жаль не заскринил, Теперь будешь говорить что не было такого.

а по Исису новостей нет?

Интересная штука если заходить на h1 через голландские vpn начинают приходить инвайты на голландские приватки

как злоумышленник может использовать cors misconfiguration? везде и в видео и лабах, идет работа со своим личным аккаунтом. т.е. чтобы отправить чьи-то данные отправить на свой сервер, нужно перехватить реквест, изменить/добавить Original и готово.
какой тогда смысл пересылать если и так владеешь аккаунтом непосредственно? если за эту уязвимость компании платят (спасибо pixiv за 300$) значит есть варианты использования этой уязвимости удаленно без взаимодействия с аккаунтом. какие?

Ну вообще в репортах «сами себя» атакуют для демонстрации самой возможности.  Я вот тут недавно писал о двух вариантах мисконфига. https://medium.com/bugbountywriteup/broke-limited-scope-with-a-chain-of-bugs-ef734ac430f5

несколько раз статью перечитывал и вот только сейчас глаз зацепился за скрипт который на сайте размещается

теперь окончательно догнал. thx

а то че-то не прикольно репортить не понимая в чем сама жуть уязвимости заключается

ahah  pidor.html :D:D

Ну хоть кто-то пасхалку увидел 😂 кстати в репорте оно так и было))) но кто ж поймет.

может стафф и команда подумали типа сокращение "personal idor" )

Бог маркетинга

я не бог

А может оскорбились и за это прилепили дублем.

там в команде у них не мало русских. даже этот nochnoidozor. уже на скольких репортах мне отвечает постоянно

и тоже любит дубли)

господа, еще вопрос

какой импакт от неистекающей ссылки для активации аккаунта.
т.е. один раз перешел и могу ее в разные браузеры совать чтоб в аккаунте оказаться

Кто такой hackerone pentester из этого отчета? Тут еще круто jobert сам зарепортил, сам затриажил и сам зарезолвил