| 通过HTTP进行IDOR的故事 | Shuaib Oladigbolu(@_sawzeeyy) | — | IDOR | — | 2019年12月31日 |
| 利用电子邮件中的HTML注入 | Shuaib Oladigbolu(@_sawzeeyy) | — | HTML注入 | — | 2019年12月31日 |
| 从POST到GET Open重定向 | Sourav Sahana(@kernel_rider) | — | 开启重新导向 | $ 450 | 2019年12月31日 |
| 2019年的Bug狩猎之旅 | Sudhanshu Rajbhar(@ sudhanshur705) | 阿里巴巴,Verizon Media,[私有程序] | XSS,权限提升,信息公开 | $ 2,500 | 2019年12月31日 |
| 使用IDOR开发自存储的XSS | Shuaib Oladigbolu(@_sawzeeyy) | — | 自身XSS,存储的XSS,IDOR | — | 2019年12月31日 |
| 我如何从Google Translator赚到$ 3133.70? | 贝里·贝(@uppmen) | 谷歌 | XSS | $ 3,133.70 | 12/30/2019 |
| Facebook Bug赏金故事:X000美元的信息披露错误 | 圈忍者(@circleninja) | Facebook | 信息披露 | — | 12/29/2019 |
| 我如何从Google Cloud Platform上发现的第一个Bug赏金中赚了7500美元 | 詹姆斯·格鲁内瓦尔德(James Grunewald) | 谷歌 | 逻辑缺陷 | $ 7,500 | 12/29/2019 |
| 放下麦克风?!不!断开连接;) | 萨西·列维(@ sasi2103) | 谷歌 | DOM XSS | — | 12/29/2019 |
| 毫不费力地找到跨站点脚本包含(XSSI)和JSONP的漏洞赏金 | Omkar Bhagwat(@ th3_hidd3n_mist) | — | XSSI | $ 0(重复) | 12/27/2019 |
| 在Facebook上绕过Brand Collabs经理资格 | Ajay Gautam(@evilboyajay) | Facebook | 授权缺陷 | $ 0 | 12/26/2019 |
| 通过万神殿进行子域接管 | Smaran Chand(@smaranchand) | — | 子域接管 | — | 12/26/2019 |
| Microsoft Edge(Chromium)-通过XSS进行EoP到潜在的RCE | 阿卜杜勒拉赫曼·卡班迪(@Qab) | 微软 | XSS,RCE | $ 40,000 | 12/24/2019 |
| 通过浏览器缓存进行SOP绕过 | 亚伦·科斯特洛(Aaron Costello)(@ConspiracyProof) | 键库 | SOP旁路 | $ 1,500 | 12/24/2019 |
| 滥用ImageMagick获得RCE | Strynx(@Strynx_Security) | — | ImageMagick,RCE | $ 5,000 | 12/24/2019 |
| 我们如何入侵全球最大的加密货币网站之一 | Strynx(@Strynx_Security) | — | SQL注入,RCE | — | 12/24/2019 |
| Airbnb:通过添加银行帐户/付款方式(IDOR)来窃取Airbnb房东 | Vijay Kumar(@IndoAppSec) | 爱彼迎 | IDOR | $ 3,000 | 12/24/2019 |
| 赏金| 一个Dom Xss | 珍妮(@jinonehk) | — | DOM XSS | $ 500 | 12/24/2019 |
| GraphQL IDOR导致信息泄露 | 埃山·辛格(@ R0X4R) | — | IDOR | — | 12/24/2019 |
| CSRF代币绕过-我的$ 2k错误的故事 | Adeyefa Oluwatoba(@adeyefa_codes) | — | CSRF,帐户接管 | $ 2,000 | 12/23/2019 |
| reCAPTCHA漏洞 | Neal Krawetz博士(@hackerfactor) | 谷歌 | reCAPTCHA绕过 | $ 0 | 12/23/2019 |
| 从链接断开到子文件夹接管Bukalapak | wis4nggeni | 布卡拉帕克 | AWS缺陷 | — | 12/23/2019 |
| 通过CSRF攻击进行2次FA绕过 | 维沙尔·巴拉德(Vishal Bharad) | Mail.ru | 2FA旁路,CSRF | $ 0(超出范围) | 12/23/2019 |
| 完全帐户接管(Android应用程序) | 维沙尔·巴拉德(Vishal Bharad) | — | 信息披露,账户接管 | — | 2019年12月21日 |
| 绕过验证码! | Abhishek Yadav(@ abhishake100) | — | 验证码旁路 | $ 200 | 12/20/2019 |
| 通过密码重置中毒接管帐户 | 维沙尔·巴拉德(Vishal Bharad) | — | 密码重设漏洞,帐户接管 | — | 2019年12月19日 |
| #BugBounty — Snapdeal(印度流行的电子商务网站)如何使他们的用户数据处于危险之中! | 南达·库玛(@ nk00_nk) | Snapdeal | 敏感信息的存储不安全 | — | 2019年12月19日 |
| [Google VRP] Google Cloud Platform StackDriver中的SSRF | 陈荣(@ngalongc) | 谷歌 | SSRF | — | 2019年12月19日 |
| 滥用功能来窃取令牌 | 哈什·贾斯瓦尔(@rootxharsh) | — | OAuth漏洞 | $ 3,750 | 12/17/2019 |
| BreakingApp – WhatsApp崩溃和数据丢失错误 | Dikla Barda,Roman Zaikin和Yaara Shriki | Facebook | 拒绝服务 | — | 12/17/2019 |
| 通过IDOR进行信息披露 | Pratyush Anjan Sarangi | — | IDOR | $ 750 | 12/16/2019 |
| 存储的Iframe注入+ CSRF =帐户接管?? | Rounak Dhadiwal(@XploiteR_D) | — | HTML注入,CSRF | — | 12/16/2019 |
| 我如何使用Azure CDN配置文件管理2个子域 | m0chan(@ m0chan98) | — | 子域接管 | — | 12/16/2019 |
| 解释了4个Google Cloud Shell错误 | [email protected] (@wtm_offensi) | 谷歌 | RCE | — | 12/16/2019 |
| 每个错误猎人在流行程序中错过的授权错误 | Ajinkya Pathare(@fellchase) | — | 授权缺陷 | — | 12/15/2019 |
| Vimeo上传功能SSRF | Sayed Abdelhafiz(@dPhoeniixx) | — | SSRF | $ 5,000 | 12/13/2019 |
| 我如何在Instagram上找到逻辑错误? | 贾比尔·汗(@ Jabirkhan0x0) | Facebook | 逻辑缺陷 | — | 12/13/2019 |
| Facebook新帐户验证绕过 | Santosh Baral(@ santoshbrl5) | Facebook | 身份验证绕过 | $ 0(内部重复) | 12/13/2019 |
| 在通过…头攻击绕过保护之后,出现多个主机头攻击 | vict0ni(@ vict0ni) | — | 主机头注入 | — | 12/12/2019 |
| 25美元的简易错误。 | Navneet(@ na5n33t) | — | 会话管理缺陷 | $ 25 | 12/12/2019 |
| 通过FFmpeg HLS处理的SSRF | Pflash朋克(@PflashPunk) | — | SSRF | $ 0(重复) | 12/11/2019 | |
| Blind Xss(赢得比赛的智力游戏) | Dirtycoder(@ dirtycoder0124) | — | 盲XSS | $ 1,000 | 12/11/2019 | |
| AirDoS:远程使附近的所有iPhone或iPad无法使用 | Kishan Bagaria(@KishanBagaria) | 苹果 | 拒绝服务 | — | 12/10/2019 |
| 通过扫描QR码进行伪装 | 尼基尔·米塔尔(@ c0d3G33k) | Mozilla | XSS,CSP旁路 | — | 12/10/2019 |
| 身份验证绕过 | Rushiikesh(@ u1tran00b) | — | 2FA旁路 | $ 700 | 12/09/2019 |
| Instagram上的媒体删除CSRF漏洞 | Pouya Darabi(@Pouyadarabi) | Facebook | CSRF | $ 3,000 | 12/09/2019 |
| Telegram(v4.9.155353)正在呈现file://链接+通过NSWorkspace.open->代码执行打开它们。 | 弗拉基米尔·梅特纽(@vladimir_metnew) | 电报 | RCE | $ 500 | 12/08/2019 |
| 重用Cookies | 里卡多·伊拉玛尔·多斯·桑托斯 | — | 会话管理缺陷 | $ 400 | 12/07/2019 |
| 在[REDACTED.com]中将HTML注入XSS绕过 | 埃文·里卡福特(@evanricafort) | — | 反映的XSS | $ 600 | 12/07/2019 |
| 存储库代码错误页面上的$ 150 XSS | Navneet(@ na5n33t) | — | 反映的XSS | $ 150 | 12/07/2019 |
| Google Chrome门户元素模糊 | Pawel Wylecial(@ h0wlu) | 谷歌 | RCE,堆缓冲区溢出,堆使用后释放 | $ 8,000 | 12/06/2019 |
| HTTP请求走私+ IDOR | 河马(@ hipotermia) | — | HTTP请求走私,IDOR | — | 12/05/2019 |
| 像Pro一样的XSS | Anas Mahmood(@AnasIsHere) | — | XSS | $ 450 | 12/05/2019 |
| Dank Writeup关于印度初创公司访问控制中断的问题 | Divyanshu Shukla | — | 文件上传不受限制,授权漏洞 | — | 2019年11月30日 |
| 我的第一个RCE:关于好主意和好朋友的故事 | rez0(@ rez0__) | — | RCE,ImageTragick | — | 2019年11月29日 |
| 我如何通过CSRF将Self XSS转换为Stored | Abhishek Yadav(@ abhishake100) | — | 自我XSS,CSRF | $ 550 | 2019年11月29日 |
| 用Unicode的无点’i’入侵GitHub | 约翰·格蕾西(@jagracey) | Github | 逻辑缺陷 | — | 2019年11月28日 |
| XSS存储在[Outlook Web-Outlook Android App]中 | ElMahdi Mrhassel(@ElMrhassel) | 微软 | 储存的XSS | $ 2,400 | 2019年11月28日 | 存档内容 |
| graph.facebook.com中反映的XSS导致IE / Edge中的帐户被接管 | Samm0uda(@ samm0uda) | Facebook | 反映了XSS,帐户接管 | $ 5,000 | 2019年11月27日 | 存档内容 |
| 在Burpsuite匹配和替换设置的帮助下访问禁用/隐藏的功能 | 约翰·西蒙(@ Johnssimon22) | — | 授权缺陷 | — | 2019年11月27日 | 存档内容 |
| 在Tinder上有多少人喜欢我? | Mustafa伊朗(@Mustafaran) | — | HTTP请求走私 | $ 2,500 | 2019年11月25日 |
| 在Discord中找到一个安全漏洞及其对我的启发 | 特里斯坦·法卡斯(@TristanAtFarkas) | 不和谐 | OAuth漏洞 | — | 11/24/2019 |
| 对帐户接管的CORS错误配置[超出范围以在范围内获取项目] | Mashoud1122(@ mashoud1122) | — | CORS配置错误,开放重定向,反映的XSS,会话管理漏洞 | $ 1,500 | 11/24/2019 |
| AccountTakeOver杀死链 | أنسروبي(@xhzeem) | — | 帐户接管,CSRF,Self-XSS | — | 2019年11月23日 |
| 利用固定IV利用填充Oracle | 泰迪·卡茨(@not_aardvark) | — | 填充oracle,帐户接管 | — | 2019年11月23日 |
| 通过Websockets进行IDOR | Shuaib Oladigbolu(@_sawzeeyy) | — | IDOR | — | 2019年11月23日 |
| IDOR的故事-第2部分 | Shivbihari Pandey(@ninja_pandit_) | — | IDOR | $ 3,650 | 11/21/2019 |
| 禁用Facebook中任何未确认的帐户 | Lokesh Kumar(@ lokeshdlk77) | Facebook | 蛮力 | $ 1,000 | 11/21/2019 |
| script-loader.php中的700 $拒绝服务(DoS)漏洞(CVE-2018-6389) | Pankaj Thakur(@ Nep_1337_1998) | — | 拒绝服务 | $ 700 | 11/21/2019 |
| 我如何支付2 $来购买1054 $ XSS错误+ 20个字符的XSS无效载荷 | Mohamed Daher(@ DaherMohamed4) | — | XSS | $ 1,054 | 11/20/2019 |
| 破解reCAPTCHA,Turbo Intruder风格 | 詹姆斯·凯特尔(@albinowax) | 谷歌 | 比赛条件 | $ 0 | 11/20/2019 |
| 通过Campaignmonitor.com进行子域接管 | 穆罕默德·哈隆(@ m7mdharon) | — | 子域接管 | $ 900 | 11/20/2019 |
| 我如何删除Facebook征求建议职位的评论对象 | Raja Sudhakar(@Rajasudhakar) | Facebook | IDOR | — | 11/20/2019 |
| 会话管理中断会导致绕过2FA并永久访问Facebook用户的 | 马哈茂德·巴拉卡特(@ 0xBarakat) | Facebook | 身份验证绕过 | — | 2019年11月19日 |
| 在Jobs Beta中披露招聘经理的所有者 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息披露 | — | 2019年11月19日 |
| 百万用户PII泄漏数据泄漏 | Shivbihari Pandey(@ninja_pandit_) | — | 信息泄露,盲XSS | $ 3,250 | 2019年11月18日 |
| 通过DOM破坏GMail的AMP4Email中的XSS | MichałBentkowski(@securitymb) | 谷歌 | XSS,DOM破坏 | — | 2019年11月18日 |
| 这就是我能够在私有程序中发现罕见错误的方法 | 阿比达·法赫德(Abida Fahd) | — | 缺乏身份验证,权限提升 | — | 2019年11月18日 |
| 我的第一个Bug($ 500) | Abhishek Yadav(@ abhishake100) | — | 没有有效的SPF记录 | $ 500 | 2019年11月18日 |
| 绕过我以前的Instagram错误的补丁。 | Baibhav Anand(@SpongeBhav) | Facebook | 授权缺陷,逻辑缺陷 | — | 2019年11月18日 |
| 权限提升与简单侦察 | Mayur Gupta(@RisingHunter_) | — | 特权提升,盲XSS | — | 11/16/2019 |
| 绕过LDAP管理员帐户:) | Himanshu Pdy(@ himanshu_pdy_01) | — | LDAP注入,身份验证绕过 | — | 11/16/2019 |
| 查看任何页面的排名的Messenger用户 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息泄露,授权缺陷 | — | 11/16/2019 |
| [Writeup] [Bug Bounty] [Tokopedia]处理产品评论中的顶[EN] | 穆罕默德·托马斯·法迪拉(Muhammad Thomas Fadhila Yahya)(@fadhilthomas) | Tokopedia | IDOR | $ 135 | 11/15/2019 |
| 带有访问控制允许来源的经过身份验证的CORS:* | BitK(@BitK_) | 铬 | 缓存问题,浏览器错误 | $ 0(无法修复) | 11/15/2019 |
| 上链子!!将多个IDOR链接到帐户接管中(第一部分) | 丹尼尔·玛特(@ DanielM59720745) | — | IDOR | — | 11/15/2019 |
| 接管Facebook页面标签 | 萨加尔·塔努尔(@ Sagarvd01) | Facebook | 链接劫持中断 | $ 0(信息性) | 11/14/2019 |
| [服务器端请求伪造]由于哨兵配置错误而导致SSRF失明 | 肯特·拜伦(@bayronkentoy) | — | SSRF | $ 300 | 11/14/2019 |
| 通过BLH注入命令 | Shankar R(@ trapp3r_hat) | Facebook | 链接劫持中断 | $ 0(信息性) | 11/14/2019 |
| 使用缓存攻击的大规模XS搜索 | terjanq(@terjanq) | 谷歌 | XS搜索 | — | 11/12/2019 |
| 我是如何意外删除GitHub Actions的 | 泰迪·卡茨(@not_aardvark) | 的GitHub | 拒绝服务,提交哈希冲突 | $ 5,000 | 11/12/2019 |
| 错误赏金:无效的API授权 | Th3hidd3nmist(@ th3_hidd3n_mist) | — | 授权缺陷 | $ 440 | 11/12/2019 |
| 我如何购买VPS,托管,仅域名$ 0.01 | Zerb0a | — | 篡改付款 | $ 500 | 11/12/2019 |
| 通过Slack主题记录用户 | Matt Langlois(@ fletchto99) | 松弛 | CSS注入 | $ 500 | 11/11/2019 |
| 我的第一个使用DNS重新绑定的SSRF | Marek Geleta(@marek_geleta) | — | SSRF,DNS重新绑定 | — | 11/11/2019 |
| 基于DOM的XSS | 错误赏金写作 | HacknPentest(@HacknPentest) | — | DOM XSS | $ 100 | 11/10/2019 |
| BugBounty:我如何通过简单因素蛮力破解2FA(两因素身份验证)!? | 阿卡什·阿格劳瓦尔(@akashmagrawal) | — | 2FA旁路,缺乏速率限制 | — | 11/08/2019 |
| 我如何在5分钟内破解荷兰政府?Twitter帐户接管 | NumanÖZDEMİR(@numanozdemircom) | 荷兰政府 | 链接劫持中断 | $ 0,赃物 | 11/06/2019 |
| 简单的身份验证后绕过会导致未经授权的Web服务器访问 | Hein Thant Zin(@ H3Lowr) | — | 默认凭证 | $ 750 | 11/08/2019 |
| 绕过GitHub的OAuth流程 | 泰迪·卡茨(@not_aardvark) | 的GitHub | OAuth漏洞,授权绕过 | $ 25,000 | 11/05/2019 |
| [漏洞悬赏]一个简单的SSRF | 珍妮(@jinonehk) | — | SSRF,DNS重新绑定 | — | 11/05/2019 |
| XSS永不消亡 | Oleksandr Opanasiuk(@ Lekssik2) | — | XSS | — | 11/02/2019 |
| 填补空白:利用空字节缓冲区溢出获得$ 40,000的赏金 | 山姆咖喱(@samwcyo) | — | 空字节缓冲区溢出 | $ 40,000 | 2019/11/01 |
| 当在https://www.facebook.com/settings?tab=security§ion=sessions&view上注销设备时,Live Video facebook应用程序(Android)不会过期 | 诺法·塞普蒂亚迪 | Facebook | 逻辑缺陷 | $ 500 | 10/30/2019 |
| GraphQL内省会导致敏感数据泄露。 | 埃山·辛格(@ R0X4R) | — | 信息披露 | — | 10/30/2019 |
| Windows版Avast Desktop AntiVirus发行5,000美元XSS(是,台式机!) | Yoko Kho(@YokoAcc) | 阿瓦斯特 | 反映的XSS | $ 5,000 | 10/29/2019 |
| 跨站点请求伪造在受感染站点中具有关键可利用性吗? | 霍萨姆·梅斯巴(Hossam Mesbah) | — | CSRF | — | 10/29/2019 |
| XSS到帐户的接管 | 托米(@noobe_io) | — | XSS,CSRF | — | 10/29/2019 |
| [泄漏]请问可以获取用户信息吗?! | 穆罕默德·赛义德(@ FlEx0Geek) | — | 信息披露 | — | 10/29/2019 |
| 我如何在6小时内入侵50多家公司 | Vignesh C(@ pwn_r00t) | — | SSTI,RCE | — | 10/29/2019 |
| [Writeup-FB]通过作业申请页面的申请表崩溃Web-应用程序 | 天达 | Facebook | 拒绝服务 | — | 10/28/2019 |
| 在导致扩展操作(使用RTLO)的多个应用程序(包括Opera Mini)的下载功能中非法呈现 | Yoko Kho(@YokoAcc) | 歌剧 | 实时时钟 | — | 10/26/2019 |
| 如何对ldap服务器进行Takover。 | Ashish Kunwar(@ D0rkerDevil) | — | 公开的LDAP服务器 | — | 10/25/2019 |
| Facebook Creator App中的会话过期绕过 | Ajay Gautam(@evilboyajay) | Facebook | 会话过期绕过 | $ 1,500 | 2019/06/22 |
| 我如何通过查找包括纯文本密码的机密客户数据来赚取\(\)! | Sushant Soni(@ sushantsoni5392) | — | 目录清单,信息公开 | — | 10/24/2019 | |
| NFC Beaming绕过Android中的安全控制[CVE-2019-2114] | Nightwatch网络安全(@nightwatchcyber) | 谷歌 | NFC | — | 10/24/2019 | |
| (POC)披露任何封闭的Facebook组中的成员 | 艾哈迈德·塔拉赫姆(Ahmad Talahmeh) | Facebook | 信息披露 | $ 3,000 | 10/22/2019 | |
| [BUG BOUNTY]身份验证中的缺陷(Google名人堂) | 岘港Tri Atmaja(@danangtriatmj) | 谷歌 | 认证缺陷 | — | 10/21/2019 | |
| PayPal如何帮助我生成XSS | Pflash朋克(@PflashPunk) | 贝宝 | 反映的XSS | $ 250 | 10/20/2019 | |
| 像专业人士一样升级特权 | Gaurav Narwani(@ gauravnarwani97) | — | 特权提升 | — | 10/20/2019 | |
| 寻找赏金antihack.me案例研究 | 0xSha(@ 0xsha) | AntiHack.me | RCE,XSS,逻辑缺陷,信息泄露 | — | 10/20/2019 |
| 通过IDOR进行信息披露 | Pratyush Anjan Sarangi | — | IDOR,信息公开 | $ 750 | 10/18/2019 |
| 1-800-Flowers凭证和消息日志通过facebook.com/facebook泄漏 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | AWS错误配置 | — | 10/17/2019 |
| 我如何能够绕过Razer中的OTP代码要求[一个严重错误的故事] | 阿南达·达卡(@dhakal_ananda) | 雷蛇 | OTP旁路 | $ 1,000 | 10/16/2019 |
| 我如何找到RCE但被复制了 | 微笑黑客 | — | 不受限制的文件上传,RCE | — | 10/15/2019 |
| [撰写-Bugbounty Facebook]在Checkpoint中公开经过验证的电话号码。 | 天达 | Facebook | 信息披露 | $ 500 | 10/15/2019 |
| 我如何绕过2因素验证 | 赫曼特·辛格(Hemant Singh Manral) | — | 2FA旁路 | $ 250 | 10/15/2019 |
| 不一致的CSRF | Smaran Chand(@smaranchand) | — | CSRF | $ 0 | 10/15/2019 |
| 使用白盒分析快速查找SQL注入-一个最近的错误示例 | 壁画(@frycos) | 佐霍 | SQL注入 | — | 10/13/2019 |
| Whitehat测试帐户可以充当业务经理/广告帐户的隐藏管理员。 | 罗希特·库马尔(@rohitcoder) | Facebook | 授权缺陷 | — | 10/12/2019 |
| 绕过像PRO这样的大写过滤器(XSS高级方法) | MasterSEC(@MasterSEC_AR) | — | XSS | $ 1,000 | 10/11/2019 |
| 我如何入侵巴斯夫公司! | 默达达·卡米尔(Murtada Kamil) | 巴斯夫 | 缺乏认证 | — | 10/10/2019 |
| 未从上传的图像中剥离EXIF地理位置数据 | Sourav Newatia(@souravnewatia) | — | 信息披露 | $ 500 | 10/09/2019 |
| “侦察”如何帮助三星保护其三星电视,电子商务/电子商店的生产资料库 | 普拉泰克·蒂瓦里(Prateek Tiwari) | 三星 | 信息披露 | — | 10/05/2019 |
| 从多个IDOR导致不同主机容器上的代码执行 | 拉胡(@ Rahul_R95) | — | IDOR,RCE | — | 10/04/2019 |
| 我如何通过AT&T Bug Bounty(H1)赚了1000美元 | Adesh Nandkishor kolte(@AdeshKolte) | 美国电话电报公司 | CSRF,帐户接管 | $ 1,000 | 10/02/2019 |
| REST框架管理面板绕过以及如何解决此漏洞 | 阿齐兹·哈基姆(Aziz Hakim)(@ hackerb0y_) | — | 身份验证绕过 | — | 10/02/2019 |
| GraphQL自省会导致敏感数据泄漏。 | 普拉尼·巴夫纳(Pranay Bafna) | — | 信息披露 | — | 10/02/2019 |
| 如何在不具备Java知识的情况下在AEM实例上获取RCE | byq(@ByQwert) | — | RCE | $ 1,000 | 10/01/2019 |
| 使用Reflected XSS窃取登录凭据 | mehulpanchal007(@ 007_sharky) | — | 反映的XSS | $ 100 | 10/01/2019 |
| 查找隐藏的IDOR漏洞的一种方法 | Vulkey_Chen(@Vulkey_Chen) | — | IDOR | ¥3,000(〜$ 28) | 10/01/2019 |
| Bug搜寻:Cookie弹出警告时出现Xss | vict0ni(@ vict0ni) | — | 反映的XSS | — | 2019年9月30日 |
| 通过参数注入来发送短信 | 凯尔(@ B3nac) | — | 参数篡改 | $ 900 | 2019年9月29日 |
| XSS是Love <3! | 尼尔马尔·达哈尔(@TheNittam) | — | XSS | — | 2019年9月29日 |
| IDOR的故事 | Shivbihari Pandey(@ninja_pandit_) | — | IDOR | — | 2019年9月28日 |
| OnePlus开放/未验证的重定向和转发 | 迈纳克·萨杜汗(Mainak Sadhukhan) | 一个PLus | 开启重新导向 | — | 2019/09/26 |
| CVE-2019-14994分析– Jira服务台路径遍历导致大量信息泄露 | 山姆咖喱(@samwcyo) | Atlassian | 路径遍历 | $ 11,000 | 2019年9月25日 |
| 通过简单Google Dork在PayPal和Xoom(PayPal收购)上的信息披露-1,000美元 | YoKo Kho(@YoKoAcc) | 贝宝 | 信息披露 | $ 1,000 | 2019年9月24日 |
| 客户支持门户中的ONEPLUS XSS漏洞 | 迈纳克·萨杜汗(Mainak Sadhukhan) | 一个PLus | XSS | — | 2019年9月24日 |
| 模糊耕种 | Verneet(@ err0rrrrr) | — | 科学技术研究院 | — | 2019年9月23日 |
| 断链劫持-S3存储桶 | Tutorgeeks(@tutorgeeks) | 谷歌 | 链接劫持中断 | — | 2019年9月22日 |
| [Bug Bounty]通过查找RCE开发基于Cookie的XSS | 托米(@noobe_io) | — | 信息公开,SQL注入,身份验证绕过,不受限制的文件上传,RCE,XSS | — | 2019年9月22日 |
| [案例研究] OAuth配置错误导致帐户被接管 | 高朗·巴特纳加(@ 0xgaurang) | — | OAuth漏洞,帐户接管 | — | 2019/09/21 |
| Facebook Workplace特权升级漏洞可将帖子的隐私更改为公开 | 古汉·拉贾(@havocgwen) | Facebook | 特权提升 | $ 500 | 2019/09/21 |
| 简单绕过注册激活会导致许多错误- | YoKo Kho(@YoKoAcc) | — | 信息公开,IDOR,CSRF | — | 2019/09/21 |
| 错误或功能?GitHub冒险#001 | 多米尼克·奥皮德(@oad_earth) | — | OAuth漏洞,开放重定向 | $ 0 | 2019/09/21 |
| 通过Macro的PART 2将XSS存储在Zendesk中 | Hariharan.s(@ DJHARIZ1) | Zendesk | 储存的XSS | — | 2019年9月20日 |
| 一加中的IDOR会导致泄漏用户个人信息。 | 阿迪亚·夏尔马(Aditya Sharma)(@ Assass1nmarcos) | 一加 | IDOR | $ 0,赃物 | 2019年9月20日 | 存档内容 |
| 如何在私有程序中接管10个子域? | 穆罕默德·哈隆(@ m7mdharon) | — | 子域接管 | $ 500 | 2019年9月20日 |
| 通过Creative Hub重定向泄露企业ID | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 开启重新导向 | — | 2019年9月20日 |
| 管理员被海上冲浪海盗劫持 | Gaurav Narwani(@ gauravnarwani97) | 多利巴尔 | 存储的XSS,CSRF,帐户接管 | — | 2019年9月19日 | |
| SSRF | 从DownNotifier服务器读取本地文件 | 远博士(@ 3XS0) | — | SSRF | — | 2019年9月18日 |
| 带有烧瓶Jinja模板注入的RCE | AkShAy KaTkAr(@AkShAy KaTkAr) | — | SSTI,RCE | — | 2019年9月17日 |
| 客户,不是客户! | 东潘 | — | LFI | $ 1,000 | 2019年9月15日 |
| Google Referer泄漏错误 | Jayateertha Guruprasad(@JayateerthaG) | 谷歌 | 引荐来源泄漏,信息泄露 | — | 2019年9月15日 |
| 我如何发现一个简单而奇怪的帐户接管错误 | Bijan Murmu(@ 0xBijan) | — | 帐户接管,缺乏身份验证 | — | 2019年9月14日 |
| OTP操作 | Kishan choudhary(@ choudhary_1337) | — | OTP旁路 | $ 300 | 2019年9月14日 |
| 可能导致RCE的竞争状况-(一个带有应用程序的故事,该故事在将上传的文件移至Amazon S3之前的2秒内临时存储了该文件) | YoKo Kho(@YoKoAcc) | — | 竞争条件,RCE,无限制文件上传 | — | 2019年9月14日 |
| 我本可以破解所有Uber帐户-但我选择举报该帐户 | 阿南德·普拉卡什(@sehacure) | 优步 | 信息披露 | $ 6,500 | 2019年9月13日 |
| 两个死帐户如何允许任何instagram android用户远程崩溃 | Valerio Brussani(@val_brux) | Facebook | 拒绝服务 | — | 2019年9月13日 |
| 未经授权访问所有用户信息泄漏 | C1h2e1(@ C1h2e11) | — | 信息披露 | — | 2019年9月13日 |
| HTTP请求走私CL.TE | memN0ps(@ memN0ps) | — | HTTP请求走私 | — | 2019年9月13日 |
| 利用文件上传点。2 –价值$ 3k的RCE的故事。 | HackerOn2Wheels(@ HackerOn2Wheels) | — | RCE,无限制的文件上传 | $ 3,000 | 2019年9月13日 |
| Facebook员工内部工具和对话在Facebook视频中泄露 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息披露 | — | 2019/09/12 |
| 我怎么会入侵您的Uber帐户 | 阿南德·普拉卡什(@sehacure) | 优步 | 帐户接管,IDOR | $ 6,500 | 2019/09/12 |
| 我的侦察如何在15分钟内赢得$ 250 | Hein Thant Zin(@ H3Lowr) | — | 开启重新导向 | $ 250 | 2019/09/12 |
| 未经邀请同意,将用户添加到Facebook页面上的角色 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷 | — | 2019/09/12 |
| 将他们全部#BugBounty | 比拉尔·汗(@bilalmerokhel) | — | 主机头注入,密码重置漏洞 | — | 2019/09/11 |
| 订阅请求者列表,以使用MQTT加入Facebook实时视频 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷 | — | 2019/09/10 |
| H1-4420:从测验到管理员-链接两个0天以损害Uber WordPress | 朱利安·阿伦斯(@MrTuxracer) | 优步 | 存储的XSS,SQL注入 | — | 2019/09/10 |
| 电报解决了另一个隐私问题 | Dhiraj(@RandomDhiraj) | 电报 | 逻辑缺陷,隐私问题 | €2,500 | 2019/09/09 |
| 获得200万个Verizon Pay月度合同 | 戴利·比(@daley) | 威瑞森 | 信息公开,身份验证绕过,IDOR | — | 2019/09/09 |
| Oculus身份验证通过蛮力绕过 | karthik kumar reddy(@ karthiksunny007) | Facebook | OTP旁路,缺乏速率限制 | $ 750 | 2019/09/09 |
| Zoho Mail中的XSS | Anas Mahmood(@AnasIsHere) | Zoho Mail | XSS | $ 200 | 2019年9月8日 |
| 利用JSONP和绕过引荐检查 | Osama Avvan(@osamaavvan) | — | 信息泄露,JSONP漏洞 | — | 2019年9月7日 |
| 写出两个走私的HTTP请求 | C1h2e1(@ C1h2e11) | — | HTTP请求走私 | — | 2019年9月7日 |
| 在某人的报告中查找宝石:在HackerOne平台上即时获得500美元 | 久冈摩郎 | — | 信息披露 | $ 500 | 2019年9月7日 |
| 私有程序中基于DOM的XSS | 穆罕默德·哈隆(@ m7mdharon) | — | DOM XSS | $ 500 | 09/05/2019 |
| Readme.com帐户接管 | 安库什·高尔(@ 0xankush) | Readme.com | 密码重设漏洞 | $ 0 | 09/05/2019 |
| Jenkins在8个Adobe Experience Manager上向RCE公开 | 柯本·利奥(@hacker_) | — | RCE | — | 09/04/2019 |
| 添加具有管理员权限的新用户并接管组织 | 塔雷克·穆罕默德(@ Conan0x3) | — | 授权漏洞,权限提升 | — | 09/04/2019 |
| 使用路径遍历的RCE | inc0gbyt3(@incogbyte) | — | RCE,路径遍历 | — | 2019年9月2日 |
| HTML到PDF转换器的错误导致Facebook服务器中出现RCE | Samm0uda(@ samm0uda) | Facebook | RCE | $ 1,000 | 2019年9月2日 | 存档内容 |
| Google Cloud Blog平台漏洞 | Alexandru Coltuneac(@dekeeu) | 谷歌 | XSS | — | 2019/09/01 |
| Graphql Bug窃取任何人的地址 | Pratik Yadav(@ PratikY9967) | — | 信息泄露,GraphQL错误 | — | 2019/09/01 |
| 我的第一个LFI | 蒂莎·曼达尔(@tirtha_mandal) | — | LFI | $ 1,000 | 2019年8月31日 |
| Shodan是你的朋友!如果您不理him他,您将失去很多…… | Vijaysimha Reddy Bathini(@fatratfatrat) | — | SQL注入,身份验证绕过 | — | 2019年8月28日 |
| Firefox Lite for Android中的地址栏欺骗……以及随之而来的愚蠢行为 | Piyush Raj(@ 0x48piraj) | Mozilla | 地址栏欺骗,URL欺骗 | — | 2019年8月29日 |
| 如何寻找JS文件漏洞以获取乐趣和收益? | 耶瑟·阿拉法特(Yeasir Arafat) | — | 信息披露 | — | 2019年8月27日 |
| 私人错误赏金\(,\)$ USD:“ RCE作为Marathon-Mesos实例的根目录” | @omespino | — | RCE | — | 2019年8月27日 |
| 我如何再次入侵Instagram | Laxman Muthiyah(@LaxmanMuthiyah) | Facebook | 密码重设漏洞,帐户接管 | $ 10,000 | 2019年8月26日 |
| 错误赏金:绕过糟糕的WAF来利用盲目SQL注入 | 罗宾·沃顿(@robinverton) | — | 盲SQL注入 | — | 2019年8月25日 |
| 以Facebook专页分析师的身份创建起居室民意测验 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷 | $ 5,000 | 2019年8月24日 |
| 从Github侦查到帐户接管 | Dipak kumar Das(@ d1pakdas) | — | 信息披露,账户接管 | — | 2019年8月24日 |
| Cookie值得发财 | Gaurav Narwani(@ gauravnarwani97) | — | 反映的XSS | — | 2019年8月23日 | |
| 一个臭虫统统统治:现代Android密码管理器和FLAG_SECURE滥用 | 洛伦佐·斯特拉(@lorenzostella) | 1密码,守护者,达斯兰 | 信息泄露,内容泄露 | — | 2019年8月22日 |
| Rights Manager图形API商业员工向非商业员工的披露 | Jafar Abo Nada(@Jafar_Abo_Nada) | Facebook | 信息披露 | — | 2019年8月22日 |
| 不输入2FA即可重新激活Instagram帐户($ 500) | 阿曼·沙希德(@amansmughal) | Facebook | 2FA绕过,身份验证漏洞 | $ 500 | 2019年8月21日 |
| 以页面的形式发送消息是分析师/广告客户? | Baibhav Anand(@SpongeBhav) | Facebook | 授权缺陷 | $ 0 | 2019年8月21日 |
| 我如何通过在Facebook中发现错误来首次赚钱 | Aayush Pokhrel(@aayushpok) | Facebook | 授权缺陷 | — | 2019年8月21日 |
| 我如何将特权升级为Odnoklassniki的URL缩短器的管理员 | 谢尔盖·卡沙托夫(@ iframe0x01) | ok.ru | 特权提升 | $ 500 | 2019年8月20日 |
| Facebook Bug赏金:无需解锁设备即可阅读WhatsApp联系人列表 | 阿文德 | Facebook | 授权缺陷 | — | 2019年8月19日 |
| 美国国防部-信息披露和SQLi撰写 | 亚伦·埃索(@arinerron) | 美国国防部 | 信息公开,SQL注入 | — | 2019年8月19日 |
| 删除任何Facebook用户的个人资料照片 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | IDOR | $ 2,500 | 2019年8月19日 |
| 未经邀请同意将用户添加到Facebook页面上的角色中(重新访问) | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 逻辑缺陷,授权缺陷 | — | 2019年08月18日 |
| 仅用10分钟的赏金,如何才能赚取1000美元? | Ninad Mathpati(@ninad_mathpati) | — | 密码重设漏洞 | $ 1,000 | 2019年8月17日 |
| 绕过业务管理器中的域阻止功能修复 | 罗希特·库马尔(@rohitcoder) | Facebook | 授权缺陷,逻辑缺陷 | — | 2019年8月15日 |
| Facebook Messenger使用[为所有人删除]公开已删除的邮件 | 伦瓦(@ RenwaX23) | Facebook | 逻辑缺陷 | — | 2019年8月15日 |
| 使用社交登录收购BookMyShow帐户 | Sukhmeet Singh(@MadGuyyy) | BookMyShow | OAuth漏洞,帐户接管 | $₹2000(〜$ 28) | 2019年8月15日 |
| [业务逻辑]绕过昵称功能 | 肯特·拜伦(@bayronkentoy) | — | 逻辑缺陷 | $ 50 | 2019年8月14日 |
| [业务逻辑错误]绕过昵称功能 | 肯特·拜伦(Kent Bayron)/ KNTX(@bayronkentoy) | — | 逻辑缺陷 | $ 50 | 2019年8月14日 |
| BugBounty WriteUp —注意并获取存储的XSS | Oleksandr Opanasiuk(@ Lekssik2) | — | 储存的XSS | — | 2019年8月14日 |
| 我如何XSSed管理员帐户 | Gaurav Narwani(@ gauravnarwani97) | — | 存储的XSS,帐户接管 | — | 2019年8月13日 | |
| https:// app。[REDACTED] .com中的SSRF漏洞 | 埃文·里卡福特(@evanricafort) | — | SSRF | $ 0(重复) | 2019年8月13日 |
| 报告-Amazon 1单击设备XSS | Sneakerhax(@sneakerhax) | 亚马逊 | XSS | — | 2019年8月12日 |
| Google.org上的Clickjacking DOM XSS | 托马斯·奥尔利塔(@ThomasOrlita) | 谷歌 | 点击劫持,DOM XSS | — | 2019年8月12日 |
| 使用https:// [REDACTED] .com中的SVG文件的应用程序级别拒绝服务[DoS](编写) | 埃文·里卡福特(@evanricafort) | — | 拒绝服务 | $ 300 | 2019年8月10日 |
| Atlassian产品中的两个Easy RCE | 瓦列里·舍甫琴科(@ Krevetk0Valeriy) | Atlassian | RCE | — | 2019年8月9日 |
| 在https://support..com上阅读其他用户支持票证(编写) | 埃文·里卡福特(@evanricafort) | — | IDOR | $ 120 | 2019年8月9日 |
| 使用Api端点的权限提升 | 罗纳克·帕特尔(@ ronak_9889) | — | 特权提升 | — | 2019年8月9日 |
| 编写我的中型博客以完成帐户接管 | 罗腾·里斯(@rotem_reiss) | 中等的 | 存储的XSS,帐户接管 | $ 1,000 | 2019年8月9日 |
| 使用内部网络和PHP包装器开发带外XXE | Mahmoud Gamal(@ Zombiehelp54) | — | XXE | — | 2019年8月6日 |
| 使用内部网络和PHP包装器开发带外XXE | Mahmoud Gamal(@ Zombiehelp54) | — | XXE | — | 2019年8月6日 |
| BugBounty WriteUp-创意思维是我们的一切(种族条件+业务逻辑错误) | Oleksandr Opanasiuk(@ Lekssik2) | — | 竞争状况,逻辑缺陷 | — | 2019年8月5日 |
| 将XSS存储在LaporBug.id上 | rizal(@sayadarijawa) | LaporBug.id | 储存的XSS | — | 2019年8月5日 |
| 环聊聊天中的漏洞:从开放重定向到代码执行 | 漏洞实验室 | 谷歌 | 开放式重定向,RCE | $ 7,500 | 2019年08月04日 |
| 利用基于AngularJS的XSS进行特权升级 | 沙瓦·汗(@ShawarkOFFICIAL) | — | XSS,特权升级 | — | 2019年08月04日 |
| 我如何通过Shodan搜索找到XSS的 | D1vy4n5hu 5hukl4(@ justm0rph3u5) | — | 反映的XSS | — | 2019年08月04日 |
| 是否没有限制赏金的资格? | Smaran Chand(@smaranchand) | — | 缺乏速率限制 | — | 2019年8月3日 |
| 从子域接管到开放重定向 | 阿尼尔·汤姆(MR_4NK) | — | 子域接管,开放式重定向 | $ 150 | 2019年8月2日 |
| 一个Misconfig(JIRA)泄漏所有漏洞-包括NASA和数百家世界500强公司! | Avinash Jain(@ logicbomb_1) | — | 信息披露 | — | 2019年8月2日 |
| 绕过CORS | 漏洞实验室 | — | CORS配置错误 | — | 2019年8月1日 |
| 使用损坏的访问控制进行完整的信息披露 | Bhavesh Thakur(@Bhavesh_Thakur_) | — | 信息泄露,授权缺陷 | $ 100 | 2019年8月1日 |
| 下载任何业务的广告计划的预测详细信息。 | Samm0uda(@ samm0uda) | Facebook | IDOR | — | 2019年8月1日 | 存档内容 |
| Instagram服务器中的内部路径公开 | Samm0uda(@ samm0uda) | Facebook | 内部路径公开,信息公开 | — | 2019年8月1日 | 存档内容 |
| 访问Facebook移动零售商的门户,并查看收入和推荐报告。 | Samm0uda(@ samm0uda) | Facebook | IDOR,授权缺陷 | $ 500 | 2019年8月1日 | 存档内容 |
| 查看任何页面商店的订单和财务报告列表。 | Samm0uda(@ samm0uda) | Facebook | 授权缺陷 | $ 500 | 2019年8月1日 | 存档内容 |
| 绕过CORS | 萨阿德·艾哈迈德(@XSaadAhmedX) | — | CORS配置错误 | — | 2019年8月1日 |
| 使用Mustache模板的Ruby中的RCE | Rhys Elsmore(@rhyselsmore) | — | RCE | — | 2019年8月1日 |
| 重新发布[2017]:LinkedIn黑客的经验 | Alexandru Coltuneac(@dekeeu) | 领英 | 储存的XSS | — | 2019年7月30日 |
| 重新发布[2019]:为#fun和#profit入侵YouTube | Alexandru Coltuneac(@dekeeu) | 谷歌 | 授权缺陷 | — | 2019年7月30日 |
| Paypal错误$ 10K-所有二级用户帐户接管都会导致未经授权的情况下从Paypal商业帐户转移资金 | Mohd Haji(@ mohdhaji24) | 贝宝 | IDOR | $ 10,500 | 2019年7月30日 |
| 在private-site.com/login.php中进行SQL注入 | 穆罕默德·哈隆(@ m7mdharon) | — | SQL注入 | $ 0(超出范围) | 2019年7月30日 |
| 第一赏金故事| 奖励300 $(IDOR) | 赫里多伊 | — | IDOR | $ 300 | 2019年7月29日 |
| 通过电子邮件进行IDOR的故事 | Shuaib Oladigbolu(@_sawzeeyy) | — | IDOR | — | 2019年7月29日 |
| 旧的GitHub个人资料接管! | 穆罕默德·哈隆(@ m7mdharon) | — | Github帐户接管 | $ 1,000 | 2019/07/28 |
| 将缓存中毒链接到存储的XSS | 罗汉·阿格瓦尔(@nahoragg) | — | Web缓存中毒,存储的XSS | — | 2019/07/28 |
| 通过滥用Zomato.com上的局部参数进行Solr注入 | 罗纳克·帕特尔(@ ronak_9889) | 佐马托 | Solr注入 | $ 700 | 2019/07/27 |
| 关于Facebook Oauth帐户接管的故事 | Zerb0a | 乐天 | 帐户接管,OAuth漏洞 | IDR 2.000.000(〜$ 150) | 2019/07/26 |
| Facebook BugBounty:通过检查点公开用户电话号码的Instagram错误的故事 | Bijan Murmu(@ 0xBijan) | Facebook | 信息披露 | — | 2019/07/26 |
| 通过API参数更改任何用户的电子邮件和密码来完全控制帐户 | Adesh Nandkishor kolte(@AdeshKolte) | — | IDOR,密码重设漏洞,帐户接管 | — | 2019/07/26 |
| 布加拉帕克上的价格参数篡改 | Apapedulimu(@ LocalHost31337) | 布卡拉帕克 | 参数篡改 | $ 150 | 2019/07/24 |
| 如何在实时漏洞赏金活动中找到最严重的漏洞? | Lakshay(@ inn0c3ntd3v1L) | — | 密码重设漏洞,帐户接管 | — | 2019/07/24 |
| XSS到RCE… | 饿字节(@hungrybytes) | Github | XSS,RCE | — | 2019/07/24 |
| 通过Plex TV中的XML文件公开任何主要和第三方贡献者的电子邮件地址和电影本地路径-plex.tv(编写) | 埃文·里卡福特(@evanricafort) | Plex电视 | 信息公开,路径公开 | $ 0 | 2019/07/24 |
| 一天内从XX到XXX | Baibhav Anand(@SpongeBhav) | WePay,[私人程序] | 帐户接管,参数篡改 | — | 2019/07/23 |
| 创建子公司以访问ParentCompany的Slack团队 | Parth Malhotra(@Parth_Malhotra) | — | SQL注入,默认凭据 | — | 2019/07/23 |
| Twitter上的XSS [价值1120 $] | 旁路(@bywalkss) | — | XSS | $ 1,120 | 2019/07/22 |
| 在Ebay.com中反映了XSS | Sukhmeet Singh(@MadGuyyy) | 易趣 | 反映的XSS | $ 0,HoF | 2019/07/22 |
| 订阅任何Instagram用户的打字通知 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷 | $ 5,750 | 2019/07/21 |
| 不是花哨的错误,而是子句中的HTML注入-Clause.io(编写) | 埃文·里卡福特(@evanricafort) | 条款 | HTML注入 | $ 250 | 2019/07/21 |
| 购物产品具有免费参数篡改漏洞 | D1vy4n5hu 5hukl4(@ justm0rph3u5) | — | 参数篡改,付款篡改 | — | 2019/07/21 |
| 在LIMIT子句中利用Tricky Blind SQL Injection | 拉胡尔·迈尼(Rahul Maini) | — | SQL注入 | — | 2019/07/21 |
| 获取任何Facebook页面的页面收件箱通知 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷,信息泄露 | — | 2019年7月20日 |
| Microsoft ID打开重定向 | 燃烧器秒 | 微软 | 开启重新导向 | $ 0 | 2019/07/19 |
| Microsoft Office 365-Outlook XSS | 阿卜杜勒拉赫曼·卡班迪(@Qab) | 微软 | XSS | — | 2019/07/19 |
| 忘记密码功能中的SQL注入 | 哈立德·加伯(Khaled Gaber) | — | SQL注入 | — | 2019/07/18 |
| 如何将GitHub用户锁定在其回购协议之外(错误或功能?) | Teserakt AG | Github | 拒绝服务 | $ 0(功能) | 2019/07/18 |
| 基于ookie的XSS开发| 2300美元的Bug赏金故事 | 马克斯(@iSecMax) | — | XSS | $ 2,300 | 2019/07/17 |
| 帐户接管漏洞:) | 苏米特·贾因(@sumit_cfe) | — | 密码重设漏洞,帐户接管 | — | 2019/07/17 |
| Recon如何帮助我找到Facebook域名收购 | Sudhanshu Rajbhar(@ sudhanshur705) | Facebook | 子域接管 | $ 500 | 2019/07/17 |
| 来自Triage的Facebook信息错误 | 圈忍者(@circleninja) | Facebook | 缺乏速率限制 | $ 0 | 2019/07/17 |
| Facebook中Gmail和G-Suite的CSRF电子邮件确认漏洞 | Lokesh Kumar(@ lokeshdlk77) | Facebook | CSRF | $ 3,000 | 2019/07/16 |
| 拥有价值$ 1250的ClickJacking绕过CSRF | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | CSRF,点击劫持 | $ 1,250 | 2019/07/16 |
| Netcat,SMTP和自我XSS有什么共同点?储存的XSS | 全体会议(@plenumlab) | — | 储存的XSS | — | 2019/07/16 |
| 我如何在Tinder上获取任何人的Instagram用户名 | 沙哈尔·阿尔贝克(Shahar Albeck) | 火种 | 信息披露 | — | 2019/07/16 |
| 虫子藏在那里,一览无余 | Bug’z生活(@ abugzlife1) | — | IDOR,SSRF,信息泄露,CORS配置错误 | $ 9,000 | 2019年7月15日 |
| 500美元赏金:Slack上的中间人 | Wiard van Rij / Sysrant(@RijWiard) | 松弛 | MiTM | $ 500 | 2019年7月15日 |
| Facebook错误:具有JobManager权限的页面发送消息 | Devansh Batham(@devanshwolf) | Facebook | 授权漏洞,权限提升 | $ 0(重复) | 2019年7月15日 |
| [TOKOPEDIA]通过GraphQL请求进行站点范围的CSRF | 拉菲·穆罕默德(@ rafiem777) | Tokopedia | CSRF | — | 2019年7月15日 |
| 我如何能破解任何Instagram帐户 | Laxman Muthiyah(@LaxmanMuthiyah) | Facebook | 竞争条件,限速旁路 | $ 30,000 | 2019/07/14 |
| 破解我的挡风玻璃,并从特斯拉Bug赏金计划中赚取10,000美元 | 山姆咖喱(@samwcyo) | 特斯拉 | 盲XSS | $ 10,000 | 2019/07/14 |
| 入侵Tinder的高级模型 | Sanskar Jethi(@sansyrox) | 火种 | 授权缺陷 | $ 0 | 2019/07/14 |
| 收购Airbnb的帐户| 异常Bug第2部分? | PRince CHaddha(@princechaddha) | 爱彼迎 | IDOR,帐户接管 | 赃物 | 2019/07/13 |
| Facebook错误赏金页面管理员披露错误{Facebook Android应用} | Yusuf Furkan(@ h1_yusuf) | Facebook | 信息披露 | $ 500 | 2019/07/12 |
| Google自定义搜索引擎上的XSS | KL Sreeram(@kl_sree) | 谷歌 | XSS | — | 2019/7/11 |
| 我有史以来最大赏金的故事:詹金(Jenkin)的命令执行 | 杰伊·贾尼(@ JayJani007) | — | RCE | $ 8,000 | 2019/7/11 |
| SQL注入Bug赏金POC! | 阿里夫特-ITSEC111 | — | SQL注入 | €5,000 | 2019/7/11 |
| 帐户收购的故事-敏感信息披露+损坏的访问控制 | Md Saqib(@ sakyb7) | — | IDOR,帐户接管 | $ 2,650 | 2019/07/10 |
| 使用1-char Open Redirect进行Airbnb采集的OAuth身份验证绕过 | 叶夫根尼·雅可夫(Evgeniy Yakovchuk)(@ h1_sp1d3r) | 爱彼迎 | 开放式重定向,OAuth令牌盗窃,帐户接管 | — | 2019/07/10 |
| 网页的恶意编辑者可以支持社区行为,而管理员不支持这种行为! | 马什拉夫 | Facebook | 授权缺陷 | — | 2019/07/09 |
| 通过错误配置的AWS到AWS Bucket Takeover的信息披露 | Pratyush Anjan Sarangi | — | AWS缺陷 | — | 2019年7月8日 |
| LocalStorage(Writeup)中的明文密码 | ruvlol | — | 违反安全设计原则 | $ 1,500 | 2019/07/07 |
| 盲(基于时间)SQLi-错误赏金 | 斯平 | — | SQL注入 | — | 2019年7月5日 |
| 这就是我设法通过Facebook Bug Bounty赢得$ 2000的方式 | Saugat Pokharel(@ saugatpk5) | Facebook | 逻辑缺陷 | $ 2,000 | 2019年07月04日 |
| Facebook漏洞:facebook页面事件中不可移动的共同主持人 | 里蒂什·库玛·辛格(Ritish Kumar Singh) | Facebook | 逻辑缺陷,DoS | $ 500 | 2019年07月04日 |
| 使用CSRF的帐户接管(基于json) | shub rathore(@ shub66452) | — | CSRF,帐户接管 | $ 1,000 | 2019年07月04日 |
| 存储的xss到完整帐户接管漏洞的故事(不适用,已接受) | 贾廷(Jatin)审美(@techyfreakk) | — | 储存的XSS | — | 2019年07月04日 |
| 寻找隐藏的宝石卷。4:Rakefile又名如何再次获取AWS密钥 | Mateusz Olejarka(@molejarka) | — | 信息泄露,Github泄漏 | — | 2019/07/03 |
| 是的!我在一分钟内得到P2-通过Markdown编辑器存储XSS | Schopath | — | 储存的XSS | — | 2019/07/02 | |
| 将{{6 * 200}}注入$ 1200 | Gaurav Narwani(@ gauravnarwani97) | — | 科学技术研究院 | $ 1,200 | 2019/07/02 | |
| Google Chrome中的另一个下载保护绕过– Mac OS中的BIN文件 | Nightwatch网络安全(@nightwatchcyber) | 谷歌 | 浏览器缺陷 | $ 1,000 | 2019/07/02 | |
| 我如何将RFI升级为LFI | 哈桑·汗·尤素福扎(@ Splint3r7) | — | RFI,LFI | — | 2019/07/01 |
| 偶然IDOR | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | IDOR | — | 2019/07/01 |
| 将XSS存储在确实 | 蒂莎·曼达尔(@tirtha_mandal) | 的确 | 储存的XSS | $ 1,500 | 2019年6月30日 |
| 另一个参数操作错误(?) | Kanchan Singh Yadav(@ KanchanSingh0) | — | 参数篡改 | — | 2019/06/28 |
| Facebook BugBounty:Page管理员披露中的简短故事 | Bijan Murmu(@ 0xBijan) | Facebook | 授权漏洞,权限提升 | — | 2019/06/28 |
| Nuget / Squirrel不受控制的端点导致任意代码执行 | Reegun J(@ reegun21) | 微软 | RCE | — | 2019/06/28 |
| 通过Gopher协议使用SSRF获得adfly SMTP访问 | Zerb0a | 适度地 | SSRF | — | 2019年5月27日 |
| 查看任何Facebook Trivia游戏的Facebook支出 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息披露 | $ 0(资料性) | 2019年5月27日 |
| Virgool.io中的一键式帐户接管—一个很好的案例研究 | Yasho(@YShahinzadeh) | 处女座 | 帐户接管,打开重定向 | — | 2019/06/27 |
| CORS攻击CSRF | Osama Avvan(@osamaavvan) | — | CORS配置错误,CSRF | — | 2019/06/27 |
| 以非成员身份切换组规则协议 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷 | — | 2019/06/26 |
| 敏感信息泄露:Web缓存欺骗攻击 | 瓦西姆·谢赫(Wasim Shaikh)(@Wa_sim_sim) | 直觉 | 信息披露 | $ 0,HoF | 2019/06/26 |
| 下载.arexport文件以获取任何公共AR Studio效果 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | IDOR | — | 2019/06/24 |
| 注释部分的CSV注入。 | Navneet(@ na5n33t) | — | CSV注入 | $ 0(VDP) | 2019/06/24 |
| 密码重置漏洞—完全帐户接管(不安全的直接对象参考) | 穆罕默德·阿西姆·沙扎德(Muhammad Asim Shahzad) | — | 密码重设漏洞,IDOR,帐户接管 | $ 1,200 | 2019/06/22 |
| 页面管理员披露| Facebook Bug赏金2019 | Ajay Gautam(@evilboyajay) | Facebook | 授权缺陷 | $ 1,000 | 2019/06/22 |
| 我如何破解Microsoft Outlook Android应用程序并发现CVE-2019-1105 | 布莱恩·阿普比(@bryapp) | 微软 | XSS | — | 2019/06/21 |
| 捕捉来自我的互联网服务提供商的支持电子邮件 | 桑德·伦特克 | T移动 | 电子邮件帐户接管 | $ 0(VDP),赃物 | 2019/06/21 |
| 价值1800美元的Clickjacking | Osama Avvan(@osamaavvan) | — | 点击劫持 | $ 1,800 | 2019/06/21 |
| 关于Sucuri RCE…以及如何不处理Bug赏金报告 | 朱利安·阿伦斯(@MrTuxracer) | 苏库里 | RCE | $ 750 | 2019/06/22 |
| IDOR:付款欺诈 | Vibhurushi Chotaliya(@ Vibhurushi) | — | IDOR,篡改付款 | — | 2019年6月20日 |
| 自我XSS转Evil XSS | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | XSS | $ 0 | 2019年6月20日 |
| 为重复的标记错误而战:BBC名人堂的故事 | 瓦西姆·谢赫(Wasim Shaikh)(@Wa_sim_sim) | 英国广播公司 | XSS | $ 0(HoF) | 2019年6月20日 |
| 经典XSS如何导致持久性ATO漏洞? | Milind Purswani(@MilindPurswani)和Yash Sodha(@y_sodha) | — | XSS,帐户接管 | — | 2019/06/19 |
| Facebook漏洞:facebook团体活动中不可移动的共同主持人 | 里蒂什·库玛·辛格(Ritish Kumar Singh) | Facebook | 逻辑缺陷 | $ 500 | 2019/06/19 |
| 带有Clickjacking的帐户接管 | Osama Avvan(@osamaavvan) | — | 点击劫持 | — | 2019/06/19 |
| XSS过滤器规避 | m0z(@LooseSecurity) | — | XSS | — | 2019/06/17 |
| 业务用户员工可能已将阻止列表应用于业务经理中列出的所有广告帐户。 | 罗希特·库马尔(@rohitcoder) | Facebook | 授权缺陷,逻辑缺陷 | $ 500 | 2019/06/17 |
| Tokopedia火车票中反映的XSS | 乔恩·博塔里尼(@jon_bottarini) | 新遗物 | 反映的XSS | IDR 3.000.000(〜$ 212) | 2019/06/17 |
| 使用Burp Suite匹配和替换设置来升级您的用户权限并查找隐藏的功能 | 乔恩·博塔里尼(@jon_bottarini) | 新遗物 | 客户端对服务器端安全性的实施 | $ 500 | 2019/06/17 |
| API中的参数污染问题导致$ XXX | Smaran Chand(@smaranchand) | — | 参数污染 | — | 2019/06/17 |
| SQl注射 | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | SQl注射 | $ 500 | 2019/06/17 |
| 绕过XSS过滤器并窃取用户付款数据 | Osama Avvan(@osamaavvan) | — | XSS | $ 0(重复) | 2019/06/17 |
| 密码绕过和其他… | Vibhurushi Chotaliya(@ Vibhurushi) | — | 身份验证绕过 | $ 600 | 2019年6月16日 |
| 由于Amazon S3存储桶配置错误,我如何在短短15分钟内赚取1,500美元? | 穆罕默德·阿西姆·沙扎德(Muhammad Asim Shahzad) | 投寄箱 | AWS缺陷 | $ 1,500 | 2019年6月16日 |
| 价值900美元的帐户接管 | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | 帐户接管,CSRF | $ 900 | 2019年6月16日 |
| 窃取Cookies可以在任何帐户中登录 | Osama Avvan(@osamaavvan) | — | Cookie盗窃 | $ 900 | 2019年6月16日 |
| 错误赏金-通过错误消息+ WAF绕过信息披露导致本地文件包含 | Λявєη(@spenkkkkk)和ÇlirimEmini(@ 0xcela) | — | WAF旁路,LFI,信息公开 | — | 2019年06月15日 |
| 完整的Web服务器访问 | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | 不受限制的文件上传,RCE | $ 500 | 2019年06月15日 |
| 重新审视全屏API攻击和FaceBook NA故事 | 圈忍者(@circleninja) | Facebook | 全屏API攻击 | $ 0(不适用) | 2019年06月15日 |
| XSSing Google员工-googleplex.com上的XSS盲目 | 托马斯·奥尔利塔(@ThomasOrlita) | 谷歌 | 盲XSS | — | 2019年06月15日 |
| 管理员帐户总信息披露 | Nishant Saurav(@inishantsinha) | — | 源代码公开,信息公开 | $ 200 | 2019年06月15日 |
| IDOR —帐户接管 | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | IDOR | $ 500 | 2019年6月14日 |
| 花费我们的周六黑客活动如何为我们赚了2万 | Matti Bijnens(@MattiBijnens) | — | IDOR | $ 20,000 | 2019年6月14日 |
| IDOR —帐户接管 | 喷油器Pca / SaadAhmed(@XSaadAhmedX) | — | IDOR | — | 2019年6月14日 |
| 链接不当授权以争用状况以获取信用卡详细信息:Bug赏金故事 | Mandeep Jadon(@ 1337tr0lls) | — | 授权缺陷,竞赛条件 | — | 2019年6月13日 |
| Redstrom拒绝服务—撰写 | Zerb0a | — | 拒绝服务 | $ 0,赃物 | 2019年06月12日 |
| 在错误页面上反映了XSS | 托米(@noobe_io) | — | 反映的XSS | — | 2019年6月11日 |
| Facebook漏洞:工作流中/被黑客入侵的用户不友好 | 里蒂什·库玛·辛格(Ritish Kumar Singh) | Facebook | 逻辑缺陷 | $ 1,500 | 2019年6月11日 |
| 使用IDOR的帐户接管以及错误403的误导性情况。 | 全体会议(@plenumlab) | — | IDOR | — | 2019年6月11日 |
| IDOR导致项目接管 | Hariharan.s(@ DJHARIZ1) | — | IDOR | — | 2019/06/09 |
| 不要小看错误,他们可以提供良好的$$赏金! | 阿迪亚·夏尔马(Aditya Sharma)(@ Assass1nmarcos) | 曼巴舞 | 信息公开,路径公开 | $ 200 | 2019/06/07 |
| 我如何通过盲目XSS获得私人票务回复面板和FortiGate Web面板 | Bijan Murmu(@ 0xBijan) | — | 盲XSS | $ 1,250 | 2019年06月06日 |
| Microsoft Edge扩展主机权限绕过(CVE-2019-0678) | 尼基尔·米塔尔(@ c0d3G33k) | 微软 | 浏览器错误 | $ 15,000 | 2019年06月06日 |
| Unicode vs WAF — XSS WAF绕过 | 普里尔·伊斯兰·汗(@ prial261) | — | XSS | — | 2019年6月5日 |
| 通过策略注入绕过CSP | Gareth Heyes(@garethheyes) | 贝宝 | CSP旁路 | $ 900 | 2019年6月5日 |
| 远程执行代码!con侦察胜利 | Vishnuraj KV | — | RCE | — | 2019年6月4日 |
| 将多个影响较小的错误链接到在GitLab中读取的任意文件 | 李荣喜(@nyan_gawa) | GitLab | 目录遍历 | — | 2019年6月4日 |
| 简单的路径遍历 | fr0stNuLL | — | 路径遍历 | — | 2019年6月3日 |
| 游戏商店缺少访问控制 | Vishwaraj Bhattrai(@ vishwaraj101) | 谷歌 | 授权缺陷 | — | 2019年6月3日 |
| 状态码的异常情况-301重定向到AWS安全凭证会受到影响 | Avinash Jain(@ logicbomb_1) | — | RFI,SSRF | — | 2019年6月2日 |
| 基于uri的xss和一些简单的Google Dorking的故事 | 贾廷(Jatin)审美(@techyfreakk) | — | XSS | — | 2019年6月2日 |
| Edmodo帐户停用漏洞 | 香卡河 | 埃德莫多 | CORS配置错误 | $ 0 | 2019/06/01 |
| 我的第一个CSRF到帐户接管价值$ 750 | Nishant Saurav(@inishantsinha) | — | CSRF,帐户接管 | $ 750 | 2019年5月30日 |
| 利用文件上传点。1 – MIME嗅探到存储的XSS #bugbounty | HackerOn2Wheels(@ HackerOn2Wheels) | — | 存储的XSS,MIME嗅探 | — | 2019年5月30日 |
| 将XSS存储在Edmodo上 | Rohit Verma(@ rv0x00) | 埃德莫多 | 储存的XSS | — | 2019年5月28日 |
| 源代码泄露漏洞 | Mohamed R.Serwah(@mohamedrserwah) | — | 源代码公开 | — | 2019年5月27日 |
| 未利用的CORS错误配置反映了更多问题。 | Smaran Chand(@smaranchand) | — | CORS配置错误 | — | 2019年5月27日 |
| 我如何绕过Custom Brute Force保护?为什么该解决方案不是一个好主意? | 多尔兹 | — | 暴力破解,身份验证漏洞 | — | 2019年5月25日 |
| 公开来自Facebook内部CDN的文件内容 | Samm0uda(@ samm0uda) | Facebook | 弱加密 | $ 12,500 | 2019年5月25日 | 存档内容 |
| Google错误赏金:“ springboard.google.com”中生产服务器上的LFI — $ 13,337 USD | 漏洞实验室 | 谷歌 | LFI | $ 13,337 | 2019年5月24日 |
| 由于固定授权令牌,出现多个API问题。 | 穆斯塔法·汗(@ by6153) | — | 授权缺陷 | — | 2019年5月24日 |
| 从文件上传到电子邮件:通过 | fr0stNuLL | — | 不受限制的文件上传 | — | 2019年5月24日 |
| 登台域上的安全评估 | Tutorgeeks(@tutorgeeks) | — | 缺乏认证 | — | 2019年5月24日 |
| 在Travis CI构建日志中找到带有public_scope的Instagram GitHub令牌 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息披露 | $ 0(资料性) | 2019年5月24日 |
| 我如何通过投资99美分来获得XXX美元的赏金 | Smaran Chand(@smaranchand) | — | 逻辑缺陷 | — | 2019年5月24日 |
| 逐步升级子域接管,以通过滥用document.domain来窃取Cookie | Ameya(@iamTakeMyHand) | 邮递员 | 子域接管 | — | 2019年5月23日 |
| 从电子邮件地址确定Facebook用户 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息披露 | $ 1,000 | 2019年5月22日 |
| Google Adwords(特权升级):只读用户,可以通过关联帐户添加YouTube频道 | 家庭人 | 谷歌 | 权限提升,授权漏洞 | — | 2019年5月21日 |
| peering.google.com中的本地文件包含 | Jafar Abo Nada(@Jafar_Abo_Nada) | 谷歌 | LFI | $ 3,133.7 | 2019年5月21日 |
| 使用“-摆在您面前的错误”泄漏OpenID令牌 | Zseano(@zseano) | — | OpenID漏洞 | — | 2019年5月21日 |
| 写起来– Google BUG赏金:“ springboard.google.com”中生产服务器上的LFI – $ 13,337 USD | @omespino | 谷歌 | LFI | $ 13,337 | 2019年5月21日 |
| 打开重定向到帐户接管。 | 瑞沙(@ __密码__) | — | 打开重定向,帐户接管 | — | 2019年05月19日 |
| base64编码的参数。 | Navneet(@ na5n33t) | — | HTML注入 | $ 75 | 2019年05月19日 |
| XSSed我的方式达到1000美元 | Gaurav Narwani(@ gauravnarwani97) | — | XSS | $ 1,100 | 2019年5月17日 | |
| 从Slack用户窃取下载 | 戴维·威尔斯 | 松弛 | CSRF | — | 2019年5月17日 |
| 绕过Instagram的故事限制 | Baibhav Anand(@iBaibhavJha) | Facebook | 逻辑缺陷 | $ 500 | 2019年5月17日 |
| XSS的“ Try-Harder” | 弗朗斯·亨德里克·博特斯(@initroott) | — | 反映的XSS | — | 2019年5月17日 |
| 从参数污染到XSS | 摩门巴塞尔 | — | 参数污染,XSS | — | 2019年05月16日 |
| 您无需运行80个侦查工具即可访问用户帐户 | Stefano Vettorazzi(@stefanohablando) | — | 开启重新导向 | — | 2019年5月15日 |
| MIME嗅探XSS是真的吗?[奇怪的Google Bug赏金的故事] | 科莫多安全 | 谷歌 | 存储的XSS,MIME嗅探 | — | 2019年5月15日 |
| 超越范围思考:先进的CORS开发技术 | 阿尤布(@ sandh0t) | — | CORS配置错误 | $ 1,500 | 2019年5月14日 |
| 将XSS存储在Techprofile Microsoft上 | 穆罕默德·阿里·萨里亚夫(Mohammad Ali Syarief) | 微软 | 储存的XSS | — | 2019/05/09 |
| * .stripe.com中的盲SSRF由于哨兵配置错误 | Oktavandi(@ 0ktavandi) | 条纹 | 盲SSRF | — | 2019/05/09 |
| 用于公司帐户接管的4个CSRF链接 | Bug’z生活(@ abugzlife1) | — | CSRF,帐户接管 | $ 3,000 | 2019年5月8日 |
| pcextreme.nl假错误赏金 | 丹尼尔·马克西莫维奇(Daniel Maksimovic) | pcextreme.nl | SSRF,XSS | $ 0(已承诺但未交付的150€+ 150€平台信用额) | 2019年5月8日 |
| 通过用户代理进行SQL注入 | fr0stNuLL | — | SQL注入 | — | 2019年5月8日 |
| 子域收购[奖励$ 200] | 友善(@SkeletorKeys) | 自己的云 | 子域接管 | $ 200 | 2019年5月7日 |
| 服务器端请求伪造(SSRF){端口问题隐藏方法} | 迪帕克·霍拉尼(Deepak Holani)(@w_hat_boy) | — | SSRF | — | 2019年5月3日 |
| 糟糕的Twitter XSS的故事 | @ 0xSobky | 推特 | XSS | $ 2,940 | 2019年5月2日 |
| 为什么不应该为您的Linode帐户使用密码管理器 | @ 0xSobky | 利诺德 | 帐户接管,信息披露 | — | 2019年5月2日 |
| Googlebot的XSS攻击允许搜索索引操纵 | 汤姆·安东尼(@TomAnthonySEO) | 谷歌 | 逻辑缺陷 | — | 2019/05/01 |
| 使用URL协议在Microsoft Edge上远程执行代码 | 马特harr0ey(@ harr0ey) | 微软 | RCE | $ 0(不适用) | 2019/05/01 |
| 从不适用到$ 3000:Facebook的URL欺骗漏洞 | 拉胡尔·坎克拉尔(@RahulKankrale) | Facebook | 网址欺骗 | $ 3,000 | 2019年4月30日 |
| 从反映的XSS到帐户接管—显示XSS的影响 | Bug’z生活(@ abugzlife1) | — | 反映了XSS,帐户接管 | — | 2019年4月30日 |
| 不要跟随大众:JavaScript引擎中的错误查找 | Dimitri Fourny(@dimitrifourny) | 谷歌 | 缓冲区溢出 | $ 7,500 | 2019年4月29日 | |
| 两因素身份验证绕过 | Gaurav Narwani(@ gauravnarwani97) | — | 2FA旁路 | — | 2019年4月29日 | |
| 权限遭到破坏:通过论坛中的任何用户发布到Google私人论坛 | 埃尔伯·安德烈(@ Elber333) | 谷歌 | 自动化缺陷 | $ 0(不适用) | 2019年4月27日 |
| 使用Cookie轰炸拒绝服务 | 罗纳克·帕特尔(@ ronak_9889) | — | DoS,Cookie炸弹 | $ 350 | 2019年4月26日 |
| 如何使用HTTP标头绕过2FA | 由美 | — | 2FA旁路 | — | 2019年4月26日 |
| 对于贝宝(PayPal)安全团队而言,“获取用户余额和交易明细”不是一个漏洞! | 托达罗(@ tod4ro) | 贝宝 | 信息披露 | $ 0(不适用) | 2019年4月26日 |
| 删除Marketing API的App Review时缺少授权检查 | 家庭人 | Facebook | 授权缺陷 | — | 2019年4月25日 |
| 通过XSS窃取本地存储数据 | Harshad Gaikwad(@ h4rsh4d) | — | 存储的XSS,帐户接管 | $ 800 | 2019年4月25日 |
| 从Web缓存+防火墙绕过SSRF到AWS凭证的过程受到威胁! | Avinash Jain(@ logicbomb_1) | — | LFI,SSRF,Cloudflare旁路 | — | 2019年4月25日 |
| CSRF攻击可能导致存储XSS | 穆罕默德·赛义德(@ FlEx0Geek) | — | CSRF,存储的XSS | — | 2019年4月25日 |
| 窃取数据的图片 | 谢尔盖·卡沙托夫(@ iframe0x01) | — | 信息披露 | — | 2019年04月24日 |
| 从GitHub点文件存储库访问Zendesk的Google Cloud和Artifactory | Ruby Nealon(@_ruby) | Zendesk | 信息披露 | $ 3,000 | 2019年4月23日 |
| Facebook的盗窃购物清单 | 约翰·莫斯(@ x41x41x41) | Facebook | 信息披露 | $ 5,000 | 2019年4月23日 |
| 被忽略的漏洞可能感染所有付费潜在客户广告的Facebook用户。 | 赫舍姆·瓦塔尼 | Facebook | CSV注入 | $ 0(超出范围) | 2019年4月23日 |
| 在注销中滥用CSRF的其他示例 | Soroush Dalili(@irsdl) | — | CSRF | — | 2019年4月23日 |
| [XSS]反射式XSS旁路滤镜 | 穆罕默德·赛义德(@ FlEx0Geek) | — | 反映的XSS | — | 2019年4月23日 |
| 公开内部Facebook Javascript模块的内容。 | Samm0uda(@ samm0uda) | Facebook | 授权缺陷 | — | 2019年4月22日 | 存档内容 |
| Ssrf读取本地文件并滥用AWS元数据 | Pratik Yadav(@ PratikY9967) | — | SSRF | — | 2019年4月21日 |
| [确认通行证] | Navneet(@ na5n33t) | — | 电子邮件确认绕过,信息泄露 | $ 0(VDP) | 2019年4月21日 |
| Twitter-受保护的推文曝光 | terjanq(@terjanq) | 推特 | 信息披露 | $ 560 | 2019年4月19日 |
| 负责任的披露:Gitlab私有项目中的访问控制不当。 | 里卡多·帕多瓦尼(@ rpadovani93) | GitLab | 授权缺陷 | $ 2,000 | 2019年4月19日 |
| 吓人门票? | 铀238(@uraniumhacker) | — | 票务技巧 | — | 2019年4月19日 |
| PDFReacter SSRF到ROOT级本地文件读取,从而导致RCE | Armaan Pathan(@armaancrockroax) | — | SSRF,RCE | — | 2019年4月18日 |
| 代码执行-Evernote | Dhiraj(@mishradhiraj_) | 印象笔记 | RCE,路径遍历 | — | 2019年4月17日 |
| 我如何能够绕过HackerOne私人程序的XSS保护 | 安全执行代码BugHunter | — | XSS | — | 2019年4月16日 |
| 横幅广告争夺DoS和内存损坏 | 丹尼尔五(@ d4niel_v) | — | DoS,信息公开 | — | 2019年4月16日 |
| 5000美元的IDOR… | 哈克先生(@ mr_hacker0007) | — | IDOR | $ 5,000 | 2019年4月16日 |
| 我如何找到凭证丰富的Redis转储 | Ashish Kunwar(@ D0rkerDevil) | — | 文件公开,信息公开 | $ 0 | 2019年4月16日 |
| 只需5分钟即可在Edmodo.com上获取我的第二个存储的XSS | 紫山AdThandar(@ZishanAdThandar) | 埃德莫多 | 储存的XSS | $ 0,赃物 | 2019年4月15日 |
| 我如何入侵自动贩卖机 | 瓦列里·舍甫琴科(@ Krevetk0Valeriy) | — | 违反安全设计原则 | €300礼品卡 | 2019年4月15日 |
| Google网上论坛授权绕过 | 丹尼尔·马拉德(Daniel Marad) | 谷歌 | 授权缺陷 | $ 500 | 2019年4月15日 |
| Outlook Winner是Dash | marcan2020(@ marcan2020) | 微软 | 授权缺陷 | $ 0(不适用) | 2019年4月15日 |
| 我如何访问数千家Shopify商店的收入和流量数据 | Ayoub Fathi(@ ayoubfathi) | Shopify | IDOR | $ 0(违反政策) | 2019年4月15日 |
| 使用缓存的令牌头对API端点进行Web缓存欺骗攻击 | Kunal Pandey(@ kunalp94) | — | Web缓存欺骗 | $ 250 | 2019年04月13日 |
| [RCE]在api.PrivateProgram.com(CVE-2017-5638)上的远程代码执行 | 穆罕默德·哈隆(@ m7mdharon) | — | RCE | $ 2,250 | 2019年04月12日 |
| 通过HTTP泄漏进行未经身份验证的帐户接管 | 尼克·斯里瓦斯塔瓦(@niksthehacker) | — | HTML注入,HTTP泄漏,帐户接管 | — | 2019年4月11日 |
| 通过链接两个漏洞进行帐户接管。 | 谢拉兹·哈立德(Sheraz Khalid) | — | CSRF,开放式重定向,帐户接管 | — | 2019年04月10日 |
| 在多XSS * .skype.com和在多XSS * .skype.com(2) | Jayateertha Guruprasad(@JayateerthaG) | 微软 | XSS | $ 0,HoF | 2019年04月10日 |
| Spokeo Bug赏金体验 | 努尔·阿拉姆·迪普(Nur A Alam Dipu) | Spokeo | XSS | $ 0(无法复制) | 2019年04月10日 |
| Dell KACE K1000远程执行代码-错误K1–18652的故事 | 朱利安·阿伦斯(@MrTuxracer) | Dropbox(Dell KACE供应商) | RCE | — | 2019年4月9日 |
| SSRF技巧:Microsoft Bing Webmaster Central中的SSRF / XSPA | 埃尔伯·安德烈(@ Elber333) | 微软 | SSRF,XSPA | — | 2019年4月9日 |
| 使用Moodle功能和小错误获取XSS | 丹尼尔·撒切尔 | 面条 | 登录CSRF,XSS | $ 0(VDP) | 2019年4月9日 |
| 使用Moodle功能和小错误获取XSS | 丹尼尔·撒切尔 | — | CSRF | — | 2019年4月9日 |
| XSS“ 403禁止”旁路(Akamai安全)写 | 安全执行代码BugHunter | — | XSS | — | 2019年4月8日 |
| 我如何通过赏金赏金前往阿姆斯特丹 | Ninad Mathpati(@ninad_mathpati) | — | 蛮力 | — | 2019年4月7日 |
| 古老而金色的点缀斜线以示旗帜— Uber Microservice | 陈荣(@ngalongc) | 优步 | SSRF,路径遍历,帐户接管 | — | 2019年4月7日 |
| IKEA.com上的电子邮件内容欺骗 | 乔纳森·布曼(@JonathanBouman) | 宜家 | 电子邮件内容欺骗 | $ 50 | 2019年4月6日 |
| Edmodo — IDOR以查看任何类的私有文件 | 罗汉·佩奇(@ rohan_x3) | 埃德莫多 | IDOR | — | 2019年4月6日 |
| Burp Suite上游代理中的可怕错误使黑客能够黑客入侵 | Armaan Pathan(@armaancrockroax) | 斯威格港 | MiTM | — | 2019年4月6日 |
| Google Ads —通过空指针异常进行信息披露 | Valerio Brussani(@val_brux) | 谷歌 | 信息披露 | — | 2019年04月04日 |
| Shopify应用程序中的车把模板注入和RCE | Mahmoud Gamal(@ Zombiehelp54) | Shopify | SSTI,RCE | 10,000 | 2019年04月04日 |
| IKEA.com泄漏的Salesforce API访问令牌 | 乔纳森·布曼(@JonathanBouman) | 宜家 | 信息披露 | $ 250 | 2019年04月04日 |
| DownNotifier SSRF | _m_q_t(@_m_q_t) | DownNotifier | SSRF | — | 2019年04月04日 |
| 我如何能够劫持你。 | terjanq(@terjanq) | 谷歌 | 逻辑缺陷 | — | 2019年4月3日 |
| Facebook漏洞:在/ hacked工作流程中隐藏在Facebook Page Admin中 | 里蒂什·库玛·辛格(Ritish Kumar Singh) | Facebook | 逻辑缺陷 | $ 1,000 | 2019年04月02日 |
| FileZilla不受信任的搜索路径和FileZilla’fzsftp’不受信任的搜索路径 | 克里斯·林恩(@lynerc) | FileZilla(EU-FOSSA 2) | RCE | — | 2019年04月02日 |
| 我如何能够获得您的Facebook私人朋友列表[负责任的披露] | 拉贾·塞卡·杜赖拉伊 | Facebook | 信息披露 | $ 10,000 | 2019年4月1日 |
| EdM0d0 IDOR漏洞 | Pratyush Anjan Sarangi | 埃德莫多 | IDOR | $ 0,赃物 | 2019年4月1日 |
| 禁止使用逗号!不用担心!!插入没有它的插入/更新查询 | 艾哈迈德·苏丹(@ 0x4148) | — | SQL注入 | $ 10,000 | 2019/03/31 | |
| 只需2分钟即可完成侦查,轻松获得$ 250 | 密码学家 | Snapchat | 缺少安全标志 | $ 250 | 2019/03/31 | |
| 我如何将自我xss转换为反射的xss | Hein Thant Zin(@ H3Lowr) | — | 反映的XSS | $ 300 | 2019/03/31 |
| 警报(“ 3 XSS的故事!”) | Gaurav Narwani(@ gauravnarwani97) | — | XSS | — | 2019/03/29 | |
| 我的第一个错误:一个可怕的骗子,然后是一个IDOR大奖! | 约翰H4X00R(@ JohnH4X00R) | 雅虎 | IDOR | $ 5,000 | 2019/03/28 |
| 我怎么能劫持受害者的YouTube通知!(Google VRP撰写) | 亚什·索达(Yash Sodha)(@y_sodha) | 谷歌 | CSRF | $ 3,133.70 | 2019/03/26 |
| Braintree上的异常Bug [[PayPal] | PRince CHaddha(@princechaddha) | 贝宝 | 拒绝服务 | $ 3,200 | 2019/03/25 |
| Twitter拒绝服务错误或如何阻止所有关注者阅读或访问任何字眼推文! | 赛义夫·埃尔萨拉米(Seif Elsallamy) | 推特 | 拒绝服务 | $ 1,120 | 2019/03/25 |
| 在(google.com)上存储(XSS) | 安全执行代码BugHunter | 谷歌 | 储存的XSS | — | 2019/03/25 |
| 将XSS存储在指南的GameplayVersion(www.dota2.com)中 | 安全执行代码BugHunter | 刀塔2 | 储存的XSS | $ 750 | 2019/03/25 |
| [komunitas.bukalapak.com]上的自己(XSS) | 安全执行代码BugHunter | 布卡拉帕克 | 自我XSS | $ 50 | 2019/03/25 |
| 在[alibabacloud.com]上反映(XSS) | 安全执行代码BugHunter | 阿里巴巴 | 反映的XSS | — | 2019/03/25 |
| [komunitas.bukalapak.com]上的自己(XSS) | 科莫多安全 | 谷歌 | 授权缺陷 | $ 500 | 2019/03/25 |
| Facebook营销机密通话记录 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 信息披露 | $ 500 | 2019/03/24 |
| Google图书X黑客 | terjanq(@terjanq) | 谷歌 | XS搜索 | $ 1,337 | 2019/03/21 |
| 如何在Android上寻找恶意广告 | 凯尔(@ B3nac) | — | Android漏洞 | — | 2019/03/21 |
| OLX Bug Bounty中的真正XSS | Paulo Choupina(@PauloChoupina) | OLX | 反映的XSS | $ 0(VDP),HoF | 2019/03/21 |
| 松弛的仅公告频道发布限制绕过 | 罗德尼·比德(Rodney Beede) | 松弛 | 授权缺陷,逻辑缺陷 | $ 0,超出范围 | 2019/03/20 |
| 由于打开了.m3u8端点,因此公开了任何Livestream用户的私人/预定流 | Abss TBH @abss_tbh | 现场直播 | 信息披露 | $ 1,000 | 2019/03/20 |
| 由于整数溢出导致Facebook Fizz服务被拒绝(CVE-2019-3560) | 凯文·巴克豪斯(@kevin_backhouse) | Facebook | 整数溢出 | $ 10,000 | 2019/03/19 |
| 发现零日并在Mozilla的AWS网络上执行代码 | Shubham Shah(@infosec_au)和Mathias Karlsson(@avlidienbrunn) | Mozilla | RCE | $ 500 | 2019/03/19 |
| 跨Facebook端点进行DoS | 马克斯·帕斯夸(Max Pasqua) | Facebook | 拒绝服务 | $ 750 | 2019/03/19 |
| 使用IE Adobe的PDF ActiveX插件,从http://域到res://域xss | 海格(@ 80vul) | 微软 | DOM XSS | $ 0 | 2019/03/19 |
| 您是否应该担心LastPass将密码上传到其服务器? | 弗拉基米尔·帕兰特(@WPalant) | 最后通行证 | 信息泄露,逻辑缺陷 | — | 2019/03/18 |
| 通过XSS窃取本地存储数据 | Harshad Gaikwad(@ h4rsh4d) | OLX | 反映的XSS | $ 0,HoF | 2019/03/17 |
| 公开任何Facebook页面的待定角色 | Avinash Kumar(@itsavinash_) | Facebook | IDOR | $ 4,000 | 2019/03/16 |
| 目标在Microsoft SharePoint中找到跨站点脚本 | 目标 | 微软 | XSS | — | 2019/03/15 |
| 我如何能够拥有30000多个用户的Webhook | gujjuboy10x00(@vis_hacker) | — | IDOR | — | 2019/03/14 |
| 私有程序的特权升级。 | Imran Parray(@CreedHackers) | — | 特权提升,信息披露 | — | 2019/03/14 |
| 用户帐户接管[密码更改]-不错! | 罗希特·库马尔(@rohitcoder) | — | 帐户接管,密码重设漏洞 | — | 2019/03/14 |
| 写出– 5分钟内支付1,000美元,xss存储在outlook.com中(iOS浏览器) | @omespino | 微软 | 储存的XSS | $ 1,000 | 2019/03/14 |
| WordPress 5.1 CSRF到远程代码执行 | 西蒙·斯堪内尔(@scannell_simon) | WordPress的 | CSRF,RCE,HTML注入 | $ 950 | 2019/03/13 |
| OLX错误赏金:反映XSS | 穆罕默德·阿克巴尔(@abaykandotcom) | OLX | 反映的XSS | — | 2019/03/13 |
| 我在Edmodo.com上第一个存储的XSS | 紫山AdThandar(@ZishanAdThandar) | 埃德莫多 | 储存的XSS | — | 2019/03/13 |
| 破解盲XSS的新表格 | 优素福·穆罕默德(@ GeneralEG64) | — | 盲XSS,存储XSS | $ 800 | 2019/03/13 |
| 我如何在redacted.com中发现Blind XSS漏洞 | ssid(@newp_th) | — | 盲XSS | — | / 27/2019 |
| 将恶意软件插入任何人的Google Earth Projects存档 | 托马斯·奥尔利塔(@ThomasOrlita) | 谷歌 | IDOR,XSS,授权缺陷 | $ 0 | 2019/03/29 |
| 通过CSRF强制使用用户IDS删除所有具有CSRF攻击的用户。 | Armaan Pathan(@armaancrockroax) | — | CSRF,蛮力 | — | 2019/03/12 |
| 将SSRF升级为RCE | 优素福·穆罕默德(@ GeneralEG64) | — | SSRF,RCE | — | 2019/03/12 |
| fs.thefacebook.com上的CVE-2018-16794 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | SSRF | $ 1,000 | 2019/03/11 |
| SQL注入可获得$ 50的赏金,但仍然值得一读! | 罗纳尔多·梅西 | — | SQL注入 | $ 50 | 2019/03/10 |
| 使用跨站点WebSocket劫持(CSWH)进行帐户接管 | Sharan Panegav(@PanegavSharan) | — | 跨站点WebSocket劫持(CSWH),帐户接管 | — | 2019/03/09 |
| Vimeo SSRF具有执行代码的潜力。 | 哈什·贾斯瓦尔(@rootxharsh) | Vimeo | SSRF | $ 5,000 | 2019/03/08 |
| 使用基于浏览器的旁路攻击在Facebook帐户之间映射通信 | 罗恩·马萨斯(Ron Masas) | Facebook | 旁道攻击,跨站点帧泄漏(CSFL) | — | 2019/03/07 |
| Facebook Messenger服务器通过损坏的GIF图像随机出现内存 | Dzmitry Lukyanenka(@vulnano) | Facebook | 信息披露 | $ 10,000 | 03/06/2019 |
| 适用于iOS的ProtonMail中的3个XSS | 弗拉基米尔·梅特纽(@vladimir_metnew) | 苹果 | XSS | $ 1,000 | 03/06/2019 |
| 固定:在Facebook帐户上注册任何电子邮件地址 | 萨默·饶 | Facebook | 授权流程 | — | 2019/03/05 |
| 固定:蛮力Instagram帐户的密码 | 萨默·饶 | Facebook | 暴力破解,限速旁路 | — | 2019/03/05 |
| Facebook漏洞利用–确认网站访问者身份 | 汤姆·安东尼(@TomAnthonySEO) | Facebook | 信息披露,IDOR | $ 1,000 | 03/04/2019 |
| 审核GitHub Repo Wiki的乐趣和利润 | Smeege(@SmeegeSec) | — | 错误配置的Github Wiki | $ 500 | 03/04/2019 |
| 5分钟内在Edmodo中使用XSS(我的第一个Bug赏金) | 瓦拉·凯乌(@valakeyur) | 埃德莫多 | 反映的XSS | — | 03/04/2019 |
| 一个简单的帐户接管滥用JWT过期 | 标量(@ mrprajapati_360) | — | 授权缺陷,逻辑缺陷 | — | 2019/03/03 |
| 绕过限制性的JS沙箱 | Licencia para Hackear | 私有程序,静态评估库 | JS沙箱突破,RCE | — | 2019/03/01 |
| 赏金的另一个(意外)黑客 | Pumudu Ruhunage | Sli.do | 信息披露 | $ 150 | 2019/03/01 |
| Quora上的水平特权升级,这可能会损害Quora上的所有用户 | SpyD3r(@TarunkantG) | Quora | 特权提升 | — | 2019/02/26 |
| [仍然工作]从americangreetings.com反映出重定向Yahoo子域XSS | 穆罕默德·哈隆(@ m7mdharon) | 雅虎 | 反映的XSS | — | 2019/02/26 |
| 我如何在Azure DevOps中发出警报(1) | SpyD3r(@TarunkantG) | 微软 | XSS,CSP旁路 | — | 2019/02/26 |
| Web缓存欺骗攻击导致用户信息泄露 | Kunal Pandey(@ kunalp94) | — | Web缓存欺骗,信息泄露 | $ 300 | 2019/02/25 |
| 导致数据库破坏的黑客链! | Avinash Jain(@ logicbomb_1) | — | LFI,SSRF | — | 2019/02/23 |
| Bug赏金101-始终检查源代码 | 穆罕默德·哈隆(@ m7mdharon) | — | 缺乏限速,信息披露 | — | 2019/02/23 |
| 下载任何组织数据— S3亚马逊配置错误 | 钱德·辛格(@ Chand_42) | — | 授权缺陷 | $ 2,500 | 2019/02/22 |
| 子域配置错误导致AWS S3 Buckets Reader | 穆罕默德·哈隆(@ m7mdharon) | — | 子域接管 | $ 800 | 2019/02/22 |
| 利用Google日历 | Rojan Rijal(@uraniumhacker)和Brandon Nguyen(@cmdrsnuggle) | 优步,Shopify,Netflix | 授权缺陷,信息泄露 | — | 2019/02/22 |
| Swiss_E-Voting_出版物 | setuid0(@ setuid0) | 瑞士电子投票 | XSS,XXE,RCE,缺少身份验证,身份验证缺陷,硬编码凭据 | — | 2019/02/21 |
| 滥用自动回复和电子邮件退回 | Inti De Ceukelaire(@securinti) | Google,Intigriti | 信息泄露,逻辑缺陷 | — | 2019/02/21 |
| 在https://photos.shopify.com/上反映了XSS | Ahamed Morad(@ Modam3r5 | Shopify | 反映的XSS | $ 0,超出范围 | 2019/02/21 |
| 我如何免费在PrivateInternetAccess VPN服务中注册多个帐户 | 铲 | 专用Internet访问VPN | 逻辑缺陷 | $ 1,000 | 2019/02/20 |
| 错误撰写:FBCTF IDOR | 乔治·奥斯特维尔 | Facebook | IDOR | $ 0,重复 | 2019/02/20 |
| 客户端机密,所有Uber开发人员应用程序的服务器令牌泄漏 | 阿南德·普拉卡什(@sehacure) | 优步 | 信息披露 | $ 5,000 | 2019/02/19 |
| 在Tokopedia上多次存储XSS | Apapedulimu(@Apapedulimu) | Tokopedia | 存储的XSS,盲XSS | — | 2019/02/19 |
| 通过Discord Client使用URI弹出外壳 | RagSec(@rag_sec) | 不和谐 | URI滥用,社会工程学 | $ 0,超出范围 | 2019/02/18 |
| 通过滥用Cookie在WAF保护的站点上进行DoS | Anas Mahmood(@AnasIsHere) | 上班 | 拒绝服务 | $ 400 | 2019/02/18 |
| 2个子域通过私有程序中的取消合并来接管 | 穆罕默德·哈隆(@ m7mdharon) | — | 子域接管 | $ 0,重复 | 2019/02/18 |
| 将XSS存储在Edmodo上 | 罗希特·库马尔(@rohitcoder) | 埃德莫多 | 储存的XSS | $ 0,重复 | 2019/02/18 |
| Slack的$ 1.000 SSRF | 埃尔伯·安德烈(@ Elber333) | 松弛 | SSRF | $ 1,000 | 2019/02/17 |
| 绕过Facebook“ DYI”功能的密码确认 | Samm0uda(@ samm0uda) | Facebook | 授权漏洞,IDOR | — | 2019/02/16 | 存档内容 |
| Facebook /工作场所错误暴露在外的员工活动,敏感的电子邮件使员工处于风险中 | 罗希特·库马尔(@rohitcoder) | Facebook | 信息披露 | $ 1,000 | 2019/02/16 |
| 通过私有程序中的Wufoo服务进行子域接管 | 穆罕默德·哈隆(@ m7mdharon) | — | 子域接管 | — | 2019/02/16 |
| 在SLACK中打开重定向 | 穆罕默德·阿克巴尔(@abaykandotcom) | 松弛 | 开启重新导向 | $ 0,不适用 | 2019/02/16 |
| 绕过速率限制滥用错误配置规则 | 丹尼尔五(@ d4niel_v) | — | 限速旁路 | — | 2019/02/15 |
| 通过HubSpot进行子域接管 | 穆罕默德·哈隆(@ m7mdharon) | — | 子域接管 | — | 2019/02/15 |
| 通过jazzhr.com服务进行Souq.com子域接管 | 穆罕默德·哈隆(@ m7mdharon) | Souq.com | 子域接管 | $ 0,内容丰富 | 2019/02/15 |
| 永不停止抢横幅 | Gaurav Narwani(@ gauravnarwani97) | — | 信息披露 | $ 241.93 | 2019/02/14 | |
| 第三方Android应用程序不安全地存储Facebook数据(Facebook数据滥用程序) | Nightwatch网络安全(@nightwatchcyber) | Facebook | 信息泄露,缺乏认证 | — | 2019/02/14 | |
| [SSRF]私有程序中的服务器端请求伪造developers.example.com | 穆罕默德·哈隆(@ m7mdharon) | — | SSRF | $ 200 | 2019/02/14 |
| 在Facebook Messenger基础设施中披露私人附件-15,000美元 | 萨玛德·哈桑(@JubaBaghdad) | Facebook | IDOR | $ 15,000 | 2019/02/13 |
| Facebook CSRF保护绕过导致帐户接管 | Samm0uda(@ samm0uda) | Facebook | CSRF | $ 25,000 | 2019年02月12日 | 存档内容 |
| 窃取YouTube的#fun和#profit | Alexandru Coltuneac(@dekeeu) | 谷歌 | IDOR | — | 2019年02月12日 |
| 导出任何业务的Facebook受众网络报告 | Samm0uda(@ samm0uda) | Facebook | 授权缺陷 | — | 2019年02月12日 | 存档内容 |
| 我在Google CSE上发现了Clickjacking。这重要吗? | 穆罕默德·阿克巴尔(@abaykandotcom) | 谷歌 | 点击劫持 | $ 0 | 2019年02月10日 |
| 使用跨框架脚本的Csrf旁路 | 哈克先生(@ mr_hacker0007) | — | CSRF | — | 2019年02月10日 |
| 我是如何入侵华硕的? | 穆斯塔法·凯末尔·坎(@muskecan) | 华硕 | RCE,无限制的文件上传 | — | 2019/02/09 |
| 设置Gitrob并使用它在hackerone私有程序中查找员工的泄漏存储库。 | 萨希尔·蒂科(Sahil Tikoo)(@viperbluff) | — | 信息披露 | — | 2019/02/09 |
| 设计缺陷-方案一和修复 | Alli-Balogun Faruq(@node_shack) | — | 逻辑缺陷 | — | 2019年02月08日 |
| 绕过贝宝的安全检查 | Anees Khan(@AneesEthical) | 贝宝 | 逻辑缺陷 | $ 0,不适用 | 2019年02月08日 |
| 由于异常处理不当而导致内部路径泄露 | Samm0uda(@ samm0uda) | Facebook | 信息披露 | — | 2019/02/07 | 存档内容 |
| 私人/开发中的应用程序ID,名称和翻译请求泄漏 | Samm0uda(@ samm0uda) | Facebook | IDOR | — | 2019/02/07 | 存档内容 |
| LFI至10台服务器 | 尼尔马尔·达哈尔(@TheNittam) | — | LFI,RCE | — | 2019/02/07 |
| 我如何能够转储SqlDB 简单的错误 | 聪明的白痴 | — | 目录列表,SQL注入,身份验证绕过 | — | 2019/02/07 |
| 缓存欺骗:我如何在Medium中发现漏洞并帮助他们修复它 | 尤瓦尔·史普兰兹(Yuval Shprinz) | 中等的 | 缓存欺骗 | $ 100,赃物 | 2019年02月06日 |
| 通过设备元数据创作向导中的路径遍历远程执行代码 | 李·克里斯滕森(@tifkin_) | 微软 | 路径遍历,RCE | — | 2019年02月06日 |
| 跳过栅栏 | 沙哈尔·阿尔贝克(Shahar Albeck) | — | 开启重新导向 | — | 02/05/2019 |
| 我如何使用2FA旁路(outlook.live.com)入侵了40,000个Microsoft用户帐户 | Vartul Goyal(@hackvartul) | 微软 | 2FA旁路 | $ 0 | 02/05/2019 |
| 检测和利用大量分配以操纵用户列并读取私人消息 | 保罗(@padannewitz) | — | 批量分配 | $ 5,000 | 02/05/2019 |
| 反向RDP攻击:RDP客户端上的代码执行 | 艾尔·伊特金(Eyal Itkin) | 微软 | 路径遍历 | $ 0 | 02/05/2019 |
| SmartSheet中独特的XSS方案|| $ 1000赏金 | 罗汉·查文(@ rohanchavan1918) | 智能表 | 储存的XSS | $ 1,000 | 2019/02/03 |
| 我如何提取其他用户的信息-利用IDOR | 鲁皮卡·卢哈奇(@Rup_Ki_Rani) | Knowyourmeds.com | IDOR | $ 0,重复 | 2019/02/02 |
| Apigee门户中的LFI | [email protected] (@wtm_offensi) | 谷歌 | LFI | — | 2019年1月1日 |
| 我如何在没有任何测试的情况下在Facebook中找到一个简单的错误 | 萨玛德·哈桑(@JubaBaghdad) | Facebook | 授权缺陷 | — | 2019年1月1日 |
| Google Cloud Platform组织问题$ 7.5k | 埃泽奎尔·佩雷拉(@epereiralopez) | 谷歌 | 逻辑缺陷 | $ 7,500 | 2019/01/30 |
| 我是如何通过一个110万的黑客入侵一个集成了Facebook的网站的。用户在45秒内。 | Piyush Raj(@ 0x48piraj) | WeeQuizz | 信息披露 | $ 0,无回应 | 2019/01/30 |
| 发布任何其他用户的推文 | Kedrisec(@kedrisec) | 推特 | IDOR | $ 7,560 | 2019/01/30 |
| 客座博客:Eray Mitrani-骇客入侵并非一门科学 | Eray Mitrani(@ErayMitrani) | — | 授权缺陷 | — | 2019/01/29 |
| Protonmail XSS —已存储 | 钱德·辛格(@ Chand_42) | 质子邮 | 存储的XSS,Bruteforce | — | 2019/01/29 |
| 不安全地访问100万个Leo Express用户的个人数据 | 托马斯·奥尔利塔(@ThomasOrlita) | 狮子座快车 | 授权漏洞,XSS | — | 2019/01/29 |
| 通过未经验证的重定向检索JWT令牌来劫持帐户 | 沙瓦·汗(@ShawarkOFFICIAL) | — | 开放重定向,令牌盗窃 | — | 2019/01/27 |
| 帐户验证绕过的简短故事 | 萨蒂恩德拉·库玛(Satyendra Kumar) | — | 电子邮件验证绕过,授权漏洞 | — | 2019/01/27 |
| 将棘手的OAuth开发链接到存储的XSS | 罗汉·阿格瓦尔(@nahoragg) | — | 存储的XSS,OAuth漏洞 | — | 2019/01/27 |
| 配置错误-Whatsapp Messenger | Pratheesh P Narayanan | Facebook | 逻辑缺陷 | $ 0,内容丰富 | 2019/01/26 |
| 创建提交后的防黑客IDOR | Syahrul Akbar Rohmani(@sahruldotid) | AntiHack.me | IDOR | $ 0,赃物 | 2019/01/26 |
| Facebook将产品可用性更改为PageAnalyst | onehackzero | Facebook | 逻辑缺陷,授权缺陷 | — | 2019/01/25 |
| 更改密码(Google,Microsoft,Instagram,Cloudflare等)后,我如何滥用2FA来保持持久性 | 卢克·伯纳(Luke Berner) | 谷歌,微软,Facebook | 逻辑缺陷,身份验证缺陷 | — | 2019/01/25 | |
| Magento –具有低特权管理员权限的RCE和本地文件读取 | 丹尼尔·勒·加尔(@Blaklis_) | Magento | LFI,RCE,路径遍历 | — | 2019/01/24 |
| Antihack.me Blind XSS到PHP文件上传漏洞 | SayCure(@SaycureIO) | AntiHack.me | 盲XSS | — | 2019/01/24 | |
| 特权升级到最高管理特权 | Gaurav Narwani(@ gauravnarwani97) | — | IDOR,特权升级 | — | 2019/01/23 | |
| FrappéTechnologies ERPNext服务器端模板注入 | 布莱恩·海德(Brian Hyde) | 企业资源计划 | 科学技术研究院 | $ 0 | 2019/01/23 |
| 未经Facebook批准即可注册Facebook广告中断程序 | Samm0uda(@ samm0uda) | Facebook | 逻辑缺陷,授权缺陷 | — | 2019/01/22 | 存档内容 |
| 披露页面的管理员及其获利明细 | Samm0uda(@ samm0uda) | Facebook | IDOR,信息公开 | — | 2019/01/22 | 存档内容 |
| 披露违反页面的行为及其使用广告中断的资格 | Samm0uda(@ samm0uda) | Facebook | IDOR,信息公开 | — | 2019/01/22 | 存档内容 |
| 披露链接到Facebook页面的Instagram商业帐户 | Samm0uda(@ samm0uda) | Facebook | IDOR,信息公开 | — | 2019/01/22 | 存档内容 |
| 更改任何Facebook商业页面的付款帐户 | Samm0uda(@ samm0uda) | Facebook | 逻辑缺陷,授权缺陷 | — | 2019/01/22 | 存档内容 |
| 公开任何Facebook商业页面的商业电子邮件和付款帐户余额。 | Samm0uda(@ Samm0uda) | Facebook | IDOR,信息公开 | — | 2019/01/22 |
| 显示Facebook商家页面是否有待处理或已完成的订单。 | Samm0uda(@ Samm0uda) | Facebook | IDOR,信息公开 | — | 2019/01/22 |
| Bruteforce Instagram帐户的密码(缺乏速率限制保护)。 | Samm0uda(@ samm0uda) | Facebook | 暴力破解,缺乏速率限制 | — | 2019/01/22 |
| 为任何Facebook用户生成访问令牌 | Samm0uda(@ samm0uda) | Facebook | IDOR | — | 2019/01/22 |
| 修改techprep.fb.com的用户个人资料 | Samm0uda(@ samm0uda) | Facebook | 授权缺陷 | — | 2019/01/22 |
| 将文件上传到api.techprep.fb.com | Samm0uda(@ samm0uda) | Facebook | 文件上传XSS | — | 2019/01/22 |
| Zomato中反映的XSS | Sudhanshu Rajbhar(@ sudhanshur705) | 佐马托 | 反映的XSS | $ 250 | 2019/01/21 |
| 我如何找到Tomi并将其报告给AntiHack.me的漏洞 | 托米(@nahoragg) | AntiHack.me | IDOR,LFI | $ 0,赃物 | 2019年1月20日 |
| 一个简单的CORS Misconfig泄露了Twitter,Facebook和Instagram的私人帖子 | 罗汉·阿格瓦尔(@nahoragg) | — | CORS配置错误 | — | 2019年1月20日 |
| Oauth错误配置导致完成帐户接管 | 杰克逊KV(@ Jacksonkv22) | — | CSRF,OAuth漏洞,帐户接管 | — | 2019年1月20日 |
| XSS通过SWF文件! | 友善(@SkeletorKeys) | — | SWF XSS | $ 200 | 2019/01/18 |
| 绕过内容安全策略框架限制规则-OLX | 塔哈·易卜拉欣·德拉迪亚(Taha Ibrahim Draidia) | OLX | CSP旁路 | — | 2019/01/17 |
| 命令注入PoC | 诺格 | — | 命令注入 | — | 2019/01/15 |
| Facebook漏洞:无法移动的Facebook组管理员 | 里蒂什·库玛·辛格(Ritish Kumar Singh) | Facebook | 逻辑缺陷 | $ 500 | 2019/01/15 |
| #BugBounty我如何破解十亿美元公司 | 西萨迪克 | — | 目录清单 | $ 500 | 2019/01/15 |
| 滥用MySQL客户端从服务器/客户端获取LFI | Jarkko Vesiluoma(@jvesiluoma) | — | LFI | — | 2019/01/15 |
| 通过AMPScript评估访问Uber的用户数据 | Shubham Shah(@infosec_au) | 优步 | AMPScript注入 | $ 23,000 | 2019/01/14 |
| 通过访问控制将Self XSS转换为良好的XSS | 优素福·亚齐尔(@Hacklad) | — | 存储的XSS,自身XSS | — | 2019/01/13 |
| 修改表格– Blind XSS的新载体 | 优素福·穆罕默德(@ GeneralEG64) | Facebook | 盲XSS | $ 800 | 2019/01/13 |
| 工作场所所有者名称的工作场所徽标ID披露Facebook Bug赏金 | Ajay Gautam(@evilboyajay) | Facebook | IDOR | — | 01/11/2019 |
| Facebook PageAnalyst可以将自己添加为组的主持人 | onehackzero | Facebook | 授权缺陷 | — | 01/11/2019 |
| AntiHack.me多个漏洞 | 富美 | AntiHack.me | LFI,IDOR | $ 0,赃物 | 01/11/2019 |
| 查看“ Messenger Kid”的联系人列表,作为父母批准的联系人 | 菲利普·哈伍德(Philippe Harewood)(@phwd) | Facebook | 授权缺陷 | — | 01/08/2019 |
| 来自现实生活中的漏洞赏金初学者的提示 | 雷诺·马丁内(@karouf) | YNAB | XSS,SQL注入 | $ 1,500 | 01/08/2019 |
| 当Cookie劫持+ HTML注入变得危险时 | 丹尼尔五(@ d4niel_v) | — | Cookie劫持,HTML注入 | — | 2019/01/07 |
| 在华硕上反映了XSS。 | 特里斯·克里希南(Thejus Krishnan) | 华硕 | 反映的XSS | $ 0,HoF | 01/06/2019 |
| 通过Zendesk支持处的备用文本存储XSS | Hariharan.s(@ DJHARIZ1) | Zendesk | 储存的XSS | — | 01/06/2019 |
| 我如何入侵Altervista.org | Jacopo Tediosi(@jacopotediosi) | 奥特维斯塔 | 开启重新导向 | $ 0,HoF | 01/05/2019 |
| Facebook Android应用程序 | 阿什莉·金(@AshleyKingUK) | Facebook | 授权缺陷 | $ 750 | 01/05/2019 |
| 我怎么可以接管任何Pinterest帐户 | 阿诺德·安东尼(@ armold9anthony) | Pinterest的 | CSRF,帐户接管 | $ 2,400 | 01/05/2019 |
| 我如何偶然发现一个存储的XSS(我的第一个bug赏金故事)。 | 帕特·沙(Parth Shah) | 埃德莫多 | 储存的XSS | — | 01/04/2019 |
| 基于Cookie的自XSS到良好的XSS | 布莱恩·海德(Brian Hyde) | — | XSS | $ 616 | 01/04/2019 |
| 在Facebook帐户切换器中窃取侧通道攻击令牌 | 马克斯·帕斯夸(Max Pasqua) | Facebook | 代币盗窃 | $ 1,000 | 01/04/2019 |
| 是的,我可以看到您的OTP | 弱势群体 | — | IDOR | — | 2019/01/03 |
| 棘手的公开重定向 | Anas Mahmood(@AnasIsHere) | — | 公开重定向 | $ 200 | 2019/01/03 |
| 我如何能够收获其他Vine用户的IP地址 | 普里尔·伊斯兰·汗(@ prial261) | 藤蔓 | IDOR | $ 5,040 | 01/02/2019 |
| 我如何在AntiHack.me上找到Web Shell并获得金币和SWAG奖励 | Rudra Sarkar(@ rudr4_sarkar) | AntiHack.me | RCE | — | 2019/01/01 |
| 从很少到完全绕过电子邮件验证的一个奇怪案例 | 洛克人(@ N0_M3ga_Hacks) | — | 电子邮件验证绕过,授权漏洞 | — | 2019/01/01 |
