Forwarded from Поросёнок Пётр
Иногда можно долго читать пост о том как будет полезно поставить очередной аддон в браузер или в BurpSuite.
В этот раз я бы даже читать не стал, а сразу бы поставил. Нет сомнений что оно может случайно найти что-то крутое и полезное. В моем случае с браузерным аддоном такое случалось не раз и не два 💁♂️
PS: не забывайте поглядывать за съеденной памятью тачки в процессе работы 🥲
В этот раз я бы даже читать не стал, а сразу бы поставил. Нет сомнений что оно может случайно найти что-то крутое и полезное. В моем случае с браузерным аддоном такое случалось не раз и не два 💁♂️
PS: не забывайте поглядывать за съеденной памятью тачки в процессе работы 🥲
Trufflesecurity
Introducing TruffleHog's Burp Suite Extension: A Techical Deep Dive ◆ Truffle Security Co.
Scan for secrets using TruffleHog inside Burp Suite.
🔥6👍2
BugXplorer
Recon Series #2: Subdomain enumeration – expand attack surfaces with active, passive techniques https://www.yeswehack.com/learn-bug-bounty/subdomain-enumeration-expand-attack-surface 🪳 @bugxplorer
Recon series #3: HTTP fingerprinting
https://www.yeswehack.com/learn-bug-bounty/recon-series-http-fingerprinting
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/recon-series-http-fingerprinting
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥5
SAML roulette: the hacker always wins
https://portswigger.net/research/saml-roulette-the-hacker-always-wins
🪳 @bugxplorer
https://portswigger.net/research/saml-roulette-the-hacker-always-wins
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍1
Awesome Vulnerable Applications
A curated list of various vulnerable by design applications
https://github.com/vavkamil/awesome-vulnerable-apps
🪳 @bugxplorer
A curated list of various vulnerable by design applications
https://github.com/vavkamil/awesome-vulnerable-apps
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2
IngressNightmare: Unauth RCE in Ingress NGINX (CVE-2025-1974) + Nuclei Templates for IngressNightmare Detection
https://projectdiscovery.io/blog/ingressnightmare-unauth-rce-in-ingress-nginx
🪳 @bugxplorer
https://projectdiscovery.io/blog/ingressnightmare-unauth-rce-in-ingress-nginx
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍3
Forwarded from Standoff 365
Хотите задать вопрос топовым хакерам из Synack и HackerOne?
В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!
Что будет на стриме?
🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.
Кто в эфире?
🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.
Модератором стрима выступит Александр Мошков.
💡 Готовьте вопросы — спикеры ответят на все, что вы захотите узнать!
В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!
Что будет на стриме?
🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.
Кто в эфире?
🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.
Модератором стрима выступит Александр Мошков.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2
The art of payload obfuscation: how to mask malicious scripts and bypass defence mechanisms
https://www.yeswehack.com/learn-bug-bounty/payload-obfuscation-techniques-guide
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/payload-obfuscation-techniques-guide
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍1
Hacking GraphQL endpoints with introspection, query, mutation, batching attacks
https://www.yeswehack.com/learn-bug-bounty/hacking-graphql-endpoints
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/hacking-graphql-endpoints
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥4
HTTP header hacks: basic and advanced exploit techniques explored
https://www.yeswehack.com/learn-bug-bounty/http-header-exploitation
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/http-header-exploitation
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍3
Проверяем на прочность генеративные нейросети Яндекса
Это новый сезон «Охоты за ошибками». Мы приглашаем вас найти уязвимости в наших системах и приложениях — на этот раз на территориях генеративных сетей. Ждём отчёты об ошибках, которые могут повлиять на результаты работы и процесс обучения нейросетей: например, привести модель к сбою или изменить её поведение так, чтобы это затронуло работу других сервисов Яндекса.
Успешным охотникам предоставим денежные призы: от пятидесяти тысяч до миллиона рублей. Размер вознаграждения зависит от серьёзности ошибки, простоты её эксплуатации и воздействия чувствительной информации. Наиболее критичные уязвимости — это баги, которые позволяют раскрыть данные о внутренней конфигурации модели, её служебный промпт с техническими данными или другую чувствительную информацию.
В программе участвуют все сервисы с YandexGPT или YandexART на борту:
🔸 Алиса
🔸 Поиск с Нейро
🔸 Шедеврум
И другие, включая те, где ML-модель используется только для ранжирования и поиска.
Все подробности ищите здесь
Реклама. ООО "Яндекс". ИНН 7736207543
Это новый сезон «Охоты за ошибками». Мы приглашаем вас найти уязвимости в наших системах и приложениях — на этот раз на территориях генеративных сетей. Ждём отчёты об ошибках, которые могут повлиять на результаты работы и процесс обучения нейросетей: например, привести модель к сбою или изменить её поведение так, чтобы это затронуло работу других сервисов Яндекса.
Успешным охотникам предоставим денежные призы: от пятидесяти тысяч до миллиона рублей. Размер вознаграждения зависит от серьёзности ошибки, простоты её эксплуатации и воздействия чувствительной информации. Наиболее критичные уязвимости — это баги, которые позволяют раскрыть данные о внутренней конфигурации модели, её служебный промпт с техническими данными или другую чувствительную информацию.
В программе участвуют все сервисы с YandexGPT или YandexART на борту:
🔸 Алиса
🔸 Поиск с Нейро
🔸 Шедеврум
И другие, включая те, где ML-модель используется только для ранжирования и поиска.
Все подробности ищите здесь
Реклама. ООО "Яндекс". ИНН 7736207543
👍4
CF-Hero is a comprehensive reconnaissance tool developed to discover the real IP addresses of web applications protected by Cloudflare. It performs multi-source intelligence gathering through various methods.
https://github.com/musana/CF-Hero
🪳 @bugxplorer
https://github.com/musana/CF-Hero
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍3😁2
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Открыли прием заявок на Pentest award 2025!
💡 Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.
Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.
🥇 Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬 OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️ А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2
Document My Pentest: you hack, the AI writes it up!
https://portswigger.net/research/document-my-pentest
🪳 @bugxplorer
https://portswigger.net/research/document-my-pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍1
В этом году меня пригласили принять участие в BUGS ZONE IV. Из-за высокой нагрузки на работе не удалось уделить багхантингу столько времени, сколько хотелось бы, но тем не менее мне удалось занять 7-е место, чем я остался доволен. Это был отличный опыт.
Пару слов по поводу программ и организации мероприятия. Программы были интересными, разнообразными, и в каждую можно было погрузиться надолго. В связи с этим из всех найденных мной багов не было ни одного дубликата. Организация также была на хорошем уровне: ламповая атмосфера, вкусные коктейли, классные подарки от вендоров🙂 .
Отдельное спасибо @shdwpwn и @guleroman за интересные доклады!
Пару слов по поводу программ и организации мероприятия. Программы были интересными, разнообразными, и в каждую можно было погрузиться надолго. В связи с этим из всех найденных мной багов не было ни одного дубликата. Организация также была на хорошем уровне: ламповая атмосфера, вкусные коктейли, классные подарки от вендоров
Отдельное спасибо @shdwpwn и @guleroman за интересные доклады!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8🤮1
BugXplorer
Recon series #3: HTTP fingerprinting https://www.yeswehack.com/learn-bug-bounty/recon-series-http-fingerprinting 🪳 @bugxplorer
Recon series #4: Port scanning – uncovering attack vectors by revealing open ports and hidden services
https://www.yeswehack.com/learn-bug-bounty/recon-port-scanning-attack-vectors
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/recon-port-scanning-attack-vectors
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍1
NoSQLi: A complete guide to exploiting advanced NoSQL injection vulnerabilities
https://www.intigriti.com/researchers/blog/hacking-tools/exploiting-nosql-injection-nosqli-vulnerabilities
🪳 @bugxplorer
https://www.intigriti.com/researchers/blog/hacking-tools/exploiting-nosql-injection-nosqli-vulnerabilities
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
Google Cloud Account Takeover via URL Parsing Confusion
https://infosecwriteups.com/google-cloud-account-takeover-via-url-parsing-confusion-c5e47389b7c7
🪳 @bugxplorer
https://infosecwriteups.com/google-cloud-account-takeover-via-url-parsing-confusion-c5e47389b7c7
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6