Skip to content

Latest commit

 

History

History
174 lines (173 loc) · 26.8 KB

TOPVKCOM.md

File metadata and controls

174 lines (173 loc) · 26.8 KB
Raw

Top reports from VK.com program at HackerOne:

  1. CVE-2018-0296 to VK.com - 80 upvotes, $0
  2. Reflected XSS в /video to VK.com - 79 upvotes, $500
  3. local file disclosure via FFmpeg hls processing to VK.com - 77 upvotes, $1000
  4. Stored XSS в личных сообщениях to VK.com - 67 upvotes, $0
  5. Определение id по номеру телефона to VK.com - 60 upvotes, $5000
  6. Path Traversal в iOS приложении to VK.com - 55 upvotes, $700
  7. Stealing Private Information in VK Android App through PlayerProxy Port Remotely to VK.com - 50 upvotes, $700
  8. Уязвимость в приложении для Android to VK.com - 49 upvotes, $3000
  9. XSS в сюжетах. to VK.com - 49 upvotes, $500
  10. XSS Reflected in m.vk.com to VK.com - 48 upvotes, $0
  11. Вставляем свой код в мобильном приложении в разделе помощи сообществам to VK.com - 44 upvotes, $300
  12. Clickjacking vkpay to VK.com - 44 upvotes, $0
  13. [VK Android] Access to app protected components leads to arbitrary code execution to VK.com - 42 upvotes, $0
  14. Выполнение API-методов при открытии сообщества/приложения to VK.com - 41 upvotes, $2000
  15. Bypass User Interaction to initiate a VoIP call to Another User to VK.com - 41 upvotes, $500
  16. Мини-уязвимость в обработке ссылок to VK.com - 41 upvotes, $0
  17. XSS в upload.php to VK.com - 38 upvotes, $1500
  18. Reflected Xss On https://vk.com/search to VK.com - 38 upvotes, $500
  19. Reflected xss в m.vk.com/chatjoin to VK.com - 36 upvotes, $500
  20. Просмотр приватных видео записей у Пользователей to VK.com - 34 upvotes, $300
  21. Stored XSS при удалении группы из беседы (m.vk.com) to VK.com - 32 upvotes, $500
  22. Получение БД кэша из Android-приложения через стороннее приложение to VK.com - 32 upvotes, $0
  23. Возможность взлома любого пользователя, не использующего двухфакторной аутентификации, через получения кода восстановления на чужой номер. to VK.com - 31 upvotes, $0
  24. Отправка подарков/стикерпаков не теряя голоса. to VK.com - 30 upvotes, $200
  25. XSS-уязвимость, связанная с загрузкой файлов to VK.com - 30 upvotes, $0
  26. XSS в колбек апи в сообществах to VK.com - 29 upvotes, $500
  27. CSRF на загрузку аудиозаписей to VK.com - 28 upvotes, $100
  28. Доступ к администраторским faq to VK.com - 27 upvotes, $500
  29. XSS in vk.link to VK.com - 27 upvotes, $300
  30. Open Redirect и подмена ссылки в сниппете приложения VKMA to VK.com - 27 upvotes, $300
  31. Уязвимость в методе auth.restore to VK.com - 27 upvotes, $0
  32. Reflected XSS в /al_audio.php to VK.com - 24 upvotes, $700
  33. Просмотр закрытых фотографий to VK.com - 24 upvotes, $500
  34. Уязвимый класс WebView to VK.com - 23 upvotes, $200
  35. XSS в личных сообщениях to VK.com - 23 upvotes, $0
  36. CSRF на установку своей почты к аккаунту. to VK.com - 22 upvotes, $0
  37. Смотрим фотографии из частных/закрытых групп. to VK.com - 21 upvotes, $500
  38. Reflected XSS в m.vk.com to VK.com - 21 upvotes, $500
  39. Обход 2ух-шаговой авторизации / 2FA Bypass to VK.com - 20 upvotes, $1000
  40. Просмотр любых записей на стене to VK.com - 20 upvotes, $700
  41. Reflected xss в m.vk.com/chatjoin to VK.com - 20 upvotes, $500
  42. ПРОСМОТР ЛЮБЫХ ПРИВАТНЫХ ФОТО + ПРЕВЬЮ ЛЮБОГО ПРИВАТНОГО ВИДЕО. to VK.com - 20 upvotes, $0
  43. Уязвимость дает возможность видеть записи , которые предлагаются пабликам + еще to VK.com - 19 upvotes, $300
  44. Общий CSRF токен для сообщений сообществ, или как подставить соседа-редактора to VK.com - 19 upvotes, $300
  45. Member still able close another user poll on communities topic to VK.com - 19 upvotes, $0
  46. Stored xss в /lead_forms_app.php to VK.com - 18 upvotes, $500
  47. Получение вечного доступа к Long Pool и авторизованой страницы сайта, если мы когда-либо были на аккаунте жертвы to VK.com - 18 upvotes, $500
  48. XSS в выборе товара. to VK.com - 18 upvotes, $500
  49. Open redirect в карусели сообщения бота to VK.com - 18 upvotes, $300
  50. Посмотреть видеоролики, которые пользователь когда-либо скидывал в ЛС. to VK.com - 18 upvotes, $100
  51. Получение чужого номера телефона (все цифры) через форму восстановления пароля to VK.com - 18 upvotes, $0
  52. [Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения to VK.com - 18 upvotes, $0
  53. Хранимая XSS в группе VK to VK.com - 17 upvotes, $500
  54. Blind XXE on pu.vk.com to VK.com - 17 upvotes, $500
  55. Просмотр приложений любого пользователя / группы to VK.com - 17 upvotes, $500
  56. Баг с оплатой подписки to VK.com - 17 upvotes, $300
  57. Получение стикеров to VK.com - 17 upvotes, $200
  58. CSRF Проверить является ли пользователь админом группы. to VK.com - 17 upvotes, $100
  59. Уязвимость дает возможность смотреть кто лайкал приватным фото или видео to VK.com - 17 upvotes, $100
  60. Второй способ обхода 2FA to VK.com - 16 upvotes, $1050
  61. XSS в товарах to VK.com - 16 upvotes, $1000
  62. Open Redirection Vulnerability in m.vk.com to VK.com - 16 upvotes, $300
  63. Проверяем принадлеженость email и номера телефона к определенному юзеру / CSRF на смену номера для некоторых пользователей to VK.com - 16 upvotes, $300
  64. Просмотр Участников ЧАСТНОЙ встречи to VK.com - 16 upvotes, $100
  65. Написать от имени любого пользователя на его стене, если он перейдет по ссылке. https://vk.com/al_video.php to VK.com - 15 upvotes, $200
  66. Раскрытие названия частной группы через старый бокс просмотра фото. to VK.com - 15 upvotes, $100
  67. новенькое (старенькое upgreid) хакерство: делаем демократию во всем в контакте (XSS - на англиском) to VK.com - 15 upvotes, $0
  68. Бесконечный доступ к аккаунту если мы смогли хотя бы раз зайти на аккаунт. to VK.com - 14 upvotes, $500
  69. Missing Server Side Rate Limiting can Lead to VK Account Take over to VK.com - 14 upvotes, $400
  70. Просмотр аватарки замороженной страницы/частной группы. to VK.com - 14 upvotes, $300
  71. Злом (virus).. Смотрим кто голосовал в анонимном опросе!! to VK.com - 14 upvotes, $200
  72. Issue in the implementation of captcha and race condition to VK.com - 14 upvotes, $0
  73. XSS в приглашении в группу to VK.com - 14 upvotes, $0
  74. Просмотр записей пользователя, который тебя заблокировал to VK.com - 14 upvotes, $0
  75. [m.vk.com] XSS на страницах /artist/ to VK.com - 13 upvotes, $500
  76. Отсутствие flood контроля в ИСТОРИЯХ вк to VK.com - 13 upvotes, $100
  77. Раскрытие информации о частной группе или приложении to VK.com - 13 upvotes, $100
  78. CSRF в виджетах to VK.com - 13 upvotes, $100
  79. [Привязка email к странице] by [email protected] | email-flood to VK.com - 13 upvotes, $0
  80. Page replacement and redirect loop to VK.com - 13 upvotes, $0
  81. Просмотр лайков и репостов фотографии, которая находятся в приватном альбоме to VK.com - 13 upvotes, $0
  82. Open redirect на мобильной версии в контакте (m.vk.com to VK.com - 12 upvotes, $300
  83. CSRF на сброс ключа трансляции. to VK.com - 12 upvotes, $100
  84. CSRF в m.vk.com to VK.com - 12 upvotes, $100
  85. XSS в обработчике ссылок to VK.com - 11 upvotes, $700
  86. CSRF в получении резервных токенов+framing , приводящие к компроментации 2fa to VK.com - 11 upvotes, $500
  87. XSS в названии звонка to VK.com - 11 upvotes, $500
  88. Получение предложенных фотографий паблику to VK.com - 11 upvotes, $200
  89. CSRF Добавить просмотр к записи без ведома пользователя. to VK.com - 11 upvotes, $100
  90. HTML Injection possible due to bad filter to VK.com - 11 upvotes, $0
  91. Opcode Cache to VK.com - 11 upvotes, $0
  92. clickjacking в /lead_forms_app.php to VK.com - 11 upvotes, $0
  93. Новый 2FA Bypass to VK.com - 10 upvotes, $1000
  94. Хранимая XSS в функционале добавления аудио в WYSIWYG to VK.com - 10 upvotes, $500
  95. Узнаем несколько цифр номера телефона юзера (можно флудить смс), всего раз узнав его remixsid и его ид юзера, и установка оффлайна юзерам. to VK.com - 10 upvotes, $300
  96. Обходим 2FA и/или получаем access_token, если мы когда-либо были на аккаунте жертвы to VK.com - 10 upvotes, $300
  97. Обход приватности у фотографий/документов to VK.com - 10 upvotes, $300
  98. Просмотр любых статей по их айди. to VK.com - 10 upvotes, $200
  99. Узнать название частной группы и ее аватарку по видеоролику. to VK.com - 10 upvotes, $100
  100. Просмотр аватара и название частной группы to VK.com - 10 upvotes, $100
  101. Отправляем смс на любой номер от имени vk.com. (Сообщение в смс всегда одно и то же, его менять нельзя.) to VK.com - 10 upvotes, $100
  102. Внедрение внешних сущностей в функционале импорта пользователей YouTrack to VK.com - 10 upvotes, $0
  103. SSRF (open) - via GET request to VK.com - 10 upvotes, $0
  104. XSS в названии сервера to VK.com - 10 upvotes, $0
  105. Backup Source Code Detected to VK.com - 10 upvotes, $0
  106. error to VK.com - 10 upvotes, $0
  107. Отправка произвольных запросов к API с правами любого установленного у пользователя iframe/miniapp to VK.com - 10 upvotes, $0
  108. Stored XSS в выборе метки на странице списка заказов. to VK.com - 9 upvotes, $500
  109. Просмотр любого видео из частной группы и кто загрузил to VK.com - 9 upvotes, $300
  110. Узнаем новые email приглашенного нами пользователя после смены, и так же часть номера телефона to VK.com - 9 upvotes, $300
  111. CSRF отредактировать карточки в посте у группы to VK.com - 9 upvotes, $100
  112. Часть админки доступна для всех пользователей to VK.com - 9 upvotes, $100
  113. Нет флуд-контроля на функции "Запрос денег" в VK Pay. Флуд уведомлениями и сообщениями пользователю, находящемуся в друзьях. to VK.com - 9 upvotes, $100
  114. доступ к com.vk.usersstore.UsersContentProvider, возможна утечка exchange_token на android < 21 to VK.com - 9 upvotes, $0
  115. Долгоживущий хеш + получение частичного доступа к аккаунту после сброса сессии to VK.com - 8 upvotes, $500
  116. Уязвимость приватных записей пользователя (личных) to VK.com - 8 upvotes, $400
  117. Уязвимость получения всех номеров телефонов вк (по совместительству логинов профилей) to VK.com - 8 upvotes, $200
  118. Просмотр аттачей удаленного сообщения..... to VK.com - 8 upvotes, $200
  119. Возможность провести DoS атаку от имени vk.com сервера to VK.com - 8 upvotes, $0
  120. Обход: "Аудиозапись недоступна для прослушивания в Вашем регионе." to VK.com - 8 upvotes, $0
  121. self-xss ads_easy_promote vk.com to VK.com - 8 upvotes, $0
  122. Недочет в поиске по хештегам to VK.com - 8 upvotes, $0
  123. Воскрешение сессии после сброса сессий / смены пароля / принудительной смены пароля to VK.com - 7 upvotes, $700
  124. Уязвимость Создание фотографий без ведома пользователей to VK.com - 7 upvotes, $300
  125. Создание ссылки от имени чужой страницы vk.cc to VK.com - 7 upvotes, $200
  126. Нет маркера на добавление песни в плейлист пользователя to VK.com - 7 upvotes, $100
  127. Монипулирование на страницах пользоватлей значением "Подсказывать стикеры в полях ввода" to VK.com - 7 upvotes, $100
  128. Просмотр части номера телефона и отправка на него SMS, всего раз скомпроментировав аккаунт to VK.com - 7 upvotes, $100
  129. CSRF на "ловлю гостей" и раскрытие аудиотрансляции в частной группе to VK.com - 7 upvotes, $100
  130. Возможность смотреть видео рекомендации любого пользователя вконтакте to VK.com - 7 upvotes, $0
  131. XSS работающая по всему сайту, где есть упоминания to VK.com - 7 upvotes, $0
  132. API: Bug in method auth.signup , дающий возможность бесконечно звонить to VK.com - 6 upvotes, $500
  133. Узнаем название и аватарку частной группы, по ID приложения. to VK.com - 6 upvotes, $100
  134. Обход фильтра на ссылки в загрузке историй.. to VK.com - 6 upvotes, $100
  135. Получаем название и аватарку (50x50) частной группы. to VK.com - 6 upvotes, $100
  136. Внедрение произвольного javascript-сценария в функционале просмотра изображений мобильной версии сайта to VK.com - 6 upvotes, $0
  137. api.vk.com отдаёт в ответ HTML авторизированную страницу vk.com to VK.com - 6 upvotes, $0
  138. XSS в комментариях от имени сообщества to VK.com - 6 upvotes, $0
  139. Хранимая XSS на странице "Виджет для авторизации" to VK.com - 6 upvotes, $0
  140. Изменение текстов вариантов ответа в опросах to VK.com - 6 upvotes, $0
  141. CSRF создание опроса от имени пользователя, зная id приложения. + небольшой флуд сообщениями на стену to VK.com - 6 upvotes, $0
  142. Просмотр новых фотографии со стены частной/закрытой группы или закрытого профиля. to VK.com - 5 upvotes, $300
  143. Просмотр инфы на странице пользователя или группы который тебя добавил в ЧС to VK.com - 5 upvotes, $200
  144. Добавление в меню сообщества без ведома пользователя (нажатия пользователем) to VK.com - 5 upvotes, $100
  145. Просмотр привязного к странице email, всего лишь раз скомпрометировав письмо-уведомление to VK.com - 5 upvotes, $100
  146. Просмотр удаленного сообщения из лс группы + возможность его переслать. to VK.com - 5 upvotes, $100
  147. DOM XSS в /activation.php?act=activate_mobile to VK.com - 5 upvotes, $0
  148. Дорк to VK.com - 5 upvotes, $0
  149. Способ узнать имя человека удаленной страницы to VK.com - 5 upvotes, $0
  150. Способ узнать имя человека удаленной страницы 2 to VK.com - 5 upvotes, $0
  151. Подмена SSL-сертификата для любой группы в секции Управление группой->Работа с API неавторизированным пользователем. to VK.com - 5 upvotes, $0
  152. Раскрытие имени файла приватных документов to VK.com - 5 upvotes, $0
  153. Stored XSS вирус в al_video.php?act=a_choose_video_box to VK.com - 4 upvotes, $500
  154. SSRF через Share-ботов to VK.com - 4 upvotes, $300
  155. Отвязываем Twitter от любого профиля вк ! + несколько багов по дизайну to VK.com - 4 upvotes, $250
  156. [0.vk.com] Reflected XSS на странице подтверждения. to VK.com - 4 upvotes, $200
  157. Checking whether user liked the media or not even when you are blocked to VK.com - 4 upvotes, $100
  158. Able to intercept app Traffic after choosing up the Secured Connection using SSL (HTTPS) to VK.com - 4 upvotes, $100
  159. vk.com/login.php to VK.com - 4 upvotes, $0
  160. Дайте swag to VK.com - 4 upvotes, $0
  161. Stored XSS в m.vk.com/video to VK.com - 3 upvotes, $500
  162. Уязвимость в Указание мест на фото + фича + хакинг to VK.com - 3 upvotes, $200
  163. Делаем плейлист от любого(почти) пользователя/группы/артиста. to VK.com - 3 upvotes, $100
  164. Способ узнать имя человека и ВУЗ удаленной страницы to VK.com - 3 upvotes, $0
  165. Логирование ответов запросов VK API в приложении Клевер to VK.com - 3 upvotes, $0
  166. Information Disclosure (phpinfo()) to VK.com - 3 upvotes, $0
  167. XSS at http://vk.com on IE using flash files to VK.com - 2 upvotes, $500
  168. Загружаем видеозаписи в основной альбом любой открытой группе/паблику. to VK.com - 2 upvotes, $300
  169. Паблики: Модератор паблика может удалять добавленные редакторами материалы с таймером на публикацию. to VK.com - 2 upvotes, $100
  170. API: Bug in method auth.validatePhone to VK.com - 2 upvotes, $0
  171. Не достаточная проверка логина скайп to VK.com - 1 upvotes, $100
  172. XSS on added name album on videos. to VK.com - 1 upvotes, $0