用手机编辑的将就着吃，下饭。

字节改了规则，然后我就去挖了，毕竟想着钱多嘛。

​

第一个漏洞是我提交了一个泄露大量配置文件的平台，账号密码一堆，然后给了我3分，说没有任何危害，还都在内网。然后我就随便找了一个配置文件里的账号密码

​

去外网找资产登录。

然后200多台机器都可以登录，不过说是监控系统，没什么危害，但是那个配置文件里只有这一个账号密码？

当时我把弱口令交的时候，字节运营说我交了弱口令，就不要再继续测试了，ok，我就停了。然后后面我觉得不服，为啥那么多账号密码泄露，只能定一个中减。然后审核说让我去找更多的证据，我tnnd，一个让我停一个又让我继续测。我去测的时候那个配置文件已经看不了，被关掉了，我测个？？

第二个漏洞

存储xss

​

数据不同，界面不同，啥都不同，三个站的存储xss算了一个，而且只给了21分。我闭嘴不多说啥。

第三个漏洞，昨晚交的

​

一个活动的任意用户登录。想的是边缘资产事jb太多，不想跟审核吵，我就怼中高等级的资产去了。

爆破验证码然后登录上去能查看用户信息，给了3分，真心打发叫花子呢还tnnd主站。

没有断章取义，直接截图发的我跟审核的原话。审核真厉害，中间惊世骇俗的话：就算rce也是中危，考虑到风险存在，给你3分买个鸡腿吃。yue了。