我是漏洞赏金的初学者,我正在测试一个网站,发现我可以加入一个我没有被授权加入的公司的随机视频通话。我一直在进行子域枚举,并决定检查我发现的东西。好吧,我能够加入视频通话(谢天谢地,没有人在场,我录制了屏幕/屏幕截图等)并记录了所有内容,以便我可以报告,但是我有……不知道那会是什么……比如……敏感数据?如果有人能帮助我,我在 HackerOne 上获得这个赏金……所以不确定严重性等。我只能说它在 Jitsi 上……并且正在参加一个特定的会议?
您描述的漏洞似乎属于访问控制类别。例如,在 HackerOne 上,您可以在 CWE-284 下提交报告:不正确的访问控制。
但在这样做之前,您可以采取一些进一步的步骤来尝试验证该漏洞是否有效。例如: