Спасибо @ValyaRoller за приглашение на подкаст! Подписывайтесь на его замечательный канал @pigPeter

Кому интересен кейс с paypal, тут подробнее можно почитать: @postImpact6

такой же кейс все еще работает с TripAdvisor так что можете счейнить до high с любой xss на поддоменах: Pattern.compile("^(?:https?\\:\\/\\/(?:[A-Za-z0-9_\\-]+\\.(dhcp(\\-[A-Za-z]+)?\\.([A-Za-z0-9_\\-]+\\.corp\\.)?|(nw\\.)?dev(\\-[A-Za-z]+)?\\.|cmc\\.|d\\.)?)?tripadvisor\\.(?:com|(?:[a-z]{2})|(?:(?:co|com)\\.[a-z]{2})))?\\/.*$");

Вообще многие сдают не раскручивая — сдают medium вместо high теряя значительное bounty.

Еще кейс с dyson не попал в видео, там я рассказывал про то что у них одна тестовая репа попала в публичный bitbucket (всего на пару часов), а там был логин/пароль QA. И пароль подходил к его рабочему outlook , внутреннему bitbucket и slack. Как итог - доступ к главному домену dyson.com и сорцам. Так что нужны второй фактор и еще фингерпиринты к браузерам/ip.

про мою первую багу в ICQ, на самом деле 150$ (отчет оказался частично раскрытым) — https://hackerone.com/reports/373909