Reports in vk program: S.No Title Bounty 1 Определение id по номеру телефона $5000.0 2 XSS в upload.php $1500.0 3 Второй способ обхода 2FA $1050.0 4 Обход 2ух-шаговой авторизации / 2FA Bypass $1000.0 5 local file disclosure via FFmpeg hls processing $1000.0 6 Новый 2FA Bypass $1000.0 7 XSS в товарах $1000.0 8 Воскрешение сессии после сброса сессий / смены пароля / принудительной смены пароля $700.0 9 Просмотр любых записей на стене $700.0 10 Stealing Private Information in VK Android App through PlayerProxy Port Remotely $700.0 11 Bypass User Interaction to initiate a VoIP call to Another User $500.01 12 API: Bug in method auth.signup , дающий возможность бесконечно звонить $500.0 13 CSRF в получении резервных токенов+framing , приводящие к компроментации 2fa $500.0 14 Хранимая XSS в группе VK $500.0 15 Хранимая XSS в функционале добавления аудио в WYSIWYG $500.0 16 XSS в колбек апи в сообществах $500.0 17 Blind XXE on pu.vk.com $500.0 18 Просмотр приложений любого пользователя / группы $500.0 19 Получение вечного доступа к Long Pool и авторизованой страницы сайта, если мы когда-либо были на аккаунте жертвы $500.0 20 Бесконечный доступ к аккаунту если мы смогли хотя бы раз зайти на аккаунт. $500.0 21 Reflected XSS в /video $500.0 22 [m.vk.com] XSS на страницах /artist/ $500.0 23 XSS в названии звонка $500.0 24 Stored XSS в выборе метки на странице списка заказов. $500.0 25 Stored XSS при удалении группы из беседы (m.vk.com) $500.0 26 XSS в сюжетах. $500.0 27 XSS в выборе товара. $500.0 28 Reflected Xss On https://vk.com/search $500.0 29 Уязвимость приватных записей пользователя (личных) $400.0 30 Missing Server Side Rate Limiting can Lead to VK Account Take over $400.0 31 Уязвимость Создание фотографий без ведома пользователей $300.0 32 SSRF через Share-ботов $300.0 33 Просмотр любого видео из частной группы и кто загрузил $300.0 34 Open Redirection Vulnerability in m.vk.com $300.0 35 Уязвимость дает возможность видеть записи , которые предлагаются пабликам + еще $300.0 36 Просмотр приватных видео записей у Пользователей $300.0 37 Общий CSRF токен для сообщений сообществ, или как подставить соседа-редактора $300.0 38 Проверяем принадлеженость email и номера телефона к определенному юзеру / CSRF на смену номера для некоторых пользователей $300.0 39 Узнаем несколько цифр номера телефона юзера (можно флудить смс), всего раз узнав его remixsid и его ид юзера, и установка оффлайна юзерам. $300.0 40 Вставляем свой код в мобильном приложении в разделе помощи сообществам $300.0 41 Обходим 2FA и/или получаем access_token, если мы когда-либо были на аккаунте жертвы $300.0 42 Узнаем новые email приглашенного нами пользователя после смены, и так же часть номера телефона $300.0 43 XSS in vk.link $300.0 44 Open Redirect и подмена ссылки в сниппете приложения VKMA $300.0 45 Open redirect в карусели сообщения бота $300.0 46 Просмотр аватарки замороженной страницы/частной группы. $300.0 47 Баг с оплатой подписки $300.0 48 Уязвимость получения всех номеров телефонов вк (по совместительству логинов профилей) $200.0 49 Написать от имени любого пользователя на его стене, если он перейдет по ссылке. https://vk.com/al_video.php $200.0 50 Создание ссылки от имени чужой страницы vk.cc $200.0 51 Получение предложенных фотографий паблику $200.0 52 Уязвимый класс WebView $200.0 53 [0.vk.com] Reflected XSS на странице подтверждения. $200.0 54 Просмотр инфы на странице пользователя или группы который тебя добавил в ЧС $200.0 55 Просмотр любых статей по их айди. $200.0 56 Отправка подарков/стикерпаков не теряя голоса. $200.0 57 Получение стикеров $200.0 58 Паблики: Модератор паблика может удалять добавленные редакторами материалы с таймером на публикацию. $100.0 59 Добавление в меню сообщества без ведома пользователя (нажатия пользователем) $100.0 60 Able to intercept app Traffic after choosing up the Secured Connection using SSL (HTTPS) $100.0 61 CSRF на сброс ключа трансляции. $100.0 62 Посмотреть видеоролики, которые пользователь когда-либо скидывал в ЛС. $100.0 63 Нет маркера на добавление песни в плейлист пользователя $100.0 64 Узнать название частной группы и ее аватарку по видеоролику. $100.0 65 CSRF Проверить является ли пользователь админом группы. $100.0 66 CSRF Добавить просмотр к записи без ведома пользователя. $100.0 67 Просмотр Участников ЧАСТНОЙ встречи $100.0 68 Узнаем название и аватарку частной группы, по ID приложения. $100.0 69 Монипулирование на страницах пользоватлей значением "Подсказывать стикеры в полях ввода" $100.0 70 Просмотр привязного к странице email, всего лишь раз скомпрометировав письмо-уведомление $100.0 71 Просмотр аватара и название частной группы $100.0 72 CSRF отредактировать карточки в посте у группы $100.0 73 Отсутствие flood контроля в ИСТОРИЯХ вк $100.0 74 Просмотр части номера телефона и отправка на него SMS, всего раз скомпроментировав аккаунт $100.0 75 CSRF на "ловлю гостей" и раскрытие аудиотрансляции в частной группе $100.0 76 Раскрытие информации о частной группе или приложении $100.0 77 Часть админки доступна для всех пользователей $100.0 78 Уязвимость дает возможность смотреть кто лайкал приватным фото или видео $100.0 79 Нет флуд-контроля на функции "Запрос денег" в VK Pay. Флуд уведомлениями и сообщениями пользователю, находящемуся в друзьях. $100.0 80 Отправляем смс на любой номер от имени vk.com. (Сообщение в смс всегда одно и то же, его менять нельзя.) $100.0 81 CSRF в виджетах $100.0 82 Получаем название и аватарку (50x50) частной группы. $100.0 83 DOM XSS в /activation.php?act=activate_mobile $0.0 84 Issue in the implementation of captcha and race condition $0.0 85 Способ узнать имя человека и ВУЗ удаленной страницы $0.0 86 Дорк $0.0 87 vk.com/login.php $0.0 88 Stored XSS в личных сообщениях $0.0 89 Способ узнать имя человека удаленной страницы $0.0 90 Способ узнать имя человека удаленной страницы 2 $0.0 91 SSRF (open) - via GET request $0.0 92 HTML Injection possible due to bad filter $0.0 93 Возможность провести DoS атаку от имени vk.com сервера $0.0 94 Возможность смотреть видео рекомендации любого пользователя вконтакте $0.0 95 Обход: "Аудиозапись недоступна для прослушивания в Вашем регионе." $0.0 96 Возможность взлома любого пользователя, не использующего двухфакторной аутентификации, через получения кода восстановления на чужой номер. $0.0 97 Подмена SSL-сертификата для любой группы в секции Управление группой->Работа с API неавторизированным пользователем. $0.0 98 api.vk.com отдаёт в ответ HTML авторизированную страницу vk.com $0.0 99 XSS в комментариях от имени сообщества $0.0 100 Раскрытие имени файла приватных документов $0.0 101 XSS в названии сервера $0.0 102 XSS в приглашении в группу $0.0 103 XSS в личных сообщениях $0.0 104 Stored xss в /lead_forms_app.php $0.0 105 XSS работающая по всему сайту, где есть упоминания $0.0 106 self-xss ads_easy_promote vk.com $0.0 107 Хранимая XSS на странице "Виджет для авторизации" $0.0 108 Изменение текстов вариантов ответа в опросах $0.0 109 CSRF создание опроса от имени пользователя, зная id приложения. + небольшой флуд сообщениями на стену $0.0 110 Opcode Cache $0.0 111 Backup Source Code Detected $0.0 112 error $0.0 113 новенькое (старенькое upgreid) хакерство: делаем демократию во всем в контакте (XSS - на англиском) $0.0 114 Недочет в поиске по хештегам $0.0 115 clickjacking в /lead_forms_app.php $0.0 116 ПРОСМОТР ЛЮБЫХ ПРИВАТНЫХ ФОТО + ПРЕВЬЮ ЛЮБОГО ПРИВАТНОГО ВИДЕО. $0.0 117 Смотрим фотографии из частных/закрытых групп. $0.0 118 Reflected XSS в /al_audio.php $0.0 119 [Привязка email к странице] by admin@notify.vk.com | email-flood $0.0 120 Получение чужого номера телефона (все цифры) через форму восстановления пароля $0.0 121 XSS-уязвимость, связанная с загрузкой файлов $0.0 122 Просмотр записей пользователя, который тебя заблокировал $0.0 123 Доступ к администраторским faq $0.0 124 [Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения $0.0 125 Долгоживущий хеш + получение частичного доступа к аккаунту после сброса сессии $0.0 126 Page replacement and redirect loop $0.0 127 Логирование ответов запросов VK API в приложении Клевер $0.0 128 Просмотр лайков и репостов фотографии, которая находятся в приватном альбоме $0.0 129 Получение БД кэша из Android-приложения через стороннее приложение $0.0 130 CVE-2018-0296 $0.0 131 Дайте swag $0.0 132 Information Disclosure (phpinfo()) $0.0 133 доступ к com.vk.usersstore.UsersContentProvider, возможна утечка exchange_token на android < 21 $0.0 134 Мини-уязвимость в обработке ссылок $0.0 135 Clickjacking vkpay $0.0 136 Отправка произвольных запросов к API с правами любого установленного у пользователя iframe/miniapp $0.0 137 XSS Reflected in m.vk.com $0.0 138 Уязвимость в методе auth.restore $0.0 139 Обход приватности у фотографий/документов $0.0 140 Path Traversal в iOS приложении $0.0 141 XSS в обработчике ссылок $0.0 142 Member still able close another user poll on communities topic $0.0 143 CSRF на установку своей почты к аккаунту. $0.0 144 [VK Android] Access to app protected components leads to arbitrary code execution $0.0 145 Stored XSS в m.vk.com/video $0.0 146 Stored XSS вирус в al_video.php?act=a_choose_video_box $0.0 147 Просмотр удаленного сообщения из лс группы + возможность его переслать. $0.0 148 Делаем плейлист от любого(почти) пользователя/группы/артиста. $0.0 149 Обход фильтра на ссылки в загрузке историй.. $0.0 150 CSRF в m.vk.com $0.0 151 Reflected XSS в m.vk.com $0.0 152 Reflected xss в m.vk.com/chatjoin $0.0 153 CSRF на загрузку аудиозаписей $0.0 154 Злом (virus).. Смотрим кто голосовал в анонимном опросе!! $0.0 155 Open redirect на мобильной версии в контакте (m.vk.com $0.0 156 Просмотр новых фотографии со стены частной/закрытой группы или закрытого профиля. $0.0 157 Загружаем видеозаписи в основной альбом любой открытой группе/паблику. $0.0 158 Reflected xss в m.vk.com/chatjoin $0.0 159 Раскрытие названия частной группы через старый бокс просмотра фото. $0.0 160 Просмотр аттачей удаленного сообщения..... $0.0 161 Просмотр закрытых фотографий $0.0 162 Выполнение API-методов при открытии сообщества/приложения $0.0 163 Уязвимость в приложении для Android $0.0