(@ _melbadry9)悬挂的DNS记录,子域接管$ 2,9002020年9月24日
VMware Workstation:通过虚拟打印机进行攻击LêHữuQuang Linh(@linhlhq)虚拟机内存损坏错误,整数溢出2020/09/23
#Bugbounty-“我如何查看其他用户在旅行应用程序中的付款”-IDOR#800 $ganiganesh(@ ganiganeshss79)IDOR,信息公开$ 8002020年9月22日
标头和忘记密码的乐趣武克·伊万诺维奇(Vuk Ivanovic)HTTP标头注入2020年9月22日
suPHP-您的外壳中容易受到攻击的幽灵-Google Acquisition中的业务逻辑缺陷!(名人堂)🎯Ritesh Gohil(@ RiteshG37659480)谷歌逻辑缺陷2020/09/21
suPHP-您外壳中的易受攻击的幽灵马克西姆(@punkeel)(@swapgs)本地特权升级2020/09/21
Synology子域上未经身份验证的文件上传漏洞托希德·谢赫(Touhid Shaikh)协同学不受限制的文件上传$ 2,0002020年9月20日
我如何从Google赚到$ 500-身份验证缺陷赫曼特·帕蒂达(Hemant Patidar)(@HemantSolo)谷歌认证缺陷$ 5002020年9月20日
$ 25K Instagram几乎XSS过滤器链接— Facebook Bug赏金安德烈斯·阿隆索(@ al0nnso)Facebook储存的XSS$ 25,0002020年9月20日
我如何绕过登录页面和2FA身份验证…..残酷的身份验证旁路,OTP旁路,2FA旁路2020年9月20日
表情符号错误处理shesha sai_c(@ Cyb3r_4ss4s1n)ssss2020/09/19
CVE-2020-9964-iOS信息泄漏Muirey03(@ Muirey03)苹果内存初始化问题2020/09/19
通过NodeBB论坛软件上的帐户接管进行特权升级— Bug赏金(512 $)— CVE-2020–15149穆罕默德(Muhammed Eren Uygun)(@erenuyguun)节点BBIDOR,帐户接管$ 5122020/09/19
通过荷兰政府网站上的隐藏参数反映了XSSSupras(@LdrTom)荷兰政府反映的XSS$ 0(VDP),赃物2020/09/19
我来自Bug Bounty平台的第一个Bug Bounty redstorm.ioNovan Aziz Ramadhan(@novan_rmd)雷暴CSRF2020/09/17
在Windows上将Dropbox特权提升为SYSTEM特蕾莎·阿尔贝托(Teresa Alberto)投寄箱本地特权升级$ 0(重复)2020/09/17
重新阻止:扩展程序资源阻止针对Chrome隐身模式的攻击Piyush Raj(@ 0x48piraj)谷歌浏览器错误2020年9月16日
利用“无用的”基于Cookie的XSS并使其变得有用丹尼尔·撒切尔XSS2020年9月16日
我如何意外地从Facebook获得了第一笔赏金Bishal Shrestha(@ bishal0x01)Facebook逻辑缺陷2020年9月15日
通过OTP绕过帐户Bhavarth Kandoria / td> <td markdown =“ span”>-OTP旁路2020/09/13
业务逻辑漏洞-底层逻辑漏洞哈里·D逻辑缺陷2020/09/13
SQL注入和远程执行代码-Double P1Shrey Shah(@ ShreySh43332033)SQL注入,RCE$ 0(VDP)2020/09/13
我如何入侵Redbus [在线汽车票务应用程序]Sangeetha Rajesh S(@ rajesh_sangi12)红巴士LFI,SSRF / td> <td markdown =“ span”>-2020年9月12日
我又如何再次入侵Facebook!MobileIron MDM上未经身份验证的RCE蔡仔(@ orange_8361)FacebookRCE,JNDI注射2020年9月12日
Android WebView中的通用XSS(CVE-2020-6506)亚历山德罗·奥尔蒂斯(@AlesandroOrtizR)谷歌,微软,推特UXSS$ 15,560 +2020/09/10
域的意外行为使我成为P4Takester(@dhiraj_ramteke)逻辑缺陷2020/09/10
我们多久忽略一次漏洞?Baibhav Anand(@SpongeBhav)哈克龙信息披露2020/09/09
我们多久忽略一次漏洞?Baibhav Anand(@SpongeBhav)黑客一号IDOR,信息公开2020/09/09
CVE-2020-8150 –通过Backblaze以SYSTEM / root身份远程执行代码杰森·格夫纳(@JasonGeffner)烈火RCE,特权提升2020/09/09
XSS->修复->绕过:Google Maps中的10000 $赏金Zohar Shachar谷歌XSS$ 10,0002020/09/07
从Android静态分析到Prod上的RCE阿迪亚·迪克西特(@ zombie007o)RCE,目录列表,缺少身份验证2020/09/07
我在Google的第一个错误,以及我如何为受害者帐户获取CSRF令牌而不是绕过它(1337美元)!Oday Alhalbe谷歌CSRF$ 1,3372020/09/07
永不放弃,被欺骗的故事背后的故事艾伦·布莱恩(@soyelmago)XSS,OAuth漏洞,帐户接管2020年9月6日
可以支付帐单的XSS 🙂微笑黑客(@ smile_hacker反映的XSS€5002020/09/05
How_i_was_able_to_pawned_website_via_escilating_webcache欺骗到RCEmohit(@ mohit29295572)Web缓存欺骗,SSRF,RCE2020/09/05
通过IDOR进行帐户接管罗马·拉马赞诺夫(@ r0hack)IDOR,帐户接管$ 25,0002020年9月4日
停止抓挠表面,并破解依赖项罗腾·里斯(@rotem_reiss)储存的XSS2020年8月31日
在“精选产品”部分中具有隐藏产品的Page Shops可以由攻击者(Ex Editor)控制。罗希特·库马尔(@rohitcoder)Facebook逻辑缺陷$ 0(资料性)2020年8月31日
隐藏隐藏我是Broot服务器端安全性的客户端实施,授权漏洞,CSRF$ 5302020年8月30日
保持最新状态的重要性,或者我通过一条推文发现了一个有趣的错误的方式武克·伊万诺维奇(Vuk Ivanovic)储存的XSS2020年8月29日
过度安全保护会自动在Google Play核心库中发现持久的代码执行过度安全谷歌Android应用中的任意代码执行2020年8月28日
我的Safari Reader模式下的黑客探险尼基尔·米塔尔(@ c0d3G33k)苹果CSP旁路,SOP旁路2020年8月27日
直接通过其IP地址访问网站,这是隐藏的sql注入不良的情况武克·伊万诺维奇(Vuk Ivanovic)SQL注入2020年8月27日
身份验证绕过:泄漏Google Cloud服务帐户和项目埃泽奎尔·佩雷拉(@epereiralopez)谷歌身份验证绕过2020年8月26日
错误赏金失败x101 [4]ArcherL(@realArcherL)2FA旁路$ 0(资料性)2020年8月26日
位智:我如何追踪你的母亲彼得·加斯珀(@malgregator)位智逻辑缺陷,信息泄露$ 1,3372020年8月25日
使用Safari Web Share API窃取本地文件Pawel Wylecial(@ h0wlu)苹果浏览器错误$ 02020年8月24日
赢的帐户接管🏆里卡多·伊拉玛尔·多斯·桑托斯(@ricardo_iramar)帐户接管,身份验证漏洞,密码重置漏洞$ 2,2252020年8月24日
在Cisco ASA CVE-2020–3452中读取未经身份验证的文件的$$赏金Supun Halangoda(@halangoda_supun)LFI2020年8月23日
我如何通过执行侦查就能找到简单的P1Kirtan Patel(@ kirtanpatel9111)LFI2020年8月22日
Google云产品上的两个错误的简短故事-Google VRP [已解决]斯里拉姆·凯萨万(@sriramoffcl)谷歌IDOR,升级特权2020年8月22日
上传到未来武克·伊万诺维奇(Vuk Ivanovic)IDOR2020年8月22日
我如何找到存储Xss的第一个Bug并获得第一笔赏金1000 $纳兹穆尔·哈克(@ 0xnazmul)巴杜储存的XSS$ 1,0002020年8月21日
(Shopify.com)通过员工名称\(\)盲存储XSS里约·穆利亚迪(@riomulyadi_)Shopify储存的XSS$ 0(超出范围)2020年8月19日
困惑的邮递员:以任何Gmail或G Suite客户的身份发送SPF和DMARC传递邮件艾莉森·侯赛因(@ezhes_)谷歌电子邮件欺骗$ 0(超出范围)2020年8月19日
完美的副本或如何发送包含欺骗性发票内容的电子邮件Mateusz Olejarka(@molejarka)电子邮件欺骗,开放邮件中继,缺少身份验证$ 0(重复)2020年8月19日
在Microsoft收购中将Django调试模式转换为RCESyed Abuthahir(@writerabu)微软信息公开,RCE2020年8月19日
升级GitHub漏洞以接管整个组织沙尚克(@cyberboyIndi​​a)信息披露$ 4,0002020年8月18日
有趣的标题,忘记密码,稍有不同:武克·伊万诺维奇(Vuk Ivanovic)密码重置漏洞,主机头注入2020年8月18日
如何联系Google SRE:在Cloud SQL中删除外壳wtm@offensi.com (@wtm_offensi)Ezequiel Pereira(@epereiralopez)谷歌SQL注入,权限提升,参数注入,RCE2020年8月18日
如何在Facebook上将照片标记到任何用户的剪贴簿上Raja Sudhakar(@Rajasudhakar)Facebook授权缺陷2020年8月18日
从SQL注入到名人堂贾德马克(@ mase289)SQL注入$ 0(VDP)2020年8月18日
Windows AppX部署服务本地特权升级(CVE-2020-1488活动实验室微软本地特权升级2020年8月18日
Firebase云消息服务接管:一项小型研究,带来了超过3万美元的赏金Abss(@absshax)Google,[未公开程序]硬编码的API密钥,信息公开$ 30,000 +2020年8月17日
使用重新注册进行帐户接管[错误赏金]Myo Min Thu(@ myominthu1337)帐户接管$ 2,0482020年8月17日
使用XSS窃取数据Viren Pawar(@VirenPawar_)XSS2020年8月17日
Witnet网络漏洞赏金:Harsh Jain的DOS错误严厉的Ja那教威网拒绝服务2020年8月17日
在redact.8×8.com上的InfluxDB访问Myo Min Thu(@ myominthu1337)8×8缺乏认证2020年8月16日
我如何在一个Google搜索(SQLi + RXSS)中获得450美元?真华制衣业XSS,SQL注入$ 4502020年8月16日
通过小米中的内容提供商注入公开wifi密码Vishwaraj Bhattrai(@ vishwaraj101)小米内容提供商注入2020年8月16日
我如何像其他人一样发送真实电子邮件-Google VRP [已解决]斯里拉姆·凯萨万(@sriramoffcl)谷歌逻辑缺陷,HTML注入,电子邮件欺骗,开放邮件中继2020年8月15日
侦察如何帮助我找到一个有趣的错误…Vedant Tekale(@_justYnot)开启重新导向$ 0(VDP)2020年8月15日
Open Sesame:通过电子代码审查将Open Redirect升级为RCE尤金林(@spaceraccoonsec)开放式重定向,RCE2020年8月14日
众包成功案例:从范围外开放重定向到CVE-2020-1323奥兹古尔阿尔卑斯山(@ozgur_bbh)微软开启重新导向2020年8月14日
删除的数据永久存储在Instagram吗?脸书Bug赏金2020Saugat Pokharel(@ saugatpk5)Facebook逻辑缺陷,隐私问题$ 6,0002020年8月14日
在WhatsApp中不正确实施我的状态视频时间限制维沙尔·兰詹(Vishal Ranjan)Facebook逻辑缺陷,隐私问题$ 02020年8月14日
False2True,匹配和替换错误狩猎—一个警告性的故事武克·伊万诺维奇(Vuk Ivanovic)特权提升2020年8月14日
从复制粘贴XSS到完全帐户接管!be1807v(@ BE1807V)CSRF,帐户接管,XSS2020年8月13日
泄漏AWS元数据-不寻常的方式Shubham Garg(@ nullb0t)信息公开,RCE2020年8月13日
我的第一次寻宝之旅\(\)巴拉·普拉内斯(Bala Praneeth)(@Begin_hunt)CSRF$ 9002020年8月13日
盲操作系统命令注入阿希克B命令注入2020/08/12
wget的缓存中毒武克·伊万诺维奇(Vuk Ivanovic)Web缓存中毒$ 02020/08/12
破解2FARushikesh Gaikwad(@ rsg_1212)2FA旁路2020/08/12
我如何通过URL重定向赚了2000美元?辛兰·辛格(Simran Singh)开放式重定向,SQL注入$ 2,0002020/08/12
CVE-2020-1337 – PrintDemon已死,PrintDemon寿命很长!保罗·斯塔格诺(@Void_Sec)微软本地特权升级2020/08/11
我如何找到Instagram上的页面/个人帐户披露Ajay Gautam(@evilboyajay)Facebook信息披露$ 2,0002020/08/11
通过页面发帖时,群组管理员无法审阅评论:Facebook Bug Bounty 2020普拉卡什·潘塔(@ Prakashpanta268)Facebook逻辑缺陷2020/08/11
CVE-2020-11518:我如何强行进入您的Active DirectoryPieter Hiele(@honoki)RCE,不安全的反序列化,任意文件上传,Bruteforce2020年8月10日
发现Google Chrome中的CSP绕过漏洞-世界上几乎每个网站都处于危险之中Gal Weizman(@WeizmanGal)谷歌CSP旁路$ 3,0002020年8月10日
我的第2个4位数字错误赏金来自Facebook苏迪普·沙(Sudip Shah)Facebook逻辑缺陷,信息泄露2020年8月10日
绕过403迈克尔·海德曼(@michaelhyndman)身份验证绕过2020/08/09
Hacking Zoom:揭示Zoom中的安全漏洞传说Mazin Ahmed(@ mazen160)飞涨信息泄露,RCE,内存泄漏$ 02020年8月8日
绕过Google Maps API密钥限制阿迪亚·迪克西特(@ zombie007o)谷歌逻辑缺陷$ 02020年8月8日
使用Param Miner进行Bug搜索:使用XSS缓存中毒,这是一个特例武克·伊万诺维奇(Vuk Ivanovic)XSS,Web缓存中毒2020年8月8日
在Facebook镜像网站中反映了XSSSudhanshu Rajbhar(​​@ sudhanshur705)Facebook反映的XSS$ 5002020年8月8日
该功能按预期工作,但是源代码中有什么?Zseano(@zseano)信息披露2020年8月8日
我们的联合创始人如何在10小时内赚到$ 10,600Tensecure系统信息披露$ 10,6002020年8月7日
利用JWT-缺乏签名验证阿迪亚·迪克西特(@ zombie007o)帐户接管2020年8月7日
涂抹网络钓鱼:一个新的Android漏洞吉姆·费舍尔(@MrJamesFisher)谷歌涂抹网络钓鱼/ td> <td markdown =“ span”> $ 02020年8月6日
fotoservice.hema.nl上的Reflected XSS乔纳森·布曼(@JonathanBouman)赫玛反映的XSS,打开重定向2020年8月6日
在fasteditor.hema.com上进行盲SQL注入乔纳森·布曼(@JonathanBouman)赫玛SQL注入2020年8月6日
将XSS存储在Slack,漏洞赏金中汤米苏瑞尔松弛储存的XSS$ 4,8752020年8月6日
Apache示例Servlet导致\(\)Debangshu Kundu(@debangshu_kundu)点击劫持2020年8月6日
CSRF PoC错误破坏了最终用户/受害者的关键功能武克·伊万诺维奇(Vuk Ivanovic)逻辑缺陷2020/08/05
我想要所有这些功能穆罕默德·阿亚德(Mohamed Ayad)逻辑缺陷,篡改付款2020/08/05
我如何进行大众帐户接管[Bug Bounty]不是瑞奇(@RickyyNot)密码重设漏洞2020/08/05
新的TouchID功能中的漏洞使iCloud帐户有被破坏的风险Thijs Alkemade(@xnyhps)苹果OAuth漏洞,帐户接管2020年8月3日
稀有种族状况-P3穆罕默德·埃桑(@alone_Wwolf)比赛条件$ 0(重复)2020年8月3日
在cups.mail.ru中进行帐户接管kminthein / weev3(@ kyawminthein99)Mail.ru逻辑缺陷,密码重置缺陷,帐户接管$ 1,5002020年8月3日
禁止用户比赛条件萨达姆·侯赛因(@ wisdomfreak1)比赛条件2020年8月2日
具有密码重置功能的多因素身份验证绕过Vaibhav Joshi(@ vj0shii)密码重设漏洞,帐户接管2020年8月2日
重新专注于错误寻找,奖金:一个有趣的简单测试CSRF绕过武克·伊万诺维奇(Vuk Ivanovic)CSRF2020/08/01
CVE-2020-13379 Grafana中未经身份验证的全读SSRF贾斯汀·加德纳(@Rhynorater)SSRF,开放重定向2020/08/01
CVE-2020–9854:“未认证”-(三个)逻辑错误!伊利亚斯·莫拉德(@ A2nkF_)苹果本地特权升级,逻辑缺陷2020/08/01
未经验证-逻辑错误FTW伊利亚斯·莫拉德(@ A2nkF_)苹果逻辑缺陷2020年7月31日
通过重置密码绕过OTP艾哈迈德(@ 0x0Cj)OTP旁路2020年7月30日
在扫描子域以查找有趣的行为和代码时使用XAMPP和Burp IntruderZseano(@zseano)信息披露2020年7月30日
新功能意味着新错误Zseano(@zseano)逻辑缺陷,授权缺陷,付款旁路2020年7月30日
Facebook页面常见问题的怪异行为导致Facebook悬赏Ashok Chapagai(@ashokcpg)Facebook逻辑缺陷2020年7月30日
利用业务逻辑—钱包里的钱Keshav Malik(@ g0t_rOoT_)付款篡改,逻辑缺陷2020年7月30日
一键妥协– ClickOnce部署清单带来的乐趣戴夫·科萨(@ G0ldenGunSec)微软NTLMv2哈希公开,一键执行任意.Net程序集$ 02020年7月30日
Zoom Security Exploit –破解私人会议密码汤姆·安东尼(@TomAnthonySEO)飞涨CSRF,缺乏速率限制$ 02020年7月29日
NOOB记帐方式穆达西·谢里夫授权漏洞,帐户接管,同形文字攻击$ 9552020年7月29日
使用XSS窃取您的Paytm信息Viren Pawar(@VirenPawar_)PaymtXSS94,700印度卢比(〜1,261美元)2020年7月29日
XSS,RCE和HTML文件在同一端点上载TariKul IsLam(@ sa1tama0)XSS,RCE,无限制文件上传$ 1,2002020年7月29日
FFUF和我的第一个赏金苏里扬什·曼莎拉玛尼(Suryansh Mansharamani)信息披露$ 3002020年7月29日
Google票务系统(Google-GUTS)中的授权绕过Zohar Shachar谷歌授权缺陷$ 1,3372020年7月28日
Authentication_token_bypass导致Too_idormohit(@ mohit29295572)身份验证绕过2020年7月28日
通过Facebook注册预先访问受害者的帐户Akshansh Jaiswal(@Akshanshjaiswl)OAuth漏洞,帐户接管$ 5002020年7月28日
Bug HTML注入到Tokopedia上!乔维TokopediaHTML注入2020年7月28日
CSRF +打开重定向到帐户接管R29k(@ R29k_)CSRF,开放式重定向,帐户接管2020年7月28日
CVE-2020–9934:绕过macOS的透明,同意和控制(TCC)框架,以进行未经授权的敏感用户数据访问马特·肖克利(@mattshockl)苹果MacOS特权升级,授权漏洞2020年7月27日
使用单个“ .terminal”文件开发流行的macOS应用程序。弗拉基米尔·梅特纽(@vladimir_metnew)松弛,密钥库,电报文件隔离绕过2020年7月27日
负载平衡器导致无法复制的错误,非正常的Open Redirect错误tololovejoi(@ tolo7010)开启重新导向2020年7月27日
我是如何在3年的私人课程中绕过2fa的!Shivangx01b(@ shivangx01b)2FA旁路,蛮力,缺乏速率限制2020年7月26日
只需几个步骤即可获得大量敏感数据-黑客艾尔兰加·维斯努·穆尔蒂(Airlangga Visnhu Murthi)AWS错误配置,信息泄露$ 5502020年7月26日
一个简单的IDOR,在约会网站上不容错过;)尼拉姆IDOR,信息公开2020年7月26日
DNS Rebinding,它可能是危险的攻击武克·伊万诺维奇(Vuk Ivanovic)DNS重新绑定$ 0(OOS)2020年7月25日
5000美元的帐户接管尼拉姆帐户接管,密码重设漏洞$ 5,0002020年7月25日
使用Android Studio寻找Android应用程序错误。塔雷克·穆罕默德(@ Conan0x3)授权漏洞,服务器端安全性的客户端执行,信息泄露$ 3,0002020年7月24日
HTTP参数污染-被污染Shrey Shah(@ ShreySh43332033)HTTP参数污染2020年7月24日
公开内部Facebook javascript模块的内容(已重新访问)Samm0uda(@ samm0uda)Facebook信息泄露,授权缺陷2020年7月23日
哈克直到你的最后一口气机甲小子/ muhe(@ Muhe76355002)IDOR$ 2002020年7月21日
奖励积分增加N次萨达姆·侯赛因(@ wisdomfreak1)逻辑缺陷2020年7月21日
正则表达式拒绝服务(DoS)阿希克B拒绝服务2020年7月20日
价值$ 1,000的Cookie贾德马克(@ mase289)Mail.ruXSS$ 1,0002020年7月19日
DOS over wep应用程序穆罕默德·阿亚德(Mohamed Ayad)拒绝服务2020年7月19日
帐户锁定的链接速率限制桑迪普·奥利(Sandip Oli)缺乏速率限制2020年7月19日
绕过用户限制注册穆罕默德·阿亚德(Mohamed Ayad)逻辑缺陷,篡改付款2020年7月18日
我如何获得第一笔赏金:未发现导致社会工程学攻击的SPF / DMARC记录法德·艾哈迈德(Fardeen Ahmed)Lululemon没有有效的SPF记录,没有DMARC记录$ 2502020年7月18日
价格操纵的独特案例 BugBounty | 真空压路机哈西特·森加(@ sengarharshit1)篡改付款2020年7月18日
带有竞赛条件的创意Android引脚绕过Baluz(@ t3chman)比赛条件,身份验证绕过2020年7月18日
限速的Android引脚旁路Baluz(@ t3chman)缺乏速率限制,身份验证绕过2020年7月18日
Google产品中的IdorBaluz(@ t3chman)谷歌IDOR$ 5,0002020年7月17日
我如何在Medium上失去追随者弗洛里安(@ fh4ntke)中等的GraphQL错误,授权缺陷2020年7月17日
来自Facebook的首笔4位数赏金的故事苏迪普·沙(Sudip Shah)Facebook逻辑缺陷,信息泄露2020年7月17日
我可以通过JSON文件查看用户的敏感数据。索拉·西达拉姆·桑曼(@ saurabhsanmane2)信息泄露,授权缺陷$ 1502020年7月17日
3天帐户接管野兽先生(@ mr_beast逻辑缺陷,密码重置缺陷,帐户接管,暴力破解,缺乏速率限制2020年7月17日
利用进口图书馆绕过WAF格雷格·吉布森(Greg Gibson)反映的XSS2020年7月14日
导入文件功能中的SSRF拉斐尔·席尔瓦(Rafael Silva)SSRF2020年7月14日
API错误配置如何导致您的公司内部数据Me9187(@ Me9187)信息披露2020年7月12日
自存储的XSS到完整的帐户接管贾廷(Jatin)审美(@techyfreakk)XSS,帐户接管2020年7月12日
Bug赏金经验:无效的重定向漏洞简单安全开启重新导向2020年7月12日
我如何使用IDN Homograph Attack更改受害者的密码Abhishek Karle(@ AbhishekKarle3)IDN同形异义词攻击$ 6002020年7月11日
关键客户接管的故事Shivam Pandey(@ shivam31200)帐户接管,公开的JWT生成终结点2020年7月10日
通过url路径操作绕过电话号码验证。本·艾门(@ ben_aymen_182)OTP旁路$ 0(重复)2020年7月10日
不要止于一个错误\(\)Dheeraj Madhukar(@Dheerajmadhukar)开放式重定向,XSS,LFI2020年7月10日
查看Hackercup Facebook参与者是否允许招聘联系人菲利普·哈伍德(Philippe Harewood)(@phwd)Facebook信息泄露,逻辑缺陷2020年7月9日
Chrome的远程拒绝服务丹·莱顿谷歌拒绝服务$ 0(OOS)2020年7月9日
利用应用逻辑来推荐代码公开Vaibhav Joshi(@ vj0shii)逻辑缺陷,信息泄露2020年7月9日
Android 8.0-9.0中的全球拨款uri(2018年)Dzmitry Lukyanenka(@vulnano)谷歌授权缺陷$ 0(重复)2020年7月9日
从N / A到针对BackBlaze Android应用[Hackerone平台]存储桶接管解决萨希尔·蒂科(Sahil Tikoo)(@viperbluff)BackBlaze硬编码凭据,信息披露2020年7月9日
从低到严重的错误$$$Dheeraj Madhukar(@Dheerajmadhukar)IDOR2020年7月9日
从 。在SSRF的正则表达式中-第3部分Niemiec Marcin(@xvnpw)SSRF$ 4002020/07/07
我如何在10分钟内找到10个远程执行代码CVE-2020–5902Saransh Srivastav(@ malfuncti0n_)RCE2020/07/07
Zoom.us注册流程中的XSS爱德华多·维拉(@sirdarckcat)飞涨XSS2020/07/07
免费的区块链存储–讲述Substrate的FRAME运行时中的错误的故事Mudit Gupta(@Mudit__Gupta)奇偶技术区块链错误$ 2502020/07/07
我如何能够绕过电子邮件确认-P4穆罕默德·埃桑(@alone_Wwolf)信息披露2020年7月6日
问题1040755:安全性:通过复制和粘贴的另一个“通用” XSSMichałBentkowski(@SecurityMB)谷歌通用XSS,浏览器错误$ 2,0002020年7月6日
我的第一个错误:通过个人资料图片上传盲目SSRFswaysthinking(@swaysThinking)SSRF2020年7月5日
通过图像上传功能进行RCE阿德怀特(KS)不受限制的文件上传,RCE2020年7月5日
案例研究I-Facebook应用程序的浏览器异常-1500 $easySIEM(@easySIEM)Facebook授权缺陷$ 1,5002020年7月5日
在聊天中接管文件-Microsoft Teams中的IDOR艾莉·安瓦尔(@alyanwarr)微软IDOR$ 0(不适用)2020年7月5日
从主机头注入到SQL注入达乌德·约瑟夫(Daoud Youssef)/ smacker dodi(@daoud_youssef)主机头注入,SQL注入2020年7月5日
为什么在进行漏洞赏金时,我花了3.5千美元成为TLD注册商转销商hg_real(@ hgreal1)XXE$ 7,5002020年7月5日
BBC Bug赏金记录| XSS漏洞Pethuraj(@Pethuraj)英国广播公司反映的XSS$ 0,赃物2020年7月5日
EN | 通过CORS错误配置进行帐户接管和敏感数据泄漏LütfüMert Ceylan(@lutfumertceylan)CORS配置错误,CSRF,帐户接管2020年7月4日
CSRF攻击!!!巴拉·普拉内斯(Bala Praneeth)(@Begin_hunt)CSRF$ 5002020年7月4日
错误赏金记录:从SSRF到$ 4000视频thehackerish(@thehackerish)SSRF,RCE$ 4,0002020年7月3日
[Writeup] [Bug Bounty] [Tokopedia]在Tokopedia上操纵其他用户的购物车和愿望清单[EN]穆罕默德·托马斯·法迪拉(Muhammad Thomas Fadhila Yahya)(@fadhilthomas)TokopediaIDOR$ 1352020年7月3日
通过优惠券打破业务逻辑-我的第一个有效Bug赏金的故事多米尼克·伊费迪里(@ Edi4all)付款篡改,逻辑缺陷2020年7月3日
我如何通过开箱即用的开放重定向漏洞获得200美元塔雷克·加勒兹(Tarek Galleze)开放重定向,令牌盗窃$ 2002020年7月3日
由于对优惠券的支票使用不当而造成的价格篡改Vaibhav Joshi(@ vj0shii)付款篡改,逻辑缺陷2020年7月3日
管理员公开Facebook验证页/披露被分配帮助验证页的Facebook员工。Samm0uda(@ samm0uda)Facebook信息披露$ 5,5002020年7月2日
2.5k赏金的故事-Zimbra上的SSRF导致以明文形式转储所有凭据Yasho(@YShahinzadeh)处女座SSRF$ 2,5002020年7月2日
我如何使用base64解码器赚了1500美元:)迪利普(@dilip_spartn)信息披露$ 1,5002020年7月2日
错误配置的S3存储桶访问控制导致严重漏洞苛刻的博特拉(@harshbothra_)AWS错误配置2020年7月2日
过去的爆炸:AWS控制台上的跨站点脚本约翰·瑞伯格(Johann Rehberger)(wunderwuzzi23)亚马逊DOM XSS2020年7月1日
错误赏金的艺术:从JS文件分析到XSS的一种方式JakubŻoczek(@zoczus)Verizon Media,TumblrXSS$ 1,0002020年7月1日
ZombieVPN,打破了互联网安全性0xSha(@ 0xsha)BitDefender,AnchorFreeRCE,反序列化2020年7月1日
带有密码恢复页面的已存储XSSLütfüMert Ceylan(@lutfumertceylan)储存的XSS2020年7月1日
基于电子的应用程序中的漏洞:无意中允许恶意代码空间运行CertiK(@certik_io)象征XSS,RCE2020年7月1日
通过XSS窃取邮件对话,mail.ru和myMail iOS应用程序中的联系人的故事kminthein / weev3(@ kyawminthein99)Mail.ru储存的XSS$ 1,0002020年6月30日
使用Inspect元素绕过安全性限制 错误赏金POC穆罕默德·卡塞(Muhammad Khizer Javed)(@ khizer_javed47)客户端对服务器端安全性的实施2020年6月30日
修补缩放漏洞:通过远程SQL注入更改相机设置基冈·赖安(@ inf_0_)飞涨SQL注入$ 2,0002020/06/29
API端点导致Android应用程序中的帐户接管Adesh Nandkishor kolte(@AdeshKolte)公开的令牌生成端点,信息公开2020/06/28
一键接管Azure DevOps帐户肖恩(@seanyeoh)微软子域接管,帐户接管$ 3,0002020/06/28
我是如何入侵一家银行的应用程序,并使用它来入侵另一家银行公司— 10K XSShg_real(@ hgreal1)XSS$ 10,0002020/06/28
我如何能够通过密码重置功能接管任何帐户。菲拉斯·法特纳西(Firas Fatnassi)(@ Fatnass1F1ras)密码重设漏洞,帐户接管2020/06/28
我如何绕过开放重定向并获得了yandex的奖励Mino Metidji(@minometidjii)Yandex开启重新导向$ 1002020/06/27
我如何入侵全球ZOOM用户s3c(@ s3c_krd)飞涨OAuth漏洞,帐户接管2020/06/27
通过阻止管理员创建隐藏的评论:Facebook Bug Bounty 2020Saugat Pokharel(@ saugatpk5)Facebook逻辑缺陷2020年6月25日
锁定中的漏洞赏金(SQLi和业务逻辑)Abhishek Yadav(@ abhishake100)SQL注入,逻辑缺陷2020/06/24
关于IDOR的第一笔赏金Mukul Trivedi(@ M0hn1sh)IDOR2020/06/23
利用Bitdefender防病毒软件:任何网站上的RCE弗拉基米尔·帕兰特(@WPalant)比特卫士RCE,信息公开$ 0(被错误猎人拒绝)2020/06/22
我的第一个完整SSRF错误的故事贾德马克(@ mase289)SSRF$ 1,0002020/06/22
利用SSRF泄漏秘密API密钥朱利安·克雷特(@ jub0bs)SSRF$ 1,0002020/06/22
通过点击劫持对API令牌进行劫持DarkLotus(@darklotuskdb)点击劫持2020/06/22
我如何能够链接错误并获得对内部okta实例的访问权限Mmohammed Eldeeb(@ malcolmx0x)缺乏认证2020/06/22
我只花了5分钟即可在Bentley上找到RCE迪维扬什·夏尔马(Divyansh Sharma)本特利RCE,弱凭证$ 3002020/06/21
Facebook上一些复杂的XSS的简单故事Bipin Jitiya(@ win3zz)Facebook反映的XSS2020/06/21
像老板一样绕过2FA连续性(@seQrity)缺乏速率限制,蛮力$ 0(重复)2020年6月20日
我如何在Facebook-Writeup上找到信息披露Alaa Abdulridha(@ Madrid89001310)Facebook信息披露$ 1,5002020年6月20日
入侵星巴克并访问近1亿客户记录山姆咖喱(@samwcyo)星巴克路径遍历$ 4,0002020年6月20日
使用EWS错误配置从OWA中的侦查到绕过MFA实现Yoko Kho(@YokoAcc)信息公开,MFA绕过$ 5002020/06/19
一个代币将其全部泄露:$ 8000 NPM_TOKEN的故事Aseem Shrey(@AseemShrey)谷歌信息披露$ 8,0002020/06/19
回复LiveStream导致页面管理员披露:Facebook Bug赏金Saugat Pokharel(@ saugatpk5)Facebook信息披露2020/06/18
Hackerone Bug赏金报告:铰链泰勒·巴特勒(@ tbutler0x90)合页信息披露$ 2502020/06/18
WordPress核心中的微妙存储XSS山姆·托马斯(@_s_n_t)WordPress的存储的XSS,RCE2020/06/17
错误赏金报告0x01-WebRTC版启用安全性(@enablesecurity)具有已知漏洞,DoS,RCE,默认凭据,SSRF的过时组件2020年6月16日
我如何用Jolokia CVE赚了超过$ 30KPatrik Fehrenbach(@ITSecurityguard)反映的XSS,RCE,信息公开$ 33,5002020年6月16日
我如何以管理员身份升级特权Abisheik Magesh(@AbisheikMagesh)缺乏速率限制,蛮力,凭据薄弱2020年6月16日
我如何以€1的价格购买T恤-付款价格操纵Muztahidul Tanim(@TheMuztahidul)篡改付款$ 2,0002020年6月16日
所有* .intercom.help子域都容易受到来自内部通信服务的子域接管穆罕默德·哈隆(@ m7mdharon)对讲机子域接管$ 0(不适用)2020年6月16日
IDOR的尾巴萨达姆·侯赛因(@ wisdomfreak1)IDOR$ 3002020年6月16日
Gsuite中的SMTP注入Zohar Shachar谷歌SMTP注入$ 3,133.72020年6月15日
反映的用户输入== XSS!沉默的野马(@silentbronco)反映的XSS$ 502020年6月15日
邀请系统中的业务逻辑缺陷允许接管私人公司的任何帐户丹尼尔五(@ d4niel_v)帐户接管,IDOR2020年6月15日
地平线上的另一个“面目全非”?社会性苹果帐户接管,网络钓鱼2020年6月15日
如何从ReDoS(正则表达式拒绝服务)保护AWS ServerLess Lambda以及由此产生的财务影响Ddigvijay(@itsdig)重做2020/06/14
在合作伙伴门户中将特权提升为管理员访问权限Samm0uda(@ samm0uda)Facebook特权提升2020/06/14
披露与某些Facebook工具测试相关的内部文件Samm0uda(@ samm0uda)Facebook信息披露2020/06/14
披露链接到Facebook用户帐户或页面的Instagram帐户Samm0uda(@ samm0uda)Facebook信息披露2020/06/14
www中的内部目录枚举Samm0uda(@ samm0uda)Facebook信息公开,内部目录枚举2020/06/14
从 。在正则表达式中到SSRF —第1部分从。在SSRF的正则表达式中-第2部分Niemiec Marcin(@xvnpw)SSRF2020/06/14
Bug赏金计划中发现的RACE条件漏洞普拉文普比赛条件2020年6月13日
通过OTP Bruteforce(Apigee API)进行帐户接管Vishnuraj KVOTP绕过,Bruteforce,缺乏速率限制2020年6月13日
DoS和BugBounties:对HackerOne的一系列DoS攻击Ninad Mishra(@ iamr000t)拒绝服务$ 5002020/06/12
让我们绕过CSRF保护和密码确认来接管受害者帐户:D苛刻的博特拉(@harshbothra_)CSRF2020/06/12
比赛条件-探索可能性Milind Purswani(@MilindPurswani)Reddit,[私人程序]比赛条件2020年6月11日
HUNT for SQL注入-智能方式!穆达西·谢里夫SQL注入2020年6月11日
令人沮丧的XSS野兽先生(@ mr_beastXSS2020年6月11日
来宾博客:从文件上传到RCE卢卡斯·维兹比基(@ v13rs8a)不受限制的文件上传,RCE2020/06/10
通过更改HTTP响应(管理员访问权限)的特权升级Bachrudin Ashari Pujakusuma(@Bachrudinashari)特权提升IDR 8.000.000(〜$ 563)2020/06/10
利用锁定:盲Sqli导致帐户接管和数据提取沙克蒂·莫汉蒂(Shakti Mohanty)盲SQL注入,帐户接管$ 1,4002020/06/10
“ P5”链接注入故事沉默的野马(@silentbronco)链接注入2020/06/10
滥用Microsoft Teams对DDoS的速率限制Omayr Zanata(@omayrzanata)微软拒绝服务$ 0(资料性)2020/06/10
偶然的RCE野兽先生(@ mr_beast不受限制的文件上传$ 4,8002020年6月9日
很好🐶里卡多·伊拉玛尔·多斯·桑托斯(@ricardo_iramar)信息披露$ 0(信息性,无法解决)2020/06/08
我如何通过更改一个角色从Google赚取500美元。Oday Alhalbe谷歌CSRF$ 5002020年6月6日
XSS到数据库凭证泄漏和数据库访问-真是太幸运了!苛刻的博特拉(@harshbothra_)反映的XSS,信息公开2020年6月6日
从3,99美元到1,650美元(第一部分)–通过更改HTTP响应进行简单的垂直特权升级Yoko Kho(@YokoAcc)特权提升$ 1,0002020年6月6日
由于错误配置的Service-now ITSM实例而暴露的多个信息Th3G3nt3lman缺乏身份验证,信息泄露$ 30,0002020/06/05
通过postMessage进行帐户接管套接字(@ yxw21)帐户接管$ 1,5002020/06/05
使用PDF生成功能通过XSS读取本地文件桑杰·辛格·贾拉(@ lordjerry0x01)XSS,LFI2020/06/05
Blind SQL的故事,出现错字错误。Amyrahm(@ Amyrahm11)SQL注入2020/06/05
[IDOR]从任何业务经理帐户中删除已保存的信用卡-Facebook Bug赏金罗希特·库马尔(@rohitcoder)FacebookIDOR2020/06/05
Facebook上的另一个图像删除漏洞Pouya Darabi(@Pouyadarabi)FacebookIDOR$ 10,0002020/06/04
Google Cloud Platform操作系统登录中的特权提升克里斯·莫伯利(@init_string)谷歌特权提升2020/06/04
我如何获得特斯拉的第一笔大赏金CJ Fairhead(@xyantix)特斯拉信息披露$ 5,0002020/06/04
从CRLF到帐户接管瓦列里·舍甫琴科(@ Krevetk0Valeriy)CRLF,HTTP响应拆分,反映的XSS,帐户接管2020年6月3日
复制和粘贴的奇特案例–关于在浏览器中粘贴任意内容的风险MichałBentkowski(@securitymb)Google,MozillaXSS$ 30,0002020/06/02
双重URL编码的XSSvict0ni(@ vict0ni)反映的XSS2020/06/02
当不仅涉及Kubernetes CVE时…Reever Zax(@ReeverZax)Hach(@ _hach微软SSRF+ $ 40,0002020/06/02
信息披露和关于Tokopedia的XSS反映wis4nggeniTokopedia反映的XSS,信息公开2020/06/01
如何利用一个有趣的CSRF漏洞将自身XSS变成持续的攻击?阿卡什(Akash Methani)(@ 0xAkash)自我XSS,CSRF2020/06/01
我如何通过向Facebook提交错误来赚取$ 31500Bipin Jitiya(@ win3zz)FacebookSSRF$ 31,5002020年5月31日
h1 {基于错误的XXE-错误赏金记录}f4d3(@ f4d3_cl)XXE2020年5月31日
在ASPX应用程序上寻找P1的[未经身份验证的SOAP,RCE,信息公开]ElMahdi Mrhassel(@ElMrhassel)RCE,信息公开,IDOR2020年5月31日
Amazon S3的奇怪“子域接管”模式Simgamsetti Manikanta(@zaheckmania)子域接管2020年5月31日
来自Facebook的我的第一个$ xxx Bug赏金的故事苏迪普·沙(Sudip Shah)Facebook逻辑缺陷,信息泄露2020年5月31日
跨站点脚本:隐藏参数的功能。Kassih Mouhssine(@KassihMouhssine)了索尼反映的XSS2020年5月30日
与Apple零日登录Bhavuk Jain(@ bhavukjain1)苹果帐户接管$ 100,0002020年5月30日
微软的第一个错误LêHữuQuang Linh(@linhlhq)微软文件格式漏洞2020年5月30日
弱密码技术导致打开重定向DarkLotus(@darklotuskdb)开启重新导向2020年5月30日
CVE-2020-13693的分析拉斐尔·卡格(@aptNum)WordPress的特权提升2020年5月29日
我的费用报告导致Lyft发生服务器端请求伪造(SSRF)Ben Sadeghipour(@nahamsec)Serafina(Sera)Tonin Brocious(@daeken)LyftSSRF2020年5月29日
会话Cookie中的IDOR导致批量帐户接管Zonduhackerone(@ zonduu1)IDOR,帐户接管$ 2,0002020年5月29日
XSS存储在[Outlook Web-Outlook Android App]中的邮件上ElMahdi Mrhassel(@ElMrhassel)微软储存的XSS2020年5月28日
绕过WAF执行XSSKleitonx00XSS2020年5月28日
我如何通过Facebook Rights Manager查看“私有视频上传器”。[负责任的披露]Kishore TK(@kishoretk_off)Facebook信息披露2020年5月28日
漫长的逾期写作:我如何进入Oppo名人堂Shibin B.Shaji(@ shibinbshaji06)Oppo登录屏幕绕过,身份验证绕过10,000印度卢比(〜$ 133)2020年5月28日
点击劫持到帐户接管Abhishek Yadav(@ abhishake100)点击劫持2020年5月28日
iOS Outlook存储的XSS Write-Up($ 3000)kminthein(@ kyawminthein99)微软XSS$ 3,0002020年5月28日
在Microsoft Outlook中存储XSSkminthein(@ kyawminthein99)微软储存的XSS2020年5月28日
将XSS存储在Yahoo邮件IOS应用程序中($ 3500)kminthein(@ kyawminthein99)雅虎储存的XSS$ 3,5002020年5月28日
Android:SOP绕过以窃取系统文件。拉胡尔·坎克拉尔(@RahulKankrale)SOP旁路2020年5月28日
Bug搜寻故事:Schneider Electric和The Andover Continuum Web.Client妮芙·列维(@ restr1ct3d)优步XXE,反映XSS2020/05/27
在美国国防部网站之一上,密码重置页面的无速率和输入限制已链接到“拒绝服务”攻击中。Gal Nagli(@naglinagli)美国国防部密码重设漏洞,拒绝服务(DoS),缺乏速率限制2020/05/27
将IDOR与业务逻辑错误链接起来以实现关键影响朱利安·克雷特(@ jub0bs)IDOR,逻辑缺陷2020年5月26日
请求拆分,Golang中的漏洞或我们在Portainer中发现RCE和被黑的Uber如何危险安德烈·阿巴库莫夫(@andrewaeva)优步HTTP请求拆分,SSRF,CRLF,RCE2020年5月25日
关于OTP绕过存储的XSS的故事PJ Borah(@ PJBorah1)OTP旁路,存储的XSS2020年5月23日
使用P3错误将其他P4升级到P3萨达姆·侯赛因(@ wisdomfreak1)信息披露2020年5月22日
阅读源代码如何帮助我找到IDORSanjay Verdu(@codersanjay)IDOR,信息公开$ 0(赃物)2020年5月22日
我的第一个Bug赏金-2要素身份验证绕过塔拉特默德OTP旁路$ 1002020年5月22日
通过XSS解析“其他页面”的DOM元素:漏洞赏金故事Mandeep Jadon(@ 1337tr0lls)XSS,信息公开2020年5月22日
Google Cloud Deployment Manager中的RCE埃泽奎尔·佩雷拉(@epereiralopez)谷歌SSRF,RCE$ 31,337.002020年5月21日
绕过邮件请求收件箱阿卜杜拉·雅拉(@yaalaab)Facebook授权缺陷,逻辑缺陷2020年5月21日
更改https://fbwat.ch/上的任何链接菲利普·哈伍德(Philippe Harewood)(@phwd)Facebook授权缺陷,逻辑缺陷$ 1,0002020年5月20日
成为封闭和公开组的成员阿卜杜拉·雅拉(Abdellah yaala)Facebook授权缺陷,逻辑缺陷$ 7,5002020年5月20日
通过子域发现轻松获得赏金-使用Project Sonar获得赏金Torben Capiau(@TorbenCapiau)比利时邮政访问控制损坏,授权漏洞$ 1002020年5月20日
我如何在5分钟内获得200美元–敏感数据泄漏Sanjay Verdu(@codersanjay)信息披露$ 2002020/05/19
我如何能够绕过电子邮件验证萨达姆·侯赛因(@ wisdomfreak1)电子邮件验证绕过$ 0(重复)2020/05/19
Teradici和CVE-2020-10965:路由问题。本杰明·希尔德(Benjamin Heald)(@heald_ben)Teradici,[私人程序]缺乏认证$ 1,3502020年5月18日
FB和Messenger for iOS:使用数据URI欺骗地址栏拉胡尔·坎克拉尔(@RahulKankrale)Facebook地址栏欺骗,URL欺骗$ 3,0002020年5月18日
CVE-2020–1088 —另一个任意删除EoP索伦·弗里茨博格(@fritzboger)微软Windows权限升级2020年5月18日
多个缺陷导致应用程序内的帐户接管哈西特·森加(@ sengarharshit1)帐户接管,密码重置缺陷,注册缺陷2020年5月18日
我从电子商务网站获得的第一万个BDT赏金塞卡特博士IDOR10,000 BDT(〜$ 117)2020年5月18日
帐户收购的故事(第2部分)Vijaysimha Reddy Bathini(@fatratfatrat)帐户接管2020年5月17日
存储的XSS导致明文密码泄露bad5ect0r(@ bad5ect0r)存储的XSS,信息公开,无限制的文件上传2020年5月17日
一个参数=> 1万美元比拉尔·汗(@bilalmerokhel)IDOR,XSS,帐户接管$ 10,0002020年5月17日
帐户接管CSRF配置错误萨达姆·侯赛因(@ wisdomfreak1)CSRF,帐户接管2020年5月17日
逻辑错误,可让我阻止用户在网站上创建广告梅尔宾·罗素(e_23_e)逻辑缺陷,DoS2020年5月17日
漏洞–使用OAuth错误配置的帐户接管萨达姆·侯赛因(@ wisdomfreak1)OAuth配置错误,帐户接管,CSRF$ 3002020年5月16日
我如何使用户在Google Pay上亏损santuySec(@santuySec)谷歌点击劫持$ 0(重复)2020年5月16日
链接的错误[帐户接管]比拉尔·汗(@bilalmerokhel)IDOR,XSS,帐户接管$ 1,0502020年5月16日
密码重置中毒导致帐户被接管Swapnil Maurya(@ swapmaurya20)密码重设漏洞,帐户接管2020年5月16日
我如何通过简单的XSS在Edmodo上获得第一笔赃款。Sanjay Verdu(@codersanjay)埃德莫多储存的XSS$ 0(赃物)2020年5月16日
密码重置为完全帐户接管中的密码体制不足苛刻的博特拉(@harshbothra_)帐户接管,密码重置漏洞,密码问题2020年5月15日
Bug赏金-导致价格操纵漏洞的高级手动渗透测试塔拉特默德篡改付款2020年5月14日
成功获得针对性的凭据狩猎,获得Mozilla的$ 3000 Bug赏金奖约翰·瑞伯格(Johann Rehberger)(wunderwuzzi23)信息披露$ 3,0002020年5月13日
幸运的错误,使我只需单击一下即可更改每个帐户的名称梅尔宾·罗素(e_23_e)SQL注入2020年5月13日
更改任何Facebook页面的亵渎过滤器菲利普·哈伍德(Philippe Harewood)(@phwd)Facebook授权缺陷,逻辑缺陷$ 7502020/05/12
背斜线魔术阿尼尔·汤姆(MR_4NK)路径遍历$ 2,1002020/05/11
我如何从GitHub秘密泄漏中获得$ 10K的Bug赏金蒂尔森·加洛韦(Tillson_)信息披露$ 10,0002020/05/10
使用HTML Escape绕过XSS过滤器Syahri斋月(@ adonkidz7)谷歌XSS$ 4,133.702020/05/08
$ 20000的Facebook DOM XSSVinoth Kumar(@vinodsparrow)FacebookDOM XSS$ 20,0002020/05/07
我在Rails中发现了XSS安全缺陷–这就是发生的事情。杰西·坎波斯(Jesse Campos)Ruby on RailsXSS$ 5002020/05/07
Google语音扩展在account.google.com上基于DOM的XSS。missoum1307(@ missoum1307)谷歌DOM XSS$ 3,133.72020/05/07
我们如何劫持26个以上的子域艾西瓦娅·肯德尔(@aish_kendle)子域接管2020/05/07
DOM XSS演练Youssef Lahouifi(@YLahouifi)DOM XSS2020年5月6日
Google Acquisition XSS(Apigee)TnMch(@TnMch_)谷歌XSS2020年5月6日
详细错误消息和JWT令牌的故事Marek Geleta(@marek_geleta)信息泄露,授权缺陷2020/05/05
酷糊状顶起攻击为我赚了钱阿曼·拉瓦特(@theamanrawat)顶进粘贴2020/05/04
Gmail中的DOM XSS,Chrome浏览器提供了一些帮助Enguerran Gillier(@opnsec)谷歌DOM XSS$ 5,0002020年5月3日
#BugBounty-使用响应修改添加资金Line_no 6付款篡改,逻辑缺陷2020年5月3日
其他管理员可以在Google Analytics(分析)仪表板中访问“私有仪表板”罗希特·库马尔(@rohitcoder)Facebook授权缺陷2020/05/02
通过Angular Js模板注入在Microsoft.com上反映了XSSPratik Dabhi(@impratikdabhi)微软CSTI,XSS2020/05/02
coda.io上的盲SSRFKleitonx00结尾SSRF$ 0(OOS)2020/05/02
通过了解对象ID来公开Facebook对象类型Samm0uda(@ samm0uda)Facebook信息披露2020/05/02
将字幕草稿添加到任何Facebook视频和完整路径披露中Samm0uda(@ samm0uda)Facebook信息披露2020/05/02
好的,谷歌!绕过’flag_secure’Pankaj Upadhyay(@_pupadhyay)谷歌授权缺陷2020/05/01
盲SSRF的故事导致内部主机发现。kaustubh padwad(@ s3curityb3ast)SSRF$ 0(OOS)2020/05/01
入侵Razer Pay Ewallet应用理查德·谭(@ sambal0x)雷蛇IDOR$ 6,0002020年4月30日
在Google学术搜索上研究XSS的多态图像洛伦佐·斯特拉(@lorenzostella)谷歌储存的XSS$ 9,401.12020年4月30日
[Bug Bounty Writeups]利用SQL注入漏洞艾哈迈德·艾尔·蒂贾尼SQL注入$ 2,0002020年4月30日
风格接管的帐户!!!kishore hariram(@kishorehariram)逻辑缺陷,CSRF,帐户接管2020年4月30日
通过在Butler插件上滥用跨iframe XSS来窃取Trello令牌Florian Courtial(@theflofly)特雷洛XSS$ 3,6002020年4月29日
私有Android目标应用上的间接UXSS问题Kunal Pandey(@ kunalp94)UXSS$ 1,0002020年4月29日
几分钟内侦破敏感信息披露苛刻的博特拉(@harshbothra_)信息泄露,带有已知漏洞的过时组件2020年4月28日
私人巨型聊天应用–发件人被阻止时向受害者发送消息拉胡尔·坎克拉尔(@RahulKankrale)授权缺陷,逻辑缺陷2020年4月28日
刺穿小牛肉:与朋友一起阅读的短篇小说d0nutDuckDuckGo,[私有程序]SSRF$ 4,8002020/04/27
当心GIF:Microsoft Teams中的帐户接管漏洞Omer Tsarfati(@OmerTsarfati)微软帐户接管,子域接管2020/04/27
Bitrix WAF旁路罗马·拉马赞诺夫(@ r0hack)Mail.ru反映的XSS$ 3002020/04/27
在Keybase上一键单击RCEsmaury(@ smaury92)键库RCE$ 0(重复)2020/04/27
与CORS错误配置有关的乐趣— II阿曼·古普塔(@ gupt4j1)CORS配置错误,XSS2020年4月25日
Postmates中的Web缓存中毒[$ 1500]Aung Pyae Ko Ko(@ BlcKVRtuL1)邮递员Web缓存中毒$ 1,5002020年4月24日
从侦查到P1(严重)—轻松获胜苛刻的博特拉(@harshbothra_)公开的注册页面2020年4月24日
两因素身份验证旁路[$ 50]Aung Pyae Ko Ko(@ BlcKVRtuL1)2FA旁路$ 502020年4月24日
信使室Bug赏金记录Jane Manchun Wong(@wongmjane)Facebook权限提升,授权漏洞2020年4月24日
配置错误的WordPress接管远程执行代码Smaran Chand(@smaranchand)WordPress接管,RCE,安全性配置错误2020年4月22日
从P5到P2,从无到1000 + $Mohamed Daher(@ DaherMohamed4)比赛条件,自我XSS,盲XSS> $ 1,0002020年4月22日
赏金的秘密秘诀穆罕默德·斯拉马特(@ oxxy37)CSTI,存储的XSS,CORS策略绕过2020年4月22日
利用竞争条件漏洞Vivek Kumar Singh(@ v7nc3nz)比赛条件2020年4月22日
奖励GOOGLE 404页面上的CORS错误!!!Jayateertha Guruprasad(@JayateerthaG)谷歌CORS配置错误2020年4月21日
基于DOM的开放重定向到JWT令牌的泄漏阿道夫拉米雷斯开放重定向,基于DOM的开放重定向,OAuth令牌盗窃2020年4月20日
我多年来发现的Google Maps API(不是关键)错误奥兹古尔阿尔卑斯山(@ozgur_bbh)谷歌逻辑缺陷2020年4月19日
滥用HTTP路径规范化和缓存中毒来窃取Rocket League帐户山姆咖喱(@samwcyo)火箭联盟HTTP缓存中毒,打开重定向$ 0(VDP)2020年4月19日
我怎么能找到特权升级。阿克萨尔坦克(@Akshar__tank)IDOR,授权缺陷2020年4月18日
这是关于我的第二笔赏金来自Facebook的技术性错误的非技术性文章Ashok Chapagai(@ashokcpg)Facebook逻辑缺陷,隐私问题2020年4月17日
奇怪的重定向(固定但无赏金)Abhishek Yadav(@ abhishake100)开启重新导向2020年4月17日
OTP验证绕过坎海亚·库玛·辛格(Kanhaiya Kumar Singh)OTP旁路2020年4月17日
[Writeup] [Bug Bounty] [Instagram] Instagram在注销[ID]后仍向设备发送新的DM和视频通话穆罕默德·托马斯·法迪拉(Muhammad Thomas Fadhila Yahya)(@fadhilthomas)脸书(Instagram)会话管理缺陷$ 7502020年4月16日
棘手的Oracle SQL注入情况yappare(@yappare)SQL注入2020年4月16日
Netflix Party — XSS漏洞kr-b(@pirxcy)Netflix公司XSS2020/04/14
$ 55,000的Facebook代币泄漏与Funny Airline代币泄漏。MasterSEC(@MasterSEC_AR)XSS$ 0,50,000里程2020/04/14
业务逻辑错误-新外观Shrey Shah(@ ShreySh43332033)逻辑缺陷2020/04/14
赏金提示!绕过API速率限制的最简单方法。Shaurya Sharma(@ ShauryaSharma05)限速旁路2020/04/14
入侵一家电信公司(MTN)狂热的MTN集团OTP暴力破解2020年4月13日
我如何解锁被阻止的帐户?玛丽亚(Maria Zulfiqar)密码重置漏洞,HTTP参数污染,IDOR2020/04/11
模糊的积分奖励的故事Andrea Brancaleoni(@nJoyneer)谷歌内存损坏错误10,000美元的赏金2020年4月8日
借助IDOR和增量ID在Google的危机地图上列出所有已注册的电子邮件地址托马斯·奥尔利塔(@ThomasOrlita)谷歌IDOR2020年4月7日
无限制的简历文件上传vict0ni(@ vict0ni)不受限制的文件上传2020年4月7日
将XSS存储在Google Nest中Harikrishnan Chandraganesan(@hari_cybex)谷歌储存的XSS2020年4月7日
弹性搜寻接获$ 3K赏金Ashish Kunwar(@ D0rkerDevil)弹性搜索接管$ 3,0002020年4月6日
我们如何滥用Slack的TURN服务器来访问内部服务桑德罗·高奇(Sandro Gauci)(@sandrogauci)松弛SSRF$ 3,5002020年4月6日
简单的CSRF攻击如何变成P1级错误塞奇佩尔夫人(@bejuveria_)CSRF,帐户接管2020/04/05
网页管理员披露:Facebook Bug赏金2020Saugat Pokharel(@ saugatpk5)Facebook信息泄露,逻辑缺陷2020/04/04
无法删除Facebook组上的帖子:Facebook Bug赏金Saugat Pokharel(@ saugatpk5)Facebook逻辑缺陷2020/04/04
使用JSON Web令牌进行娱乐和获利穆罕默德·卡西姆·穆尼尔(@ MeetAn0nym0us)密码重设漏洞,电子邮件确认绕过2020/04/04
Evernote和Dropbox IOS应用上的Touch ID身份验证绕过萨希尔·蒂科(Sahil Tikoo)(@viperbluff)Evernote,Dropbox身份验证绕过2020年4月3日
iPhone相机黑客瑞安·皮克伦(Ryan Pickren)苹果零点击未经授权访问敏感数据$ 75,0002020/04/02
数百个内部服务台因COVID-19而暴露Inti De Ceukelaire(@securinti)安全配置错误> $ 10,0002020/04/02
永远升级!从登录门户上的Self-XSS到持久XSSPhuriphat Boontanon(@zanezenzane)自我XSS,CSRF$ 6502020/04/02
无需用户干预即可接管帐户拉维拉·巴拉斯(Ravilla Bharath)密码重设漏洞,信息泄露,帐户接管$ 0(重复)2020/04/02
权限提升-您好管理员Shrey Shah(@ ShreySh43332033)特权提升2020/04/02
我的第一个故事,1500美元,来自Facebook的赏金。Ashok Chapagai(@ashokcpg)Facebook逻辑缺陷$ 1,5002020/04/01
$ 3133.7 Google Bug赏金活动-XSS漏洞!Pethuraj(@Pethuraj)谷歌反映的XSS$ 3,133.72020/04/01
Microsoft Apache Solr RCE速度模板| 错误赏金POC穆罕默德·凯瑟(Muhammad Khizer Javed)/ babayaga47(@ khizer_javed47)微软RCE$ 02020年3月31日
Akamai Web应用程序防火墙绕行之旅:利用“ Google BigQuery” SQL注入漏洞Duc Nguyen(@ducnt_)SQL注入2020年3月31日
骇客让我忘记了我的痛苦阿比达·法赫德(Abida Fahd)SQL注入2020年3月31日
限制freemarker ssti到任意liql查询和管理锂cms默特(@mertistaken)F.西拉尔·埃迪克(@celalerdik)科学技术研究院2020年3月30日
限制不是一个承诺:Google的特权升级。Hariharan.s(@ DJHARIZ1)谷歌权限提升,授权漏洞$ 5002020年3月30日
CVE-2019-17004-影响iOS Firefox的半通用XSScliqz(@cliqz)Mozilla,勇敢通用XSS2020年3月30日
OTP Bruteforce-帐户接管兰吉特·库玛(Ranjit Kumar)OTP暴力破解,帐户接管2020年3月29日
攻击HelpDesk的第1部分:DeskPro上的RCE链,以Bitdefender为例Abdulrahman Nour(@aboodnour)比特卫士RCE$ 5,0002020年3月28日
在Safari阅读器模式下执行脚本以进行CSP绕过尼基尔·米塔尔(@ c0d3G33k)苹果XSS,CSP旁路2020年3月28日
我想要那个饼干!!!阿德南·马利克(@infoadnanmalik)逻辑缺陷2020年3月27日
利用魔术链接,关键漏洞仅一线之遥0xSha(@ 0xsha)雷蛇信息泄露,缺乏认证$ 0(重复)2020年3月27日
第一个漏洞赏金记录-登录页面上的打开重定向漏洞Phuriphat Boontanon(@zanezenzane)开启重新导向$ 2502020年3月27日
在漏洞赏金中获得幸运-从他人的工作中无耻地获利杰普·邦德·魏科普(Jeppe Bonde Weikop)身份验证绕过,缺乏速率限制,通过未加密通道发送的凭据$ 3,2002020年3月26日
Mail.ru的Ext.A域中的帐户接管流程[$ 150]Myo Min Thu(@ myominthu1337)逻辑缺陷,帐户接管$ 1502020年3月26日
利用CVE-2018-15961 –在Adobe ColdFusion中不受限制地上传文件Supras(@LdrTom)不受限制的文件上传2020年3月26日
从VLC偷视频Dhiraj(@RandomDhiraj)互联网IDOR2020年3月26日
XSS WAF和字符限制绕过老板普里尔·伊斯兰·汗(@ prial261)XSS2020年3月25日
自我XSS到帐户接管Ch3ckM4te帐户接管,XSS,CSRF2020年3月24日
远程图像上传导致RCE(将恶意代码注入PHP-GD图像)穆罕默德·毛拉纳(Muhammad R.Maulana)RCE,无限制的文件上传2020年3月21日
Readme.io上的API DOCS接管Oktavandi(@ 0ktavandi)子域接管2020年3月19日
EN | 管理员级别权限升级案例Samet Sahin(@sametsahinnet)特权提升$ 0(重复)2020年3月19日
在microsoft.com子域上反映了XSSRaimonds Liepins(@lv_linkers)微软反映的XSS$ 02020年3月19日
黑客攻击-始终检查跨域策略杰克星巴克SOP旁路,CSRF$ 7502020年3月19日
XXE穿越前门:通过HTTP请求走私规避防火墙Pieter Hiele(@honoki)XXE2020年3月18日
我的火车在哪里:跟踪黑客!阿尼尔·汤姆(MR_4NK)谷歌反映了XSS,SQL注入2020年3月17日
我如何能够验证我的帐户的任何联系电话?Paras Arora(@ parasarora06)OTP旁路,2FA旁路2020年3月17日
Razer移动PIN验证绕过$ 1k错误Sourav Sahana(@kernel_rider)雷蛇OTP旁路,2FA旁路$ 1,0002020年3月17日
我如何在Shopify Bug Bounty Program上获得$ 1750的收入Ashish DhoneShopifyXSS,打开重定向$ 1,7502020年3月16日
弱会话验证错误使您即使更改会话ID并从帐户注销后仍可以登录马纳斯贾(@manas_hunter)viator.com逻辑缺陷,会话管理缺陷2020年3月16日
像老板一样使用漏洞分析功能奥兹古尔阿尔卑斯山(@ozgur_bbh)SSRF,反射XSS,身份验证绕过$ 8,6002020年3月15日
我如何获得800美元的Host Header Injection漏洞Pethuraj(@Pethuraj)主机头注入,密码重置漏洞$ 8002020年3月15日
我最奇怪的错误赏金-从O365获得PII。Omaid Faizyar(@rulesofthetrade)微软子域接管$ 1,0002020年3月14日
由于Instagram中的逻辑错误,被阻止的用户可以发送通知| 第一个Instagram错误Divyanshu ShuklaFacebook逻辑缺陷$ 0(重复)2020年3月14日
您的GCP基础价值是多少?…大约$ 700美元[Bugbounty]克里斯·盖茨(@ carnal0wnage)Tokopedia信息披露$ 700(从未付款)2020年3月13日
通过无效的密码重置链接泄露用户的电子邮件[$ 250]Myo Min Thu(@ myominthu1337)密码重设漏洞,信息泄露$ 2502020年3月13日
API密钥泄漏导致员工信息泄露Ace Candelario(@phspades)信息披露$ 2,0002020年3月13日
为FBCDN网址生成有效的签名菲利普·哈伍德(Philippe Harewood)(@phwd)Facebook逻辑缺陷,授权缺陷2020年3月13日
如何立即访问公司的关键数据?考斯图·羽衣甘蓝信息泄露,缺乏速率限制,蛮力2020年3月12日
[Bug赏金]电子邮件内容注入Navneet(@ na5n33t)电子邮件内容注入$ 252020年3月12日
为Facebook CDN中托管的文件生成有效的签名Samm0uda(@ samm0uda)Facebook授权缺陷,逻辑缺陷2020年3月11日
由于缺乏速率限制保护,可以暴力破解Instagram帐户的密码Samm0uda(@ samm0uda)Facebook缺乏速率限制,蛮力$ 3,0002020年3月11日
我如何能够绕过当前密码?Ninad Mathpati(@ninad_mathpati)帐户接管,CSRF2020年3月11日
OTP绕过-开发人员检查Shrey Shah(@ ShreySh43332033)OTP旁路2020年3月11日
使用Shodan.io(RCE)在1分钟内找到P1sw33tLie(@ sw33tLie)RCE2020年3月11日
通过电子邮件确认获得HTML注入,获得最轻松的赏金!Shaurya Sharma(@ ShauryaSharma05)HTML注入2020年3月11日
脆弱的设计会导致个人数据泄漏,这是应用程序间漏洞的另一种情况……Marcin Szydlowski(@SecurityKsl)逻辑缺陷2020年3月9日
通过一系列错误打破了有限的范围(每位骑手CORS的提示)瓦列里·舍甫琴科(@ Krevetk0Valeriy)CORS配置错误,RCE2020年3月9日
意外的Google宽域检查绕过大卫·舒茨(@xdavidhu)谷歌逻辑缺陷$ 6,0002020/03/08
打破比赛(Bug赏金记录)乔治·O(@georgeomnet)竞争条件,DoS,逻辑缺陷,会话管理缺陷$ 0,赃物2020/03/08
价值$ 5,005的漏洞重复存在,如何在一天之内损失$ 5,005?拒绝服务-十亿个攻击攻击(XXE)穆罕默德·阿西姆·沙扎德(Muhammad Asim Shahzad)DoS,XXE$ 0(重复)2020/03/08
Google Ads Self-XSS和HTML注入$ 5000Syahri斋月(@ adonkidz7)谷歌自我XSS,HTML注入$ 5,0002020/03/07
我如何使用方法覆盖技术利用JSON CSRFSimgamsetti Manikanta(@zaheckmania)CSRF2020/03/07
Google Bug赏金:Google Payments的Clickjacking(1337 $)santuySec(@santuySec)谷歌点击劫持$ 1,3372020年3月6日
通过帐户接管(ATO)Unicode案例映射冲突获得赏金Shaurya Sharma(@ ShauryaSharma05)帐户接管2020/03/05
Bug赏金捕获-1Bijan Murmu(@ 0xBijan)缺乏认证,信息泄露,授权缺陷2020年3月4日
为进攻行动滥用职权科迪·托马斯(@its_a_feature_)松弛逻辑缺陷$ 0(资料性)2020年3月4日
SOP绕过凯南(@kenanistaken)SOP绕过2020/03/03
利用SSRF:试验和磨碎Bug’z生活(@ abugzlife1)SSRF$ 0(重复)2020/03/03
ManageEngine ServiceDesk Plus:任意文件上传德安布(Duc Anh Bui)任意文件上传,RCE2020/03/03
我如何CSRF获得我的第一个赏金!拉吉什·兰詹(Rajesh Ranjan)(@ rajesh_ranjan4)CSRF$ 5002020/03/03
通过停止重定向到登录页面进行SQL注入阿卜杜·瓦巴拉(@ 4mgh0z)SQL注入,授权缺陷2020/03/03
PDF生成器上的SSRF。约翰·迈克尔(@ michan2514)SSRF2020年3月2日
不和谐嵌入欺骗黑暗物质不和谐网络钓鱼$ 02020年3月2日
Facebook OAuth框架漏洞Amol Baikar(@AmolBaikar)FacebookOAuth漏洞$ 55,0002020年3月1日
Google Titan M芯片固件中的一个神秘错误(CVE-2019-9465)亚历山大·巴克(Alexander Bakker)谷歌密码问题2020年2月29日
使用授权绕过帐户劫持\(\)Bhavesh Thakur(@Bhavesh_Thakur_)帐户接管,授权漏洞2020年2月28日
通过升级的页面帖子进行页面管理员披露丹·法布罗(@ 0x61_)Facebook授权缺陷,信息泄露$ 3,0002020年2月28日
棘手的XSSSmaran Chand(@smaranchand)XSS$ 0(无法修复)2020年2月28日
Facebook CSRF错误,导致Instagram部分帐户被接管。Samm0uda(@ samm0uda)FacebookCSRF,OAuth漏洞$ 12,5002020年2月28日
通过Apache Struts2进行RCE-仍然存在。阿卜舍克(@ abhishake100)RCE2020年2月27日
撰写内容:AWS文档签名安全控制绕过奥兹古尔阿尔卑斯山(@ozgur_bbh)AWS缺陷$ 1,0002020年2月26日
长串DoSShrey Shah(@ ShreySh43332033)拒绝服务$ 1002020年2月26日
如何使用WPScan获取我的第一个P1(敏感信息披露)Harrmahar(@harrmahar)信息披露2020年2月26日
我如何在一天内在不同的漏洞赏金目标上发现3个SSRFDamanpreet Singh(@MrDamanSingh)SSRF2020年2月25日
Mail.Ru Ext.B合并范围帐户[$ 1500]Myo Min Thu(@ myominthu1337)Mail.ru帐户接管,OAuth漏洞$ 1,5002020年2月25日
存储的XSS-on-groups-google-com亚历山德罗(Alessandro Rumampuk)(@ Rando02355205)谷歌储存的XSS$ 0(无法修复)2020年2月25日
带有一条消息的Discord DoS黑暗物质不和谐拒绝服务$ 02020年2月24日
在AT&T中反映XSSMyo Min Thu(@ myominthu1337)美国电话电报公司反映的XSS02/23 / 202c0
帐户收购的故事(第1部分)Vijaysimha Reddy Bathini(@fatratfatrat)帐户接管,HTTP参数污染,密码重置漏洞,OTP绕过$ 5,0002020年2月22日
在零件目录中寻找特斯拉的Y型机密埃文·康纳利(@Evan_Connelly)特斯拉授权缺陷2020年2月22日
利用Jira进行主机发现亚历克斯·佩尼亚AtlassianCSRF2020年2月20日
黑客公司的SMS API服务提供商| Android应用程序静态安全性分析| 错误赏金POC穆罕默德·凯瑟(Muhammad Khizer Javed)/ babayaga47(@ khizer_javed47)信息披露,硬编码凭证2020年2月19日
两种格式的故事:利用不安全的XML和ZIP文件解析器创建Web Shell尤金林(@spaceraccoonsec)XXE,RCE2020年2月18日
从侦查到优化RCE结果-世界上最大的ICT公司之一的简单故事Yoko Kho(@YokoAcc)信息公开,RCE2020年2月18日
我的第一笔赏金来自Google。Syahri斋月(@ adonkidz7)谷歌自我XSS,HTML注入$ 5,0002020年2月18日
我们如何使用Acunetix在Google中找到另一个XSS安德烈·列昂诺夫(@ 4lemon)谷歌XSS$ 5,0002020年2月17日
计划Google Fiber(Webpass)中的变更逻辑克雷格·阿伦特(@signalchaos)谷歌逻辑缺陷,篡改付款2020年2月17日
利用WebSocket [Application Wide XSS / CSRF]Osama Avvan(@osamaavvan)XSS,CSRF2020年2月17日
我如何获得不受限制的文件上传远程执行代码漏洞赏金谢伊·格兰特(@kidshay)不受限制的文件上传2020年2月17日
上载后门以获得乐趣和利润。穆罕默德·阿卜杜勒·拉希姆(@ mohdaltaf163)不受限制的文件上传,RCE2020年2月17日
如何通过滥用不同的安全设备来规避其WAF从而入侵公司并赢得漏洞悬赏Red Timmy安全性(@redtimmysec)RCE2020年2月16日
Facebook上的开放重定向漏洞dw1Facebook开启重新导向$ 5002020年2月16日
LinkedIn iOS应用程序中的盲IDOR冰雹(@ hailstorm1422)领英IDOR$ 02020年2月16日
帐户接管的简单IDORSwapnil Maurya(@ swapmaurya20)IDOR,帐户接管$ 4,5002020年2月11日
负载平衡器,浅拷贝和缓存上发生奇怪的漏洞奥兹古尔阿尔卑斯山(@ozgur_bbh)信息披露$ 1,5002020年2月11日
无效端点的分步演练穆罕默德·伊斯雷(Mohammed Israil)(@ mdisrail2468)信息披露2020年2月9日
通过文件上传(SVG)的外部XML实体Atul(@ 0xatul)XXE,无限制的文件上传2020年2月8日
代表任何Facebook应用程序确定具有详细角色模型的用户Amol Baikar(@AmolBaikar)FacebookIDOR2020年2月8日
IDOR导致数据泄漏和配置文件更新vict0ni(@ vict0ni)IDOR,暴力破解2020年2月7日
如何检查元素让我赏金阿迪蒂娅·索尼(@ityoSoni)客户端对服务器端安全性的实施2020年2月6日
面向初学者的简单远程代码执行漏洞示例奥兹古尔阿尔卑斯山(@ozgur_bbh)RCE,无限制的文件上传$ 15,0002020年2月5日
Google APIS ClickJacking(1,337美元)Myo Min Thu(@ myominthu1337)谷歌点击劫持$ 1,3372020年2月5日
热门节目的全站CSRFAjinkya Pathare(@fellchase)CSRF2020年2月5日
我如何使用对比CE在15分钟内获得$ 600的Bug赏金– CVE- 2019-8442大卫·林德纳(@golfhackerdave)Atlassian(吉拉)信息披露$ 6002020年2月5日
我使用CSRF获得了奇怪的帐户接管穆罕默德·赛义德(@ FlEx0Geek)CSRF,帐户接管2020年2月5日
意外的赏金-电子邮件退回问题Keshav Malik(@ g0t_rOoT_)DoS,电子邮件退回问题2020年2月5日
劫持Google Data Studio中的共享报告链接sushiwushi(@ sushiwushi2)谷歌授权缺陷2020年2月5日
我如何通过链接目录列表转储加密数据以打开S3存储桶迪格维杰AWS错误配置,目录列表,信息泄露2020年2月5日
任意文件上传也存储了XSS-赏金漏洞m0chan(@ m0chan98)任意文件上传,已存储的XSS2020年2月4日
在WhatsApp桌面平台中发现严重的安全缺陷,允许网络罪犯从文件系统读取Gal Weizman(@WeizmanGal)脸书(WhatsApp)存储的XSS,CSP绕过,开放重定向,RCE$ 12,5002020年2月4日
负责任的披露:突破沙盒编辑器以执行RCEJatin Dhankhar(@jatindhankhar_)黑客地球RCE2020年2月4日
利用不安全的Firebase数据库!穆罕默德·凯瑟(Muhammad Khizer Javed)/ babayaga47(@ khizer_javed47)不安全的Firebase数据库2020年2月4日
轻松在航空公司上泄露乘客信息Zseano(@zseano)IDOR2020年2月4日
CSRF CSRF CSRF…Navneet(@ na5n33t)CSRF$ 502020年2月3日
Tumblr Bug赏金($ 200)Myo Min Thu(@ myominthu1337)自动(Tumblr)不受限制的文件上传,XSS,授权漏洞$ 2002020年2月2日
披露任何Facebook应用程序的完整管理员列表Amol Baikar(@AmolBaikar)FacebookIDOR2020年2月2日
OK Google:绕过身份验证!马蒂亚·芬奇(Mattia Vinci)谷歌身份验证绕过$ 0(Wontfix)2020年1月1日
通过逻辑速率限制旁路的2FA旁路杰普·邦德·魏科普(Jeppe Bonde Weikop)2FA旁路,逻辑缺陷$ 5002020年1月30日
我如何能够接管公司的LinkedIn页面Vijaysimha Reddy Bathini(@fatratfatrat)断链劫持$ 5002020年1月29日
我如何从SIDN(敏感数据公开)获得第一个SWAGMehedi Hasan Remon(@ mehedi1194)SIDN访问控制损坏,信息泄露$ 0,赃物2020年1月29日
Vimeo Livestream Bug赏金报告穆罕默德·斯拉马特(@ oxxy37)现场直播IDOR,参数篡改2020年1月29日
超链接注入-轻松赚钱(有时)Abhishek Yadav(@ abhishake100)超链接注入$ 4502020年1月28日
密码重置错误配置的故事纳韦罗伊密码重设漏洞,信息泄露2020年1月27日
通过HTTP走私逐步升级反映的XSSHazana(@HazanaSec)反映的XSS,HTTP请求走私2020年1月27日
Facebook-Instagram CDN服务器上的XSS绕过签名保护Amol Baikar(@AmolBaikar)FacebookXSS2020年1月26日
披露Facebook企业帐户IDAmol Baikar(@AmolBaikar)Facebook信息披露$ 1,5002020年1月26日
Facebook收购Oculus CDN服务器上的XSSAmol Baikar(@AmolBaikar)FacebookXSS2020年1月26日
输入验证不正确| 在Snapchat发送的SMS中添加自定义文本和URL | 错误赏金POC穆罕默德·凯瑟(Muhammad Khizer Javed)/ babayaga47(@ khizer_javed47)脸书(Snapshat)参数篡改$ 1,0002020年1月26日
意外IDOR删除了管理员帐户。Sayaan Alam(@ehsayaan)IDOR$ 3252020年1月25日
意外的悬赏:在REDACTED.com上Zendesk收购的故事wis4nggeni子域接管2020年1月25日
Facebook中的跨站点Websocket劫持漏洞导致帐户被接管Samm0uda(@ samm0uda)Facebook跨站点Websocket劫持,帐户接管$ 12,5002020年1月23日
我如何通过主机头注入来接管任何用户帐户Ajay Gautam(@evilboyajay)主机头注入$ 9002020年1月23日
CORS配置错误导致私人信息泄露Virus0X01(@ Virus0X01)CORS配置错误2020年1月23日
鲜为人知的攻击向量,二阶IDOR攻击奥兹古尔阿尔卑斯山(@ozgur_bbh)IDOR2020年1月22日
通过引荐来源的密码重置令牌泄漏Shrey Shah(@ ShreySh43332033)密码重设漏洞,信息泄露2020年1月22日
Facebook漏洞:由于“邀请接受”逻辑,页面中隐藏了“社区管理器”里蒂什·库玛·辛格(Ritish Kumar Singh)Facebook逻辑缺陷$ 5002020年1月22日
通过注册功能接管用户帐户| 错误赏金POCMuzammil Kayani(@ muzammilabbas2)帐户接管,逻辑缺陷,授权缺陷2020年1月22日
Google Bug赏金:learndigital.withgoogle.com中的CSRFsantuySec(@santuySec)谷歌CSRF$ 0(重复)2020年1月1日
跨站点请求伪造漏洞导致Microsoft Express Logic中的用户配置文件更改Adesh Nandkishor kolte(@AdeshKolte)微软CSRF2020年1月1日
我如何在Tokopedia上购买子域接管方式wis4nggeniTokopedia子域接管2020年1月20日
GGvulnz —我如何通过Google网上论坛入侵了数百家公司米兰·玛格亚谷歌逻辑缺陷2020年1月20日
我是如何在Google Search Console中意外发现Bug的托米(@noobe_io)谷歌逻辑缺陷,授权缺陷$ 1,3372020年1月18日
在Google Colab中添加要被视为受信任笔记本的恶意笔记本— 1337 $Raushan Raj(@raushan_rajj)谷歌授权缺陷,逻辑缺陷$ 1,3372020年1月17日
我如何发现一个有趣的帐户接管漏洞?阿卡什(Akash Methani)(@ 0xAkash)帐户接管,密码重设漏洞,缺乏速率限制2020年1月14日
无速率限制-2K赏金Shrey Shah(@ ShreySh43332033)雅虎缺乏速率限制$ 2,0002020年1月12日
我如何从Razer open S3存储桶中赚取500美元Sourav Sahana(@kernel_rider)雷蛇AWS错误配置$ 5002020年1月12日
我的第一个RCE(受压员工让我获得2倍的赏金)Abhishek Yadav(@ abhishake100)RCE,无限制的文件上传$ 9002020年1月10日
仅使用<HTML>来查找错误Ak1T4(@akita_zen)开放重定向,HTML注入,SSRF2020年1月10日
Google Chrome显示锁定模糊Pawel Wylecial(@ h0wlu)谷歌堆使用后释放$ 5,0002020年1月8日
暴露您的贝宝密码的错误亚历克斯·比尔桑(Alex Birsan)贝宝XSSI$ 15,3002020年1月8日
更新:是否想接管Java生态系统?您只需要一个MITM!乔纳森·莱特舒(Jonathan Leitschuh)(@jlleitschuh)Github通信不安全$ 2,3002020年1月8日
HTML注入(唯一利用)Pratik Yadav(@ PratikY9967)HTML注入$ 2502020年1月7日
对我最喜欢的5分钟P1说再见艾莉森·奥马利(@ally_o_malley)微软信息披露2020年1月6日
我如何在私人电子商务中发现特权升级错误?Baibhav Anand(@SpongeBhav)特权提升2020年1月6日
Sony子域上的XSSGökhanGüzelkokar(@gkhck_)了索尼反映的XSS2020年1月6日
通过HTTP请求走私进行帐户接管河马(@ hipotermiaHTTP请求走私,帐户接管,开放重定向,内部标头泄露2020年1月3日
在网站中绕过2FASourav Sahana(@kernel_rider)2FA旁路2020年1月1日
绕过手机PIN验证Sourav Sahana(@kernel_rider)身份验证绕过$ 1002020年1月1日

自行扶墙