От XSS уязвимости до полного административного доступа
#xss #web #bugbounty #статья #перевод
В этой статье были продемонстрированы нестандартные способы использования простой XSS атаки, даже с такими сильными защитами, как HTTPOnly.
Никогда не надо недооценивать такую простую уязвимость, как XSS, даже в современных быстро развивающихся веб-приложениях, основанных на передовых технологиях.
Ссылка на статью
LH | Новости | Курсы | OSINT
#xss #web #bugbounty #статья #перевод
В этой статье были продемонстрированы нестандартные способы использования простой XSS атаки, даже с такими сильными защитами, как HTTPOnly.
Никогда не надо недооценивать такую простую уязвимость, как XSS, даже в современных быстро развивающихся веб-приложениях, основанных на передовых технологиях.
Ссылка на статью
LH | Новости | Курсы | OSINT
Небезопасная десериализация в PHP: Как создать собственный эксплойт
#web #bugbounty #статья
Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.
Ссылка на статью
LH | Новости | Курсы | OSINT
#web #bugbounty #статья
Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.
Ссылка на статью
LH | Новости | Курсы | OSINT
Waymore
#web #bugbounty
Идея Waymore заключается в том, чтобы находить еще больше ссылок из Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, и VirusTotal чем другие существующие инструменты.
Ссылка на инструмент
LH | Новости | Курсы | OSINT
#web #bugbounty
Идея Waymore заключается в том, чтобы находить еще больше ссылок из Wayback Machine, Common Crawl, Alien Vault OTX, URLScan, и VirusTotal чем другие существующие инструменты.
Ссылка на инструмент
LH | Новости | Курсы | OSINT
Эскалация привилегий через функционал имперсонации
#web #bugbounty #перевод #статья
Я хочу поделиться с вами интересной уязвимостью, которую я обнаружил в одной из программ Bugcrowd. Она была связана с функцией «имперсонации пользователя».
Ссылка на статью
LH | Новости | Курсы | OSINT
#web #bugbounty #перевод #статья
Я хочу поделиться с вами интересной уязвимостью, которую я обнаружил в одной из программ Bugcrowd. Она была связана с функцией «имперсонации пользователя».
Ссылка на статью
LH | Новости | Курсы | OSINT
This media is not supported in your browser
VIEW IN TELEGRAM
Payloads
#web #bugbounty #pentest
Впечатляющий сборник полезных нагрузок для веб-атак.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
#web #bugbounty #pentest
Впечатляющий сборник полезных нагрузок для веб-атак.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
Путешествие от Limited Path Traversal к RCE с вознаграждением в $40,000!
#web #bugbounty #статья #перевод #rce
В этой статье я подробно расскажу, как я и Орва Атият успешно раскрутили ограниченный обход пути (limited path traversal) в удалённое выполнение кода (RCE), заработав таким образом вознаграждение в 40 000 долларов.
Ссылка на статью
LH | Новости | Курсы | OSINT
#web #bugbounty #статья #перевод #rce
В этой статье я подробно расскажу, как я и Орва Атият успешно раскрутили ограниченный обход пути (limited path traversal) в удалённое выполнение кода (RCE), заработав таким образом вознаграждение в 40 000 долларов.
Ссылка на статью
LH | Новости | Курсы | OSINT
Open-source-web-scanners
#web #bugbonty #scan #подборка
Список open source сканеров, для тестирования безопасности веб-сайтов.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
#web #bugbonty #scan #подборка
Список open source сканеров, для тестирования безопасности веб-сайтов.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
This media is not supported in your browser
VIEW IN TELEGRAM
AwesomeXSS
#xss #bugbounty #web
Набор инструментов, ресурсов и информации, связанных с поиском и эксплуатацией XSS. Репозиторий полезен для багхантеров и тех, кто хочет глубже понять, как защитить свои веб-приложения от XSS атак.
Ссылка на инструмент
LH | Новости | Курсы | OSINT
#xss #bugbounty #web
Набор инструментов, ресурсов и информации, связанных с поиском и эксплуатацией XSS. Репозиторий полезен для багхантеров и тех, кто хочет глубже понять, как защитить свои веб-приложения от XSS атак.
Ссылка на инструмент
LH | Новости | Курсы | OSINT
CORS-one-liner
#web #bugbounty #CORS #pentest
Это чрезвычайно полезная и практичная шпаргалка для охотников за ошибками, которая помогает вам найти неправильную настройку CORS. Вам просто нужно заменить https://example.com на URL-адрес, который вы хотите проверить. Это поможет вам просканировать уязвимость CORS без необходимости использования сложного инструмента. Все, что вам нужно сделать, это скопировать и вставить команды в свой терминал и держать пальцы скрещенными на случай нахождения какой-либо уязвимости CORS.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
#web #bugbounty #CORS #pentest
Это чрезвычайно полезная и практичная шпаргалка для охотников за ошибками, которая помогает вам найти неправильную настройку CORS. Вам просто нужно заменить https://example.com на URL-адрес, который вы хотите проверить. Это поможет вам просканировать уязвимость CORS без необходимости использования сложного инструмента. Все, что вам нужно сделать, это скопировать и вставить команды в свой терминал и держать пальцы скрещенными на случай нахождения какой-либо уязвимости CORS.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
Захват аккаунта: Как я нашел способ получить доступ к любому аккаунту благодаря простой ошибке в регистрации
#статья #перевод #web #bugbounty #OTP #ATO
простой недостаток в процессе регистрации может привести к легкому захвату учетной записи. Обходя проверку электронной почты и используя такую уязвимость, как отсутствие истечения срока действия OTP, я смог легко взять под контроль любую учетную запись пользователя или сотрудника. Я также обнаружил, что, слегка изменив адрес электронной почты, например используя такие варианты, как [email protected] или [email protected], я могу переписать существующую учетную запись и полностью обойти процесс верификации.
Ссылка на статью
LH | Новости | Курсы | OSINT
#статья #перевод #web #bugbounty #OTP #ATO
простой недостаток в процессе регистрации может привести к легкому захвату учетной записи. Обходя проверку электронной почты и используя такую уязвимость, как отсутствие истечения срока действия OTP, я смог легко взять под контроль любую учетную запись пользователя или сотрудника. Я также обнаружил, что, слегка изменив адрес электронной почты, например используя такие варианты, как [email protected] или [email protected], я могу переписать существующую учетную запись и полностью обойти процесс верификации.
Ссылка на статью
LH | Новости | Курсы | OSINT
FlareSolverr
#bugbounty #Proxy #Web
Это прокси-сервер для обхода защиты Cloudflare от ботов и других мер веб-безопасности, что упрощает веб-скраппинг и извлечение данных.
Тнструмент имитирует работу настоящего браузера, что позволяет ему успешно выполнять задачи, проходить проверки безопасности и отображать содержимое веб-страниц.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
#bugbounty #Proxy #Web
Это прокси-сервер для обхода защиты Cloudflare от ботов и других мер веб-безопасности, что упрощает веб-скраппинг и извлечение данных.
Тнструмент имитирует работу настоящего браузера, что позволяет ему успешно выполнять задачи, проходить проверки безопасности и отображать содержимое веб-страниц.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
Jshunter
#bugbounty #Web #recon #pentest
Инструмент командной строки, для анализа JavaScript файлов. Помогает выявлять конфиденциальные данные, конечные точки API и возможные уязвимости в безопасности.
👩💻 Ссылка на GitHub
LH🥷 | Новости 💬 | OSINT 🥷
#bugbounty #Web #recon #pentest
Инструмент командной строки, для анализа JavaScript файлов. Помогает выявлять конфиденциальные данные, конечные точки API и возможные уязвимости в безопасности.
LH
Please open Telegram to view this post
VIEW IN TELEGRAM
Эксплуатация Algolia API ключа и выплата $1000 (P2) в приватной bug bounty программе
#статья #bugbounty #web #перевод #pentest
В этой статье я объясню, что такое Algolia API Key, как вы можете его использовать и заработать $1000.
🔗 Ссылка на статью
LH🥷 | Новости 💬 | OSINT 🥷
#статья #bugbounty #web #перевод #pentest
В этой статье я объясню, что такое Algolia API Key, как вы можете его использовать и заработать $1000.
LH
Please open Telegram to view this post
VIEW IN TELEGRAM