时间 | 节点 | |
---|---|---|
2022年7月6日 01:31 | hackone | 影响厂商:GitLab 奖励:10000.0USD 危险等级:high 暴露一个有效的 Gitlab-Workhorse JWT 会导致各种不好的事情 |
2022年7月5日 23:31 | hackone | 影响厂商:New Relic 奖励: 危险等级:high 反射跨网站脚本(XSS)在 https://one.newrelic.com 上 |
2022年7月5日 21:31 | hackone | 影响厂商:UPS VDP 奖励: 危险等级:medium 反映在 https://wwwapps.ups.com/ctc/request?loc= 上的 XSS |
2022年7月5日 21:31 | hackone | 影响厂商:UPS VDP(https://hackerone.com/ups) 反映在 https://wwwapps.ups.com/ctc/request?loc= 上的 XSS |
2022年7月4日 23:30 | hackone | 影响厂商:Nextcloud 奖励: 危险等级:medium 通过 Newlines 在 iCalendar 附件中注入 SMTP 命令 |
2022年7月4日 21:30 | hackone | 影响厂商:Reddit(https://hackerone.com/reddit) 版主可以通过“ oauth.reddit.com/api/mod/conversations”从被禁的子版块向用户发送信息 |
2022年7月2日 19:30 | hackone | 影响厂商:Nextcloud 奖励:100.0USD 危险等级:low 联邦编辑允许 iframing 可能的恶意远程 |
2022年7月2日 03:30 | hackone | 影响厂商:HackerOne(https://hackerone.com/security) 二零二二年六月事故报告 |
2022年7月2日 03:30 | hackone | 影响厂商:Omise(https://hackerone.com/omise) 未授权访问-降级为无管理员角色仍然可以通过 brupkit 编辑项目 |
2022年7月1日 03:30 | hackone | 影响厂商:Brave Software 奖励:300.0USD 危险等级:medium 在 account.brave.com 上发现开放重定向 |
2022年7月1日 03:30 | hackone | 影响厂商:Brave Software 奖励:200.0USD 危险等级:medium 任意文件下载通过“保存。种子文件”选项可能导致客户端 RCE 和 XSS |
2022年7月1日 03:30 | hackone | 影响厂商:Brave Software 奖励:150.0USD 危险等级:medium 由于 WebTorrent 中重定向处理不当而导致任意文件下载 |
2022年7月1日 03:30 | hackone | 影响厂商:Brave Software 奖励:200.0USD 危险等级:medium 使用 WebTorrent 将用户重定向到恶意种子文件/网站 |
2022年7月1日 03:30 | hackone | 影响厂商:Brave Software 奖励:500.0USD 危险等级:high 浏览器没有遵循正确的重定向流,导致打开重定向 |
2022年6月29日 13:30 | hackone | 影响厂商:TikTok 奖励:1000.0USD 危险等级:medium TikTok 卖家中心端点上的 XSS 有效载荷 |
2022年6月28日 07:30 | hackone | 影响厂商:Internet Bug Bounty(https://hackerone.com/ibb) CVE-2022-32208: FTP-KRB 错误消息验证 |
2022年6月28日 07:30 | hackone | 影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium CVE-2022-32/206: HTTP压缩分布式拒绝服务攻击 |
2022年6月28日 07:30 | hackone | 影响厂商:Internet Bug Bounty(https://hackerone.com/ibb) CVE-2022-32/205: 分布式拒绝服务攻击饼干 |
2022年6月28日 07:30 | hackone | 影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium CVE-2022-32207: 未保存的文件权限 |
2022年6月28日 07:30 | hackone | 影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 未经授权访问内部服务器面板 |
2022年6月28日 03:30 | hackone | 影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 通过“参数”反射 XSS |
2022年6月28日 01:31 | hackone | 影响厂商:Cloudflare Public Bug Bounty 奖励:3100.0USD 危险等级:critical 在 host _ header 操作参数中使用换行符使用 OriginRules 进行 HTTP 请求走私 |
2022年6月28日 01:31 | hackone | 影响厂商:Cloudflare Public Bug Bounty(https://hackerone.com/cloudflare) 使用.avif 扩展文件绕过缓存欺骗装甲 |
2022年6月28日 01:31 | hackone | 影响厂商:Cloudflare Public Bug Bounty 奖励:250.0USD 危险等级:low 与苹果签约会产生长期的 JWT,似乎是不可撤销的,可以立即访问帐户 |
2022年6月28日 01:31 | hackone | 影响厂商:Cloudflare Public Bug Bounty 奖励:1000.0USD 危险等级:high 与苹果公司登录工作在现有的帐户,绕过2FA |
2022年6月28日 01:31 | hackone | 影响厂商:Cloudflare Public Bug Bounty 奖励:500.0USD 危险等级:high API 文档公开示例域 theburritobot.com 的活动令牌 |
2022年6月27日 23:31 | hackone | 影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium 在允许使用 style 标记的环境中,Rails: : Html: : SafeListSanitizer 容易受到 xss 攻击 |
2022年6月27日 17:31 | hackone | 影响厂商:curl 奖励: 危险等级:low CVE-2022-32/205: 分布式拒绝服务攻击饼干 |
2022年6月27日 17:31 | hackone | 影响厂商:curl 奖励: 危险等级:medium CVE-2022-32/206: HTTP压缩分布式拒绝服务攻击 |
2022年6月27日 17:31 | hackone | 影响厂商:curl 奖励: 危险等级:medium CVE-2022-32207: 未保存的文件权限 |
2022年6月27日 17:31 | hackone | 影响厂商:curl 奖励: 危险等级:low CVE-2022-32208: FTP-KRB 错误消息验证 |
2022年6月27日 17:31 | hackone | 影响厂商:curl(https://hackerone.com/curl) 使用两个 url 时凭证泄漏 |
2022年6月27日 03:30 | hackone | 影响厂商:Phabricator 奖励:500.0USD 危险等级:medium 用户可以链接非公共文件附件,导致文件披露的编辑较高的特权用户 |
2022年6月23日 19:30 | hackone | 影响厂商:GitLab(https://hackerone.com/gitlab) 域级重定向的旁路(未验证的重定向和 Forwar) |
2022年6月22日 15:30 | hackone | 影响厂商:Reddit 奖励:5000.0USD 危险等级:high 能够批准行政审批和改变有效状态,而不添加付款细节。 |
2022年6月22日 07:30 | hackone | 影响厂商:Alohi(https://hackerone.com/alohi) SIGN.PLUS 电子邮件验证的弱速率限制 |
2022年6月21日 01:31 | hackone | 影响厂商:Krisp 奖励: 危险等级:high 认证 CSRF 导致在 Krisp 应用程序上未经授权的帐户访问 |
2022年6月21日 01:31 | hackone | 影响厂商:Krisp 奖励:500.0USD 危险等级:medium 通过减少 PUT/v2/座位请求操纵来增加更多的座位 |
2022年6月20日 09:30 | hackone | 影响厂商:UPS VDP 奖励: 危险等级:medium 管理员认证旁路导致管理员帐户接管 |
2022年6月19日 21:30 | hackone | 影响厂商:Enjin 奖励:300.0USD 危险等级:high 认证令牌和 CSRF 令牌旁路 |
2022年6月19日 17:30 | hackone | 影响厂商:Nextcloud 奖励:100.0USD 危险等级:low 绕过强制密码保护通过圆圈应用程序 |
2022年6月19日 03:20 | hackone | 影响厂商:UPS VDP 奖励: 危险等级:high 访问控制中断 |
2022年6月18日 03:20 | hackone | 影响厂商:IBM 奖励: 危险等级:critical 通过 https://setup.p2p.ihost.com/进行 sql 注射 |
2022年6月17日 19:20 | hackone | 影响厂商:Enjin 奖励: 危险等级:low 绕过注销端点的 CSRF |
2022年6月17日 19:20 | hackone | 影响厂商:Enjin 奖励: 危险等级:low 通过项目团队成员邀请系统了解比赛情况。 |
2022年6月17日 07:20 | hackone | 影响厂商:Yelp(https://hackerone.com/yelp) 启用 xmlrpc 文件 |
2022年6月17日 01:20 | hackone | 影响厂商:curl(https://hackerone.com/curl) 卷曲的“球状”可能导致分布式拒绝服务攻击攻击 |
2022年6月16日 13:20 | hackone | 影响厂商:Reddit 奖励: 危险等级:medium CSRF (保护绕过)强制低于18的用户查看 nsfw 子网站! |
2022年6月16日 11:19 | hackone | 影响厂商:TikTok 奖励:1500.0USD 危险等级:medium 存储在 TikTok Live 表单上的 XSS |
2022年6月16日 07:30 | hackone | 影响厂商:LinkedIn(https://hackerone.com/linkedin) 速度限制旁路-我们通过 IP 转子(打嗝延长)( https://www.linkedin.com/help/linkedin/solve/contact ) |
2022年6月16日 05:30 | hackone | 影响厂商:Twitter 奖励:560.0USD 危险等级:medium 删除直接消息历史记录而不访问正确的 talk _ id |
2022年6月16日 05:30 | hackone | 影响厂商:Twitter 奖励:560.0USD 危险等级:medium 远程0click 对 Safari 用户的 IP 地址进行过滤 |
2022年6月16日 03:30 | hackone | 影响厂商:LinkedIn(https://hackerone.com/linkedin) 该软件没有实施足够的措施,以防止在短时间内多次失败的身份验证尝试,使其更加可靠 |
2022年6月16日 00:41 | hackone | 影响厂商:GitHub Security Lab 奖励: 危险等级:medium Golang: 添加查询来检测 PAM 授权错误 |
2022年6月16日 00:41 | hackone | 影响厂商:GitHub Security Lab 奖励: 危险等级:medium Golang: 用于签署 JWT 的硬编码秘密 |
2022年6月16日 00:41 | hackone | 影响厂商:GitHub Security Lab 奖励:1000.0USD 危险等级:low CPP: 添加对 CWE-243的查询创建 chroot 监狱而不改变工作目录 |
2022年6月15日 18:40 | hackone | 影响厂商:UPchieve 奖励: 危险等级:low 注册时注入超链接 |
2022年6月14日 18:40 | hackone | 影响厂商:Acronis 奖励: 危险等级:low ColdFusion 调试面板跨网站脚本的反射 http://www.grouplogic.com/cfide/debug/cf_debugfr.cfm |
2022年6月14日 18:40 | hackone | 影响厂商:Acronis 奖励: 危险等级:low 电子邮件中的 HTML 注入 |
2022年6月14日 18:40 | hackone | 影响厂商:Acronis(https://hackerone.com/acronis) ColdFusion 调试面板跨网站脚本的反射 http://www.grouplogic.com/cfide/debug/cf_debugfr.cfm |