当前节点:hackone
时间节点
2022年4月1日 05:30hackone
影响厂商:GitLab 奖励:3000.0USD 危险等级:high
在合并请求创建页面中通过审批规则名称中的有效负载存储 XSS
2022年3月31日 23:30hackone
影响厂商:Judge.me  奖励: 危险等级:high
IDOR: 泄露买家信息并发布/隐藏外国评论
2022年3月31日 23:30hackone
影响厂商:Judge.me(https://hackerone.com/judgeme) 
存储的 XSS 在问题编辑从产品名称
2022年3月31日 23:30hackone
影响厂商:Judge.me  奖励: 危险等级:medium
删除产品时,在 AliExpress 评审进口商/产品上存储 XSS
2022年3月31日 23:30hackone
影响厂商:Judge.me  奖励: 危险等级:medium
存储 XSS 在问题编辑产品名称(绕过 # 1416672)
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
CPP 添加一个查询来查找使用不正确的异常。
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ Python ] : 添加用于路径注入查询的 shutil 模块汇
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab 奖励:1800.0USD 危险等级:medium
Java: 用于忽略主机名验证的实验性查询
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ Java ] : CWE-073-使用 JFinal 框架的文件路径注入
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
CPP: 添加对 cwe-266不正确权限分配的查询
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ c # ] CWE-759: 查询检测不加盐的密码散列
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
Java: 添加查询以检测服务器端模板注入(SSTI)
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab 奖励:1800.0USD 危险等级:medium
Python: securerandomness 中的 CWE-338
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ Java ] : 在比较头部值时进行计时攻击
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ Java ] : 添加 JDBC 连接 SSRF 接收器
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
CWE-611: XXE
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
CPP: 为 cwe-377不安全临时文件添加查询
2022年3月31日 05:30hackone
影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ Java ] : CWE-200-用于检测不安全的 WebResourceResponse 实现的查询
2022年3月30日 15:31hackone
影响厂商:Stripo Inc 奖励: 危险等级:critical
上传个人资料照片在任何文件夹,你想与任何扩展你想
2022年3月30日 15:31hackone
影响厂商:Stripo Inc 奖励: 危险等级:medium
不安全的存储和过度宽松的 API 密钥
2022年3月30日 15:31hackone
影响厂商:Stripo Inc 奖励: 危险等级:high
能够使用付费模板作为免费用户通过 https://stripo.email/templates/?utm_source=viewstripo&utm_medium=referral
2022年3月30日 05:30hackone
影响厂商:Twitter 奖励:560.0USD 危险等级:critical
识别 twitter 用户的手机号码
2022年3月29日 23:30hackone
影响厂商:Evernote 奖励: 危险等级:high
2点击 Evernote Android 中的远程代码执行
2022年3月29日 05:30hackone
影响厂商:curl(https://hackerone.com/curl) 
当解析 MQTT 服务器响应时,curl 中的分布式拒绝服务攻击漏洞
2022年3月28日 23:30hackone
影响厂商:Shopify 奖励:500.0USD 危险等级:low
Turn.shopify.com 的 ec2收购
2022年3月28日 03:30hackone
影响厂商:Basecamp 奖励:6337.0USD 危险等级:high
能够从深层链接窃取承载令牌
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
检察官办公室反映在反应敏感数据曝光导致帐户接管
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
对忘记密码页没有速率限制
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
密码复位令牌泄漏
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
编辑“您的电话号码”时缺少验证
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
重复使用密码
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
过时版权信息@欢迎电子邮件
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
无费率限制的密码重置页面上升
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
点击 https://hackers.upchieve.org/login 登录页面
2022年3月27日 03:30hackone
影响厂商:UPchieve(https://hackerone.com/upchieve) 
重置密码没有速率限制会导致邮件泛滥
2022年3月26日 01:30hackone
影响厂商:Alohi(https://hackerone.com/alohi) 
在 app.sign.plus/forgot _ password 上配置错误的速率限制
2022年3月25日 21:30hackone
影响厂商:8x8 奖励: 危险等级:critical
F5 BIG-IP TMUI RCE-CVE-2020-5902(
2022年3月25日 19:30hackone
影响厂商:8x8(https://hackerone.com/8x8) 
F5 BIG-IP TMUI RCE-CVE-2020-5902(. packet8.net)
2022年3月25日 17:30hackone
影响厂商:Dragon 奖励:250.0USD 危险等级:low
应用程序订阅中的商业逻辑缺陷
2022年3月25日 17:30hackone
影响厂商:Kubernetes(https://hackerone.com/kubernetes) 
Https://kubernetes-csi.github.io/docs/drivers.html?highlight=chubaofs#production-drivers 中断链接劫持
2022年3月25日 07:30hackone
影响厂商:TikTok(https://hackerone.com/tiktok) 
在 TikTok 新闻编辑室通过破坏链接冒充 TikTok 帐户
2022年3月25日 05:30hackone
影响厂商:Internet Bug Bounty(https://hackerone.com/ibb) 
Rust 标准库的 std: fs: : remove _ dir _ all ()函数中的 Time-of-check to-time-of-use 漏洞
2022年3月24日 11:30hackone
影响厂商:Basecamp(https://hackerone.com/basecamp) 
通过以前的备份代码登录进行不正确的身份验证
2022年3月24日 01:30hackone
影响厂商:Stripe 奖励:1500.0USD 危险等级:low
通过后面的点绕过 Smokescreen 中的域拒绝列表规则导致 SSRF
2022年3月23日 09:30hackone
影响厂商:pixiv(https://hackerone.com/pixiv) 
通过‘ next url’反映的 XSS  https://sketch.pixiv.net/
2022年3月23日 09:30hackone
影响厂商:ImpressCMS(https://hackerone.com/impresscms) 
在/include/findusers.php 中进行不正确的授权检查
2022年3月23日 09:30hackone
影响厂商:ImpressCMS(https://hackerone.com/impresscms) 
在 image-edit.php 中通过路径遍历删除任意文件
2022年3月23日 09:30hackone
影响厂商:ImpressCMS(https://hackerone.com/impresscms) 
透过「自动登入」功能绕过潜在的认证
2022年3月23日 07:30hackone
影响厂商:Internet Bug Bounty 奖励:4000.0USD 危险等级:high
空子表达式上具有大量重复的正则表达式需要很长时间来解析
2022年3月23日 07:30hackone
影响厂商:Omise(https://hackerone.com/omise) 
端点“/test/webhooks”很容易受到 DNS 重新绑定的攻击
2022年3月23日 07:30hackone
影响厂商:Omise(https://hackerone.com/omise) 
竞赛条件: 邀请成员加入团队
2022年3月23日 07:30hackone
影响厂商:Khan Academy(https://hackerone.com/khanacademy) 
Khanacademy.or 上的端点/api/internal/graphql/requestAuthEmail 容易受到竞争条件攻击。
2022年3月22日 21:30hackone
影响厂商:Lyst 奖励:300.0USD 危险等级:medium
[ https://█████████/] & & [ https://█████████/]开放式重定向
2022年3月22日 21:30hackone
影响厂商:Lyst 奖励:300.0USD 危险等级:medium
网络域名服务器缓存污染导致用户信息披露等等
2022年3月22日 21:30hackone
影响厂商:Lyst(https://hackerone.com/lyst) 
[ https://] & & [ https:///]打开重定向
2022年3月22日 19:30hackone
影响厂商:Mattermost 奖励:150.0USD 危险等级:low
通过邀请成员的 html 注入可以导致帐户接管
2022年3月22日 00:52hackone
影响厂商:GitLab 奖励:29000.0USD 危险等级:critical
通过批量导入 UploadsPipeline 读取任意文件
2022年3月22日 00:52hackone
影响厂商:Adobe(https://hackerone.com/adobe) 
4j Java RCE in [ beta.dev.adobeconnect.com ]
2022年3月22日 00:52hackone
影响厂商:GitLab(https://hackerone.com/gitlab) 
通过批量导入 UploadsPipeline 读取任意文件
2022年3月21日 22:52hackone
影响厂商:Glassdoor 奖励: 危险等级:high
获取 Glassdoor 用户的所有个人电子邮件 id (不需要用户交互)