链接：https://medium.com/@qdoan95/the-story-of-an-old-report-31606490d01f

作者给我科普了一个安全漏洞披露平台，https://huntr.dev， 我研究了一下。 主要是针对开源项目，还是适合用来学习的。

作者发现了一个youtube的下载程序，在使用youtube-dl的时候，并不验证url。所以导致用它的项目可能SSRF。 因为youtube-dl其实是设计为本地使用的，如果用来做服务的话，就可以通过SSRF来探测一些内网的东西。

在使用开源项目的时候，也需要注意使用的方式，不然很容易出漏洞。

链接： https://huntr.dev/bounties/e6f2d10e-be4d-4d0d-9068-fc7a6dc0e2fc/

我的想法

就这个漏洞，使用了youtube-dl，那我如果在github上搜这个，然后很多项目的star也是很高的，也是可以获得一些奖励，这是不是就是刷漏洞呢？