当前节点:hackone
时间节点
2022年7月6日 01:31hackone
影响厂商:GitLab 奖励:10000.0USD 危险等级:high
暴露一个有效的 Gitlab-Workhorse JWT 会导致各种不好的事情
2022年7月5日 23:31hackone
影响厂商:New Relic 奖励: 危险等级:high
反射跨网站脚本(XSS)在 https://one.newrelic.com 上
2022年7月5日 21:31hackone
影响厂商:UPS VDP 奖励: 危险等级:medium
反映在 https://wwwapps.ups.com/ctc/request?loc= 上的 XSS
2022年7月5日 21:31hackone
影响厂商:UPS VDP(https://hackerone.com/ups) 
反映在 https://wwwapps.ups.com/ctc/request?loc= 上的 XSS
2022年7月4日 23:30hackone
影响厂商:Nextcloud 奖励: 危险等级:medium
通过 Newlines 在 iCalendar 附件中注入 SMTP 命令
2022年7月4日 21:30hackone
影响厂商:Reddit(https://hackerone.com/reddit) 
版主可以通过“ oauth.reddit.com/api/mod/conversations”从被禁的子版块向用户发送信息
2022年7月2日 19:30hackone
影响厂商:Nextcloud 奖励:100.0USD 危险等级:low
联邦编辑允许 iframing 可能的恶意远程
2022年7月2日 03:30hackone
影响厂商:HackerOne(https://hackerone.com/security) 
二零二二年六月事故报告
2022年7月2日 03:30hackone
影响厂商:Omise(https://hackerone.com/omise) 
未授权访问-降级为无管理员角色仍然可以通过 brupkit 编辑项目
2022年7月1日 03:30hackone
影响厂商:Brave Software 奖励:300.0USD 危险等级:medium
在 account.brave.com 上发现开放重定向
2022年7月1日 03:30hackone
影响厂商:Brave Software 奖励:200.0USD 危险等级:medium
任意文件下载通过“保存。种子文件”选项可能导致客户端 RCE 和 XSS
2022年7月1日 03:30hackone
影响厂商:Brave Software 奖励:150.0USD 危险等级:medium
由于 WebTorrent 中重定向处理不当而导致任意文件下载
2022年7月1日 03:30hackone
影响厂商:Brave Software 奖励:200.0USD 危险等级:medium
使用 WebTorrent 将用户重定向到恶意种子文件/网站
2022年7月1日 03:30hackone
影响厂商:Brave Software 奖励:500.0USD 危险等级:high
浏览器没有遵循正确的重定向流,导致打开重定向
2022年6月29日 13:30hackone
影响厂商:TikTok 奖励:1000.0USD 危险等级:medium
TikTok 卖家中心端点上的 XSS 有效载荷
2022年6月28日 07:30hackone
影响厂商:Internet Bug Bounty(https://hackerone.com/ibb) 
CVE-2022-32208: FTP-KRB 错误消息验证
2022年6月28日 07:30hackone
影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium
CVE-2022-32/206: HTTP压缩分布式拒绝服务攻击
2022年6月28日 07:30hackone
影响厂商:Internet Bug Bounty(https://hackerone.com/ibb) 
CVE-2022-32/205: 分布式拒绝服务攻击饼干
2022年6月28日 07:30hackone
影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium
CVE-2022-32207: 未保存的文件权限
2022年6月28日 07:30hackone
影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
未经授权访问内部服务器面板
2022年6月28日 03:30hackone
影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
通过“参数”反射 XSS
2022年6月28日 01:31hackone
影响厂商:Cloudflare Public Bug Bounty 奖励:3100.0USD 危险等级:critical
在 host _ header 操作参数中使用换行符使用 OriginRules 进行 HTTP 请求走私
2022年6月28日 01:31hackone
影响厂商:Cloudflare Public Bug Bounty(https://hackerone.com/cloudflare) 
使用.avif 扩展文件绕过缓存欺骗装甲
2022年6月28日 01:31hackone
影响厂商:Cloudflare Public Bug Bounty 奖励:250.0USD 危险等级:low
与苹果签约会产生长期的 JWT,似乎是不可撤销的,可以立即访问帐户
2022年6月28日 01:31hackone
影响厂商:Cloudflare Public Bug Bounty 奖励:1000.0USD 危险等级:high
与苹果公司登录工作在现有的帐户,绕过2FA
2022年6月28日 01:31hackone
影响厂商:Cloudflare Public Bug Bounty 奖励:500.0USD 危险等级:high
API 文档公开示例域 theburritobot.com 的活动令牌
2022年6月27日 23:31hackone
影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium
在允许使用 style 标记的环境中,Rails: : Html: : SafeListSanitizer 容易受到 xss 攻击
2022年6月27日 17:31hackone
影响厂商:curl 奖励: 危险等级:low
CVE-2022-32/205: 分布式拒绝服务攻击饼干
2022年6月27日 17:31hackone
影响厂商:curl 奖励: 危险等级:medium
CVE-2022-32/206: HTTP压缩分布式拒绝服务攻击
2022年6月27日 17:31hackone
影响厂商:curl 奖励: 危险等级:medium
CVE-2022-32207: 未保存的文件权限
2022年6月27日 17:31hackone
影响厂商:curl 奖励: 危险等级:low
CVE-2022-32208: FTP-KRB 错误消息验证
2022年6月27日 17:31hackone
影响厂商:curl(https://hackerone.com/curl) 
使用两个 url 时凭证泄漏
2022年6月27日 03:30hackone
影响厂商:Phabricator 奖励:500.0USD 危险等级:medium
用户可以链接非公共文件附件,导致文件披露的编辑较高的特权用户
2022年6月23日 19:30hackone
影响厂商:GitLab(https://hackerone.com/gitlab) 
域级重定向的旁路(未验证的重定向和 Forwar)
2022年6月22日 15:30hackone
影响厂商:Reddit 奖励:5000.0USD 危险等级:high
能够批准行政审批和改变有效状态,而不添加付款细节。
2022年6月22日 07:30hackone
影响厂商:Alohi(https://hackerone.com/alohi) 
SIGN.PLUS 电子邮件验证的弱速率限制
2022年6月21日 01:31hackone
影响厂商:Krisp 奖励: 危险等级:high
认证 CSRF 导致在 Krisp 应用程序上未经授权的帐户访问
2022年6月21日 01:31hackone
影响厂商:Krisp 奖励:500.0USD 危险等级:medium
通过减少 PUT/v2/座位请求操纵来增加更多的座位
2022年6月20日 09:30hackone
影响厂商:UPS VDP 奖励: 危险等级:medium
管理员认证旁路导致管理员帐户接管
2022年6月19日 21:30hackone
影响厂商:Enjin 奖励:300.0USD 危险等级:high
认证令牌和 CSRF 令牌旁路
2022年6月19日 17:30hackone
影响厂商:Nextcloud 奖励:100.0USD 危险等级:low
绕过强制密码保护通过圆圈应用程序
2022年6月19日 03:20hackone
影响厂商:UPS VDP 奖励: 危险等级:high
访问控制中断
2022年6月18日 03:20hackone
影响厂商:IBM 奖励: 危险等级:critical
通过 https://setup.p2p.ihost.com/进行 sql 注射
2022年6月17日 19:20hackone
影响厂商:Enjin 奖励: 危险等级:low
绕过注销端点的 CSRF
2022年6月17日 19:20hackone
影响厂商:Enjin 奖励: 危险等级:low
通过项目团队成员邀请系统了解比赛情况。
2022年6月17日 07:20hackone
影响厂商:Yelp(https://hackerone.com/yelp) 
启用 xmlrpc 文件
2022年6月17日 01:20hackone
影响厂商:curl(https://hackerone.com/curl) 
卷曲的“球状”可能导致分布式拒绝服务攻击攻击
2022年6月16日 13:20hackone
影响厂商:Reddit 奖励: 危险等级:medium
CSRF (保护绕过)强制低于18的用户查看 nsfw 子网站!
2022年6月16日 11:19hackone
影响厂商:TikTok 奖励:1500.0USD 危险等级:medium
存储在 TikTok Live 表单上的 XSS
2022年6月16日 07:30hackone
影响厂商:LinkedIn(https://hackerone.com/linkedin) 
速度限制旁路-我们通过 IP 转子(打嗝延长)( https://www.linkedin.com/help/linkedin/solve/contact )
2022年6月16日 05:30hackone
影响厂商:Twitter 奖励:560.0USD 危险等级:medium
删除直接消息历史记录而不访问正确的 talk _ id
2022年6月16日 05:30hackone
影响厂商:Twitter 奖励:560.0USD 危险等级:medium
远程0click 对 Safari 用户的 IP 地址进行过滤
2022年6月16日 03:30hackone
影响厂商:LinkedIn(https://hackerone.com/linkedin) 
该软件没有实施足够的措施,以防止在短时间内多次失败的身份验证尝试,使其更加可靠
2022年6月16日 00:41hackone
影响厂商:GitHub Security Lab 奖励: 危险等级:medium
Golang: 添加查询来检测 PAM 授权错误
2022年6月16日 00:41hackone
影响厂商:GitHub Security Lab 奖励: 危险等级:medium
Golang: 用于签署 JWT 的硬编码秘密
2022年6月16日 00:41hackone
影响厂商:GitHub Security Lab 奖励:1000.0USD 危险等级:low
CPP: 添加对 CWE-243的查询创建 chroot 监狱而不改变工作目录
2022年6月15日 18:40hackone
影响厂商:UPchieve 奖励: 危险等级:low
注册时注入超链接
2022年6月14日 18:40hackone
影响厂商:Acronis 奖励: 危险等级:low
ColdFusion 调试面板跨网站脚本的反射 http://www.grouplogic.com/cfide/debug/cf_debugfr.cfm
2022年6月14日 18:40hackone
影响厂商:Acronis 奖励: 危险等级:low
电子邮件中的 HTML 注入
2022年6月14日 18:40hackone
影响厂商:Acronis(https://hackerone.com/acronis) 
ColdFusion 调试面板跨网站脚本的反射 http://www.grouplogic.com/cfide/debug/cf_debugfr.cfm