BugXplorer
@bugxplorer
7.7K subscribers
196 photos
3 videos
56 files
3.8K links
Contacts:
mail: joelblack@protonmail.com
tg: @joe1black

Other:
twitter: https://x.com/BugXpl0rer
Download Telegram
About
Blog
Apps
Platform
Join
BugXplorer
7.7K subscribers
BugXplorer
Forwarded from Standoff 365
Хочешь получить доступ к приватным программам на платформе Standoff Bug Bounty?

Конечно хочешь. Вот короткая инструкция, что делать:

1️⃣ Перейди по ссылке и заполни небольшой опрос.

2️⃣ Попади в список из 50 счастливчиков с самыми классными навыками и опытом. Если пройдешь отбор, мы сразу же тебе напишем.

3️⃣ Ищи баги в свеженьком закрытом скоупе.

❗️ Важное условие: у тебя не должно быть ни одной приватной программы.

Еще читаешь? Бросай это дело — анкета сама себя не заполнит.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6🤮4👍3
2.53K viewsj b
BugXplorer
https://blog.intigriti.com/hacking-tools/hacking-misconfigured-cloudflare-r2-buckets-a-complete-guide
Intigriti
Hacking misconfigured Cloudflare R2 buckets: A complete guide
Cloudflare R2 buckets are recently becoming more popular as an alternative to AWS S3 buckets for their simplicity, integration support and zero-egress fees. Customers who opt-in to use Cloudflare R2 a...
1🔥4👍1
3.11K viewsj b
BugXplorer
Wordlists specially for API routes fuzzing

https://wordlists-cdn.assetnote.io/data/automated/
1👍5🔥5
3.21K viewsj b
BugXplorer
https://samcurry.net/hacking-kia
samcurry.net
Hacking Kia: Remotely Controlling Cars With Just a License Plate
On June 11th, 2024, we discovered a set of vulnerabilities in Kia vehicles that allowed remote control over key functions using only a license plate. These attacks could be executed remotely on any hardware-equipped vehicle in about 30 seconds, regardless…
1🔥4👍2
2.93K viewsj b
BugXplorer
Scan for CVE-2024-47176 (CUPS - Remote Code Execution) with Nuclei

Vulnerability discovery: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Nuclei Template: https://cloud.projectdiscovery.io/?template=CVE-2024-47176

Source: https://x.com/pdnuclei/status/1840195177098453308
7👍8🔥4👎2
8.17K viewsj b
BugXplorer
BugXplorer
https://www.ambionics.io/blog/iconv-cve-2024-2961-p2
https://www.ambionics.io/blog/iconv-cve-2024-2961-p3
Ambionics
Iconv, set the charset to RCE: Exploiting the glibc to hack the PHP engine (part 3)
In this blog post, we will explore how we can exploit CNEXT, but blind, covering the cases where we have a file read primitive, but cannot get the output.
1👍3🔥3
3.41K viewsj b
BugXplorer
https://blog.projectdiscovery.io/ruby-saml-gitlab-auth-bypass/
ProjectDiscovery
Ruby-SAML / GitLab Authentication Bypass (CVE-2024-45409) — ProjectDiscovery Blog
Introduction

In this blog post, we will analyze CVE-2024-45409, a critical vulnerability impacting Ruby-SAML, OmniAuth-SAML libraries, which effectively affects GitLab. This vulnerability allows an attacker to bypass SAML authentication mechanisms and gain…
4🔥7👍2
3.35K viewsj b
BugXplorer
https://outpost24.com/blog/exploiting-permissive-cors-configurations/
Outpost24
Exploiting trust: Weaponizing permissive CORS configurations
Find out whether you’re underestimating Cross-Origin Resource Sharing (CORS) vulnerabilities in our latest research.
2🔥3👍2
2.89K viewsj b
BugXplorer
Forwarded from Standoff 365
— Паспарту, сколько у нас ключей?
— Один!


🗝 В смысле — менеджер для безопасного хранения паролей ОдинКлюч выходит на Standoff Bug Bounty.

Этот продукт позволяет централизованно управлять всеми паролями в компании и гарантирует их безопасность. Сохранность информации обеспечивают надежное шифрование и многофакторная аутентификация.

Скоуп: https://1k-standoff.ru

Параметры для входа:
user1
Glue7-Cardinal-Childhood

👉 Ищи баги и помогай усилить защиту паролей. Все условия программы — на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍4🤮4🔥3😁3
2.58K viewsj b
BugXplorer
https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89
Medium
HTTP Parameter Pollution in 2024 !
Hi after going through all the Black Hat and DEFCON web security researches in 2024 , I noticed that the easiest way to break web apps is…
5🔥3👍2
2.58K viewsj b
BugXplorer
Forwarded from Поросёнок Пётр
Media is too big
VIEW IN TELEGRAM
Исследователь Daniel Blaklis Le Gall собрал небольшой доклад для DefCon Bug Bounty Village, на котором показал различные интересные находки.

За долгие годы охоты, он насобирал 2М$ ревардов по всем платформ. И только лишь на HackerOne в прошлом месяце он пробил потолок общих выплат в 1М$. Деньги тут как показатель упорного труда. Парень знает где и что искать. Причем на h1 у него всего 176 репортов. Где можно увидеть выплаты и по 200$ и по 75k$🤑

Никакого сканинга, никакой автоматизации. Просто глубокое и уверенное изучение целей и приложений. Доклад полон интересных технических багов разной сложности. Eсть и тупые баги, где байпас авторизации был через кнопку отмены самой авторизации(что-то похожее недавно публиковал несколькими постами выше у amazon). Очень рекомендую выделить время и посмотреть доклад всем интересующимся😉
👍3🔥3
2.4K viewsj b
BugXplorer
DEF CON 32 Playlist

https://www.youtube.com/playlist?list=PL9fPq3eQfaaBmBnjhio8TNz00bBEINjER
3🔥9👍5
2.47K viewsj b
BugXplorer
Forwarded from Standoff 365
😍 Đây là cơ hội của bạn để Đến Việt nam với Chúng tôi và tham gia Vào Standoff Hacks

Если ты не понял ничего, кроме Standoff Hacks, объясняем: следующий priv8-ивент для хакеров пройдет во Вьетнаме 30 ноября, и ты можешь полететь туда вместе с нами.

Как? Найди и сдай до 29 октября как можно больше багов по этим публичным программам:

Positive Technologies (все программы)
Standoff 365
VK (все программы)
Т-Банк
Азбука вкуса
Ozon
Okko
Wildberries
Rambler&Co
ATI.SU

2️⃣ Двоих багхантеров, которые с момента публикации поста наберут суммарно больше всего очков по этим программам, берем с собой в Ханой (за наш счет!). Трое топовых исследователей по очкам и выплатам уже в списке приглашенных, не хватает только тебя.

Будем подводить промежуточные итоги, чтобы ты видел результаты и оценивал шансы — свои и конкурентов.

Ну что? 3, 2, 1… го багхантить!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
2.24K viewsj b
BugXplorer
https://blog.projectdiscovery.io/announcing-the-nuclei-templates-community-leaderboard-and-rewards/
ProjectDiscovery
Announcing the Nuclei Templates Community Leaderboard and Rewards! — ProjectDiscovery Blog
We’re thrilled to unveil our latest milestones: over 9,000 stars and 900 unique contributors on the templates project, along with a staggering 20,000 stars on the Nuclei repository. This phenomenal growth is a testament to our community’s unwavering dedication…
🔥5👍2
2.41K viewsj b
BugXplorer
https://youtu.be/3VJKmARDzJ4?si=rNIUix-MDAF-I2Qx
YouTube
Introducing the URL validation bypass cheat sheet
URL validation bypasses are the root cause of numerous vulnerabilities including many instances of SSRF, CORS misconfiguration, and open redirection. These work by using ambiguous URLs to trigger URL parsing discrepancies and bypass validation. However, many…
1🔥4
2.47K viewsj b
BugXplorer
Forwarded from Standoff 365
🚀 Т-Банк расширяет программу на Standoff Bug Bounty! 🚀

Т-Банк добавляет новые возможности для исследования инновационных продуктов на основе технологий искусственного интеллекта как для физических лиц, так и для бизнеса. 🌟

### Продукты для физических лиц:
1. Умная камера — анализ изображений и видео с возможностью распознавания лиц и объектов.
2. Чат-боты поддержки и толк-бот— автоматизированная онлайн-поддержка для удобства клиентов.
3. T-Fusion —AI-инструмент для генерации изображений.
4. Ассистенты для физических лиц:
Финассистент — ваш виртуальный помощник в управлении финансами.
Шопинг-ассистент — рекомендации по покупкам и скидкам.
Тревел-ассистент — планирование поездок и поиск лучших предложений.
Секретарь — управление временем и задачами в одном месте.

### Продукты для бизнеса:
1. VoiceKit — AI-инструмент для автоматизации голосовых взаимодействий и поддержки клиентов.

🛡 Т-Банк ставит акцент на безопасность своих AI-решений и приглашает сообщество исследователей помочь находить и устранять потенциальные уязвимости.

Стань частью пути к более безопасному и инновационному будущему на платформе Standoff Bug Bounty! 💪

Все перечисленные продукты доступны в мобильном приложении Т-Банка для физических лиц.

Разумеется, пост про ИИ сгенерирован ИИ, так что баги можно поискать и в нем!
👍4🔥1
2.69K viewsj b
BugXplorer
https://portswigger.net/research/concealing-payloads-in-url-credentials
👍9🔥4
3.02K viewsj b
BugXplorer
https://unit42.paloaltonetworks.com/jailbreak-llms-through-camouflage-distraction/
Unit 42
Deceptive Delight: Jailbreak LLMs Through Camouflage and Distraction
We examine an LLM jailbreaking technique called "Deceptive Delight," a technique that mixes harmful topics with benign ones to trick AIs, with a high success rate. We examine an LLM jailbreaking technique called "Deceptive Delight," a technique that mixes…
🔥4👍3
2.72K viewsj b
BugXplorer
https://blog.intigriti.com/hacking-tools/top-4-new-attack-vectors-in-web-application-targets
Intigriti
Top 4 new attack vectors in web application targets
We all like to find vulnerabilities in bug bounty programs, they get us bounties, increase our ranks on platform leaderboards and help us stay motivated to look for more of them. If you've been doin...
🔥6👍2👎1
2.95K viewsj b
BugXplorer
https://portswigger.net/research/new-crazy-payloads-in-the-url-validation-bypass-cheat-sheet
🔥4👍1
2.97K viewsj b
BugXplorer
Starting today, November 1st, 2024, Learn One and SEC-100: CyberCore - Security Essentials are 20% off.

Exclusive limited-time offer available until December 31st, 2024.
SEC-100: https://offsec.com/courses/sec-100
Learn One: https://offsec.com/products/learn-one


🪳@bugxplorer
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1
3.19K viewsj b