ngalongc/bug-bounty-reference

GitHub: ngalongc/bug-bounty-reference

一个按漏洞性质分类的漏洞赏金 write-up 合集，汇集了各大厂商的真实漏洞案例，供安全研究人员按需查阅和学习。

Stars: 4176 | Forks: 1029

# 漏洞赏金参考一份按漏洞性质分类的漏洞赏金报告（write-up）列表，其灵感来源于 https://github.com/djadmin/awesome-bug-bounty # 简介几个月来我一直在阅读漏洞赏金的 write-up，我发现当遇到某种不知道如何利用的漏洞时，阅读相关的 write-up 非常有帮助。假设你在一个网站上发现了一个 RPO (Relative Path Overwrite)，但不知道该如何利用它，那么最完美的去处就是[这里](http://blog.innerht.ml/rpo-gadgets/)。或者你发现你的客户使用了 OAuth 机制，但你不知道应该如何测试它，另一个完美的去处就是[这里](https://whitton.io/articles/obtaining-tokens-outlook-office-azure-account/) 我的目标是制作一份包含公开披露的漏洞赏金 write-up 的常见漏洞的完整列表，让漏洞赏金猎人（Bug Bounty Hunter）在进行漏洞挖掘时，可以将其作为参考，以便深入了解特定类型的漏洞。欢迎提交 Pull Request。好了，闲话少说，我们开始吧。 - [XSSI](#xssi) - [跨站脚本攻击 (XSS)](#cross-site-scripting-xss) - [暴力破解](#brute-force) - [SQL 注入 (SQLi)](#sql-injection) - [外部 XML 实体攻击 (XXE)](#xxe) - [远程代码执行 (RCE)](#remote-code-execution) - [反序列化](#deserialization) - [ImageTragick](#image-tragick) - [跨站请求伪造 (CSRF)](#csrf) - [不安全的直接对象引用 (IDOR)](#direct-object-reference-idor) - [窃取 Access Token](#stealing-access-token) - [Google OAuth 登录绕过](#google-oauth-bypass) - [服务端请求伪造 (SSRF)](#server-side-request-forgery-ssrf) - [无限制文件上传](#unrestricted-file-upload) - [竞态条件](#race-condition) - [业务逻辑漏洞](#business-logic-flaw) - [身份验证绕过](#authentication-bypass) - [HTTP 头注入](#http-header-injection) - [邮件相关](#email-related) - [窃取资金](#money-stealing) - [其他](#miscellaneous) ### 跨站脚本攻击 (XSS) - [沉睡的存储型 Google XSS 唤醒了 5000 美元赏金](https://blog.it-securityguard.com/bugbounty-sleeping-stored-google-xss-awakens-a-5000-bounty/) 作者：Patrik Fehrenbach - [导致 Google 信息泄露的 RPO](http://blog.innerht.ml/rpo-gadgets/) 作者：filedescriptor - [Uber 中的神级 XSS，登录，登出，再登录](https://whitton.io/articles/uber-turning-self-xss-into-good-xss/) 作者：Jack Whitton - [通过 PNG 和异常 Content Types 在 Facebook 上实现的 XSS](https://whitton.io/articles/xss-on-facebook-via-png-content-types/) 作者：Jack Whitton - 他能够从一个不相关的域名向 Facebook 主域名注入存储型 XSS - [在 *.ebay.com 中的存储型 XSS](https://whitton.io/archive/persistent-xss-on-myworld-ebay-com/) 作者：Jack Whitton - [复杂且最棒的 Google XSS 报告](https://sites.google.com/site/bughunteruniversity/best-reports/account-recovery-xss) 作者：Ramzes - [在 sms-be-vip.twitter.com 中棘手的 HTML 注入和可能的 XSS](https://hackerone.com/reports/150179) 作者：secgeek - [Google Console 中的命令注入](http://www.pranav-venkat.com/2016/03/command-injection-which-got-me-6000.html) 作者：Venkat S - [Facebook 的 Moves - OAuth XSS](http://www.paulosyibelo.com/2015/12/facebooks-moves-oauth-xss.html) 作者：PAULOS YIBELO - [Google 文档中的存储型 XSS (漏洞赏金)](http://hmgmakarovich.blogspot.hk/2015/11/stored-xss-in-google-docs-bug-bounty.html) 作者：Harry M Gertos - [在 Uber 中通过管理员账户失陷导致 developer.uber.com 上的存储型 XSS](https://hackerone.com/reports/152067) 作者：James Kettle (albinowax) - [Yahoo 邮件存储型 XSS](https://klikki.fi/adv/yahoo.html) 作者：Klikki Oy - [滥用 XSS 过滤器：一个 ^ 引发的 XSS (CVE-2016-3212)](http://mksben.l0.cm/2016/07/xxn-caret.html) 作者：Masato Kinugawa - [Youtube XSS](https://labs.detectify.com/2015/06/06/google-xss-turkey/) 作者：fransrosen - [再一次最棒的 Google XSS](https://sites.google.com/site/bughunteruniversity/best-reports/openredirectsthatmatter) - 作者：Krzysztof Kotowicz - [IE 和 Edge 的 URL 解析问题](https://labs.detectify.com/2016/10/24/combining-host-header-injection-and-lax-host-parsing-serving-malicious-data/) - 作者：detectify - [Google XSS 子域点击劫持](http://sasi2103.blogspot.sg/2016/09/combination-of-techniques-lead-to-dom.html) - [Google 日本 Book XSS](http://nootropic.me/blog/en/blog/2016/09/20/%E3%82%84%E3%81%AF%E3%82%8A%E3%83%8D%E3%83%83%E3%83%88%E3%82%B5%E3%83%BC%E3%83%95%E3%82%A3%E3%83%B3%E3%82%92%E3%81%97%E3%81%A6%E3%81%84%E3%81%9F%E3%82%89%E3%81%9F%E3%81%BE%E3%81%9F%E3%81%BEgoogle/) - [mega nz 上的 Flash XSS](https://labs.detectify.com/2013/02/14/how-i-got-the-bug-bounty-for-mega-co-nz-xss/) - 作者：frans - [Google IE 中的 XSS，Host 头反射](http://blog.bentkowski.info/2015/04/xss-via-host-header-cse.html) - [多年前的 Google xss](http://conference.hitb.org/hitbsecconf2012ams/materials/D1T2%20-%20Itzhak%20Zuk%20Avraham%20and%20Nir%20Goldshlager%20-%20Killing%20a%20Bug%20Bounty%20Program%20-%20Twice.pdf) - [通过 IE 奇怪行为在 Google 中发现的 xss](http://blog.bentkowski.info/2015/04/xss-via-host-header-cse.html) - [Yahoo Fantasy Sport 中的 xss](https://web.archive.org/web/20161228182923/http://dawgyg.com/2016/12/07/stored-xss-affecting-all-fantasy-sports-fantasysports-yahoo-com-2/) - [Yahoo Mail 再次出现 xss，价值 10000 美元](https://klikki.fi/adv/yahoo2.html) 作者：Klikki Oy - [Google 中沉睡的 XSS](https://blog.it-securityguard.com/bugbounty-sleeping-stored-google-xss-awakens-a-5000-bounty/) 作者：securityguard - [解码一个 .htpasswd 以赚取大量金钱](https://blog.it-securityguard.com/bugbounty-decoding-a-%F0%9F%98%B1-00000-htpasswd-bounty/) 作者：securityguard - [Google 账户接管](http://www.orenh.com/2013/11/google-account-recovery-vulnerability.html#comment-form) - [AirBnb 漏洞赏金：将 Self-XSS 转变为 Good-XSS #2](http://www.geekboy.ninja/blog/airbnb-bug-bounty-turning-self-xss-into-good-xss-2/) 作者：geekboy - [Uber 从 Self XSS 到全局 XSS](https://httpsonly.blogspot.hk/2016/08/turning-self-xss-into-good-xss-v2.html) - [我如何通过摆弄 Protobuf 发现一个价值 5000 美元的 Google Maps XSS](https://medium.com/@marin_m/how-i-found-a-5-000-google-maps-xss-by-fiddling-with-protobuf-963ee0d9caff#.cktt61q9g) 作者：Marin MoulinierFollow - [Airbnb – 当绕过 JSON 编码、XSS 过滤器、WAF、CSP 和 Auditor 变成了八个漏洞](https://buer.haus/2017/03/08/airbnb-when-bypassing-json-encoding-xss-filter-waf-csp-and-auditor-turns-into-eight-vulnerabilities/) 作者：Brett - [XSSI，客户端暴力破解](http://blog.intothesymmetry.com/2017/05/cross-origin-brute-forcing-of-saml-and.html) - [postMessage XSS 绕过](https://hackerone.com/reports/231053) - [Uber 中通过 Cookie 实现的 XSS](http://zhchbin.github.io/2017/08/30/Uber-XSS-via-Cookie/) 作者：zhchbin - [在 www.hackerone.com 上使用 Marketo Forms XSS 结合 postMessage frame-jumping 和 jQuery-JSONP 窃取联系表单数据](https://hackerone.com/reports/207042) 作者：frans - [Uber 中因第三方 JS 不当正则表达式导致的 7k XSS](http://zhchbin.github.io/2016/09/10/A-Valuable-XSS/) - [TinyMCE 2.4.0 中的 XSS](https://hackerone.com/reports/262230) 作者：Jelmer de Hen - [在 IE11 中传递未编码的 URL 导致 XSS](https://hackerone.com/reports/150179) - [通过阻止重定向和 javascript scheme 实现的 Twitter XSS](http://blog.blackfan.ru/2017/09/devtwittercom-xss.html) 作者：Sergey Bobrov - [Auth DOM Uber XSS](http://stamone-bug-bounty.blogspot.hk/2017/10/dom-xss-auth_14.html) - [在 www.yahoo.com 中的 XSS](https://www.youtube.com/watch?v=d9UEVv3cJ0Q&feature=youtu.be) - [在 Google 中使用 Dataset Publishing Language 实现的存储型 XSS 和 SSRF](https://s1gnalcha0s.github.io/dspl/2018/03/07/Stored-XSS-and-SSRF-Google.html) - [Snapchat 上的存储型 XSS](https://medium.com/@mrityunjoy/stored-xss-on-snapchat-5d704131d8fd) - [在 Google 学术上研究用于 XSS 的多态图像](https://blog.doyensec.com/2020/04/30/polymorphic-images-for-xss.html) - [OLX 漏洞赏金：404 页面中的反射型 XSS](https://medium.com/@abaykandotcom/olx-bug-bounty-reflected-xss-adb3095cd525) ### 暴力破解 - [Web 身验证端点凭据暴力破解漏洞](https://hackerone.com/reports/127844) 作者：Arne Swinnen - [InstaBrute：暴力破解 Instagram 账户凭据的两种方法](https://www.arneswinnen.net/2016/05/instabrute-two-ways-to-brute-force-instagram-account-credentials/) 作者：Arne Swinnen - [我如何能攻陷 4%（已锁定）的 Instagram 账户](https://www.arneswinnen.net/2016/03/how-i-could-compromise-4-locked-instagram-accounts/) 作者：Arne Swinnen - [在 riders.uber.com 中暴力破解邀请码的可能性](https://hackerone.com/reports/125505) 作者：r0t - [在 partners.uber.com 中暴力破解邀请码](https://hackerone.com/reports/144616) 作者：Efkan Gökbaş (mefkan) ### SQL 注入 - [在 Uber 中 Wordpress 插件 Huge IT Video Gallery 的 SQL 注入](https://hackerone.com/reports/125932) 作者：glc - [在 sctrack.email.uber.com.cn 上的 SQL 注入](https://hackerone.com/reports/150156) 作者：Orange Tsai - [Yahoo – Root 权限 SQL 注入 – tw.yahoo.com](http://buer.haus/2015/01/15/yahoo-root-access-sql-injection-tw-yahoo-com/) 作者：Brett Buerhaus - [在 drive.uber.com 的一个 WordPress 插件中的多个漏洞](https://hackerone.com/reports/135288) 作者：Abood Nour (syndr0me) - [GitHub Enterprise SQL 注入](http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-sql-injection.html) 作者：Orange - [从 Yahoo SQL 注入到远程代码执行再到 Root 权限](http://www.sec-down.com/wordpress/?p=494) 作者：Ebrahim Hegazy ### 窃取 Access Token - [Facebook Access Token 被盗](https://whitton.io/articles/stealing-facebook-access-tokens-with-a-double-submit/) 作者：Jack Whitton - - [获取 Outlook、Office 或 Azure 账户的登录 Token](https://whitton.io/articles/obtaining-tokens-outlook-office-azure-account/) 作者：Jack Whitton - [使用 HPP 绕过 Digits Web 身份验证的主机验证](https://hackerone.com/reports/114169) 作者：filedescriptor - [在 GitHub 中使用 /../ 绕过 redirect_uri 验证](http://homakov.blogspot.hk/2014/02/how-i-hacked-github-again.html?m=1) 作者：Egor Homakov - [在 Digits 上绕过 callback_url 验证](https://hackerone.com/reports/108113) 作者：filedescriptor - [窃取 livechat token 并以该用户身份进行聊天 - 用户信息泄露](https://hackerone.com/reports/151058) 作者：Mahmoud G. (zombiehelp54) - [通过 /rt/users/passwordless-signup 更改任何 Uber 用户的密码 - 账户接管 (严重)](https://hackerone.com/reports/143717) 作者：mongo (mongo) - [Internet Explorer 存在 URL 问题，在 GitHub 上](http://blog.innerht.ml/internet-explorer-has-a-url-problem/) 作者：filedescriptor。 - [我如何让 LastPass 给你我所有的密码](https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/) 作者：labsdetectify - [在 Microsoft 中窃取 Google Oauth](http://blog.intothesymmetry.com/2015/06/on-oauth-token-hijacks-for-fun-and.html) - [窃取 FB Access Token](http://blog.intothesymmetry.com/2014/04/oauth-2-how-i-have-hacked-facebook.html) - [Paypal Access Token 泄露](http://blog.intothesymmetry.com/2016/11/all-your-paypal-tokens-belong-to-me.html?m=1) - [窃取 FB Access Token](http://homakov.blogspot.sg/2013/02/hacking-facebook-with-oauth2-and-chrome.html) - [Appengine 酷炫漏洞](https://proximasec.blogspot.hk/2017/02/a-tale-about-appengines-authentication.html) - [Slack 发送消息的真实经历](https://labs.detectify.com/2017/02/28/hacking-slack-using-postmessage-and-websocket-reconnect-to-steal-your-precious-token/) - [绕过 redirect_uri](http://nbsriharsha.blogspot.in/2016/04/oauth-20-redirection-bypass-cheat-sheet.html) 作者：nbsriharsha - [窃取价值 15k 的 Facebook Messenger nonce](https://stephensclafani.com/2017/03/21/stealing-messenger-com-login-nonces/) - [窃取 Oculus Nonce 和 Oauth 流程绕过](https://medium.com/@lokeshdlk77/bypass-oauth-nonce-and-steal-oculus-response-code-faa9cc8d0d37) #### Google OAuth 绕过 - [在 Periscope 的管理面板上绕过 Google 身份验证](https://whitton.io/articles/bypassing-google-authentication-on-periscopes-admin-panel/) 作者：Jack Whitton #### 点击劫持 - [玩个游戏，被订阅我的频道 - YouTube 点击劫持漏洞 | #GoogleVRP](https://infosecwriteups.com/play-a-game-get-subscribed-to-my-channel-youtube-clickjacking-bug-googlevrp-6ce1d15542d3?source=your_stories_page-------------------------------------) 作者：Sriram ### CSRF - [Messenger.com CSRF，展示了你在检查 CSRF 时的步骤](https://whitton.io/articles/messenger-site-wide-csrf/) 作者：Jack Whitton - [Paypal 漏洞赏金：未经同意更新 Paypal.me 个人资料图片 (CSRF 攻击)](https://hethical.io/paypal-bug-bounty-updating-the-paypal-me-profile-picture-without-consent-csrf-attack/) 作者：Florian Courtial - [一键黑掉 PayPal 账户 (已修复)](http://yasserali.com/hacking-paypal-accounts-with-one-click/) 作者：Yasser Ali - [将推文添加到收藏集 CSRF](https://hackerone.com/reports/100820) 作者：vijay kumar - [Facebookmarketingdevelopers.com：代理、CSRF 困境与 API 乐趣](http://philippeharewood.com/facebookmarketingdevelopers-com-proxies-csrf-quandry-and-api-fun/) 作者：phwd - [我如何黑掉你的 Beats 账户？苹果漏洞赏金](https://aadityapurani.com/2016/07/20/how-i-hacked-your-beats-account-apple-bug-bounty/) 作者：@aaditya_purani - [FORM POST JSON: POST Heartbeats API 上的 JSON CSRF](https://hackerone.com/reports/245346) 作者：Dr.Jones - [利用 Oculus-Facebook 集成中的 CSRF 黑掉 Facebook 账户](https://www.josipfranjkovic.com/blog/hacking-facebook-oculus-integration-csrf) ### 远程代码执行 - [PayPal 中的 JDWP 远程代码执行](https://www.vulnerability-lab.com/get_content.php?id=1474) 作者：Milan A Solanki - [OpenID 中的 XXE：一个可以统治它们的漏洞，或者我如何发现一个影响 Facebook 服务器的远程代码执行缺陷](http://www.ubercomp.com/posts/2014-01-16_facebook_remote_code_execution) 作者：Reginaldo Silva - [我如何黑掉 Facebook，并发现了某人的后门脚本](http://devco.re/blog/2016/04/21/how-I-hacked-facebook-and-found-someones-backdoor-script-eng-ver/) 作者：Orange Tsai - [我如何在 GitHub Enterprise 上链接 4 个漏洞，从 SSRF 执行链到 RCE！](http://blog.orange.tw/2017/07/how-i-chained-4-vulnerabilities-on.html) 作者：Orange Tsai - [uber.com 可能通过 Flask Jinja2 模板注入实现 RCE](https://hackerone.com/reports/125980) 作者：Orange Tsai - [Yahoo 漏洞赏金 - *.login.yahoo.com 远程代码执行](http://blog.orange.tw/2013/11/yahoo-bug-bounty-part-2-loginyahoocom.html) 作者：Orange Tsai (抱歉，仅限中文) - [我们如何攻破 PHP，黑掉 Pornhub 并赚取 20,000 美](

标签：Bug Bounty, CISA项目, CSRF, RCE, SSRF, Web安全, Web报告查看器, Write-up, XSS, XXE, 业务逻辑漏洞, 可自定义解析器, 安全列表, 安全资源库, 漏洞分析, 漏洞情报, 漏洞披露, 网络安全, 蓝队分析, 认证绕过, 路径探测, 防御加固, 隐私保护