Skip to content

TOPVKCOM.md

Latest commit

 

History

History
133 lines (129 loc) · 20.3 KB

TOPVKCOM.md

File metadata and controls

133 lines (129 loc) · 20.3 KB

Back

Top reports from VK.com program at HackerOne:

  1. CVE-2018-0296 to VK.com - 79 upvotes, $1000
  2. local file disclosure via FFmpeg hls processing to VK.com - 73 upvotes, $1000
  3. Stored XSS в личных сообщениях to VK.com - 67 upvotes, $1500
  4. Определение id по номеру телефона to VK.com - 60 upvotes, $5000
  5. Stealing Private Information in VK Android App through PlayerProxy Port Remotely to VK.com - 50 upvotes, $700
  6. Вставляем свой код в мобильном приложении в разделе помощи сообществам to VK.com - 43 upvotes, $300
  7. Clickjacking vkpay to VK.com - 43 upvotes, $0
  8. Мини-уязвимость в обработке ссылок to VK.com - 40 upvotes, $500
  9. Bypass User Interaction to initiate a VoIP call to Another User to VK.com - 39 upvotes, $500
  10. XSS в upload.php to VK.com - 37 upvotes, $1500
  11. Просмотр приватных видео записей у Пользователей to VK.com - 33 upvotes, $300
  12. Получение БД кэша из Android-приложения через стороннее приложение to VK.com - 32 upvotes, $500
  13. Возможность взлома любого пользователя, не использующего двухфакторной аутентификации, через получения кода восстановления на чужой номер. to VK.com - 31 upvotes, $2000
  14. XSS-уязвимость, связанная с загрузкой файлов to VK.com - 30 upvotes, $1000
  15. XSS в колбек апи в сообществах to VK.com - 29 upvotes, $500
  16. Доступ к администраторским faq to VK.com - 26 upvotes, $500
  17. Отправка подарков/стикерпаков не теряя голоса. to VK.com - 25 upvotes, $200
  18. XSS в личных сообщениях to VK.com - 23 upvotes, $1000
  19. Reflected XSS в /al_audio.php to VK.com - 23 upvotes, $700
  20. Уязвимый класс WebView to VK.com - 22 upvotes, $200
  21. ПРОСМОТР ЛЮБЫХ ПРИВАТНЫХ ФОТО + ПРЕВЬЮ ЛЮБОГО ПРИВАТНОГО ВИДЕО. to VK.com - 20 upvotes, $700
  22. Просмотр любых записей на стене to VK.com - 20 upvotes, $700
  23. Смотрим фотографии из частных/закрытых групп. to VK.com - 20 upvotes, $500
  24. Обход 2ух-шаговой авторизации / 2FA Bypass to VK.com - 19 upvotes, $1000
  25. Уязвимость дает возможность видеть записи , которые предлагаются пабликам + еще to VK.com - 18 upvotes, $300
  26. Получение чужого номера телефона (все цифры) через форму восстановления пароля to VK.com - 18 upvotes, $300
  27. Общий CSRF токен для сообщений сообществ, или как подставить соседа-редактора to VK.com - 18 upvotes, $300
  28. Посмотреть видеоролики, которые пользователь когда-либо скидывал в ЛС. to VK.com - 18 upvotes, $100
  29. Хранимая XSS в группе VK to VK.com - 17 upvotes, $500
  30. Stored xss в /lead_forms_app.php to VK.com - 17 upvotes, $500
  31. Просмотр приложений любого пользователя / группы to VK.com - 17 upvotes, $500
  32. Получение вечного доступа к Long Pool и авторизованой страницы сайта, если мы когда-либо были на аккаунте жертвы to VK.com - 17 upvotes, $500
  33. [Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения to VK.com - 17 upvotes, $200
  34. XSS в товарах to VK.com - 16 upvotes, $1000
  35. Blind XXE on pu.vk.com to VK.com - 16 upvotes, $500
  36. Проверяем принадлеженость email и номера телефона к определенному юзеру / CSRF на смену номера для некоторых пользователей to VK.com - 16 upvotes, $300
  37. Написать от имени любого пользователя на его стене, если он перейдет по ссылке. https://vk.com/al_video.php to VK.com - 16 upvotes, $200
  38. CSRF Проверить является ли пользователь админом группы. to VK.com - 16 upvotes, $100
  39. Уязвимость дает возможность смотреть кто лайкал приватным фото или видео to VK.com - 15 upvotes, $100
  40. Второй способ обхода 2FA to VK.com - 14 upvotes, $1050
  41. XSS в приглашении в группу to VK.com - 14 upvotes, $500
  42. Missing Server Side Rate Limiting can Lead to VK Account Take over to VK.com - 14 upvotes, $400
  43. Open Redirection Vulnerability in m.vk.com to VK.com - 14 upvotes, $300
  44. Просмотр Участников ЧАСТНОЙ встречи to VK.com - 14 upvotes, $100
  45. Просмотр записей пользователя, который тебя заблокировал to VK.com - 14 upvotes, $100
  46. новенькое (старенькое upgreid) хакерство: делаем демократию во всем в контакте (XSS - на англиском) to VK.com - 14 upvotes, $0
  47. Раскрытие информации о частной группе или приложении to VK.com - 13 upvotes, $100
  48. Просмотр лайков и репостов фотографии, которая находятся в приватном альбоме to VK.com - 12 upvotes, $300
  49. Issue in the implementation of captcha and race condition to VK.com - 12 upvotes, $100
  50. [Привязка email к странице] by admin@notify.vk.com | email-flood to VK.com - 12 upvotes, $0
  51. Бесконечный доступ к аккаунту если мы смогли хотя бы раз зайти на аккаунт. to VK.com - 11 upvotes, $500
  52. Opcode Cache to VK.com - 11 upvotes, $300
  53. CSRF на сброс ключа трансляции. to VK.com - 11 upvotes, $100
  54. CSRF Добавить просмотр к записи без ведома пользователя. to VK.com - 11 upvotes, $100
  55. Отсутствие flood контроля в ИСТОРИЯХ вк to VK.com - 11 upvotes, $100
  56. Внедрение внешних сущностей в функционале импорта пользователей YouTrack to VK.com - 10 upvotes, $2500
  57. Хранимая XSS в функционале добавления аудио в WYSIWYG to VK.com - 10 upvotes, $500
  58. Backup Source Code Detected to VK.com - 10 upvotes, $500
  59. Узнаем несколько цифр номера телефона юзера (можно флудить смс), всего раз узнав его remixsid и его ид юзера, и установка оффлайна юзерам. to VK.com - 10 upvotes, $300
  60. Получение предложенных фотографий паблику to VK.com - 10 upvotes, $200
  61. Узнать название частной группы и ее аватарку по видеоролику. to VK.com - 10 upvotes, $100
  62. Просмотр аватара и название частной группы to VK.com - 10 upvotes, $100
  63. HTML Injection possible due to bad filter to VK.com - 10 upvotes, $0
  64. XSS в названии сервера to VK.com - 10 upvotes, $0
  65. error to VK.com - 10 upvotes, $0
  66. clickjacking в /lead_forms_app.php to VK.com - 10 upvotes, $0
  67. Page replacement and redirect loop to VK.com - 10 upvotes, $0
  68. SSRF (open) - via GET request to VK.com - 9 upvotes, $300
  69. Просмотр любого видео из частной группы и кто загрузил to VK.com - 9 upvotes, $300
  70. Узнаем новые email приглашенного нами пользователя после смены, и так же часть номера телефона to VK.com - 9 upvotes, $300
  71. Просмотр любых статей по их айди. to VK.com - 9 upvotes, $200
  72. CSRF отредактировать карточки в посте у группы to VK.com - 9 upvotes, $100
  73. Часть админки доступна для всех пользователей to VK.com - 9 upvotes, $100
  74. Новый 2FA Bypass to VK.com - 8 upvotes, $1000
  75. Возможность провести DoS атаку от имени vk.com сервера to VK.com - 8 upvotes, $500
  76. CSRF в получении резервных токенов+framing , приводящие к компроментации 2fa to VK.com - 8 upvotes, $500
  77. Обходим 2FA и/или получаем access_token, если мы когда-либо были на аккаунте жертвы to VK.com - 8 upvotes, $300
  78. Обход: "Аудиозапись недоступна для прослушивания в Вашем регионе." to VK.com - 8 upvotes, $100
  79. self-xss ads_easy_promote vk.com to VK.com - 8 upvotes, $0
  80. Долгоживущий хеш + получение частичного доступа к аккаунту после сброса сессии to VK.com - 7 upvotes, $500
  81. Уязвимость приватных записей пользователя (личных) to VK.com - 7 upvotes, $400
  82. Создание ссылки от имени чужой страницы vk.cc to VK.com - 7 upvotes, $200
  83. Просмотр части номера телефона и отправка на него SMS, всего раз скомпроментировав аккаунт to VK.com - 7 upvotes, $100
  84. CSRF на "ловлю гостей" и раскрытие аудиотрансляции в частной группе to VK.com - 7 upvotes, $100
  85. XSS работающая по всему сайту, где есть упоминания to VK.com - 7 upvotes, $0
  86. Недочет в поиске по хештегам to VK.com - 7 upvotes, $0
  87. Воскрешение сессии после сброса сессий / смены пароля / принудительной смены пароля to VK.com - 6 upvotes, $700
  88. API: Bug in method auth.signup , дающий возможность бесконечно звонить to VK.com - 6 upvotes, $500
  89. XSS в комментариях от имени сообщества to VK.com - 6 upvotes, $500
  90. Уязвимость Создание фотографий без ведома пользователей to VK.com - 6 upvotes, $300
  91. Возможность смотреть видео рекомендации любого пользователя вконтакте to VK.com - 6 upvotes, $100
  92. Нет маркера на добавление песни в плейлист пользователя to VK.com - 6 upvotes, $100
  93. api.vk.com отдаёт в ответ HTML авторизированную страницу vk.com to VK.com - 6 upvotes, $100
  94. Узнаем название и аватарку частной группы, по ID приложения. to VK.com - 6 upvotes, $100
  95. доступ к com.vk.usersstore.UsersContentProvider, возможна утечка exchange_token на android < 21 to VK.com - 6 upvotes, $100
  96. Хранимая XSS на странице "Виджет для авторизации" to VK.com - 6 upvotes, $0
  97. Изменение текстов вариантов ответа в опросах to VK.com - 6 upvotes, $0
  98. CSRF создание опроса от имени пользователя, зная id приложения. + небольшой флуд сообщениями на стену to VK.com - 6 upvotes, $0
  99. Уязвимость получения всех номеров телефонов вк (по совместительству логинов профилей) to VK.com - 5 upvotes, $200
  100. Дорк to VK.com - 5 upvotes, $100
  101. Добавление в меню сообщества без ведома пользователя (нажатия пользователем) to VK.com - 5 upvotes, $100
  102. Раскрытие имени файла приватных документов to VK.com - 5 upvotes, $100
  103. Монипулирование на страницах пользоватлей значением "Подсказывать стикеры в полях ввода" to VK.com - 5 upvotes, $100
  104. DOM XSS в /activation.php?act=activate_mobile to VK.com - 5 upvotes, $0
  105. Способ узнать имя человека удаленной страницы to VK.com - 5 upvotes, $0
  106. Способ узнать имя человека удаленной страницы 2 to VK.com - 5 upvotes, $0
  107. Внедрение произвольного javascript-сценария в функционале просмотра изображений мобильной версии сайта to VK.com - 4 upvotes, $500
  108. [0.vk.com] Reflected XSS на странице подтверждения. to VK.com - 4 upvotes, $200
  109. Просмотр инфы на странице пользователя или группы который тебя добавил в ЧС to VK.com - 4 upvotes, $200
  110. Checking whether user liked the media or not even when you are blocked to VK.com - 4 upvotes, $100
  111. Просмотр привязного к странице email, всего лишь раз скомпрометировав письмо-уведомление to VK.com - 4 upvotes, $100
  112. SSRF через Share-ботов to VK.com - 3 upvotes, $300
  113. Логирование ответов запросов VK API в приложении Клевер to VK.com - 3 upvotes, $300
  114. Отвязываем Twitter от любого профиля вк ! + несколько багов по дизайну to VK.com - 3 upvotes, $250
  115. vk.com/login.php to VK.com - 3 upvotes, $200
  116. Подмена SSL-сертификата для любой группы в секции Управление группой->Работа с API неавторизированным пользователем. to VK.com - 3 upvotes, $200
  117. Able to intercept app Traffic after choosing up the Secured Connection using SSL (HTTPS) to VK.com - 3 upvotes, $100
  118. Уязвимость в Указание мест на фото + фича + хакинг to VK.com - 2 upvotes, $200
  119. Способ узнать имя человека и ВУЗ удаленной страницы to VK.com - 2 upvotes, $100
  120. Паблики: Модератор паблика может удалять добавленные редакторами материалы с таймером на публикацию. to VK.com - 2 upvotes, $100
  121. Дайте swag to VK.com - 2 upvotes, $0
  122. Information Disclosure (phpinfo()) to VK.com - 2 upvotes, $0
  123. API: Bug in method auth.validatePhone to VK.com - 1 upvotes, $500
  124. XSS at http://vk.com on IE using flash files to VK.com - 1 upvotes, $500
  125. Не достаточная проверка логина скайп to VK.com - 0 upvotes, $100
  126. XSS on added name album on videos. to VK.com - 0 upvotes, $0

Back