Novel SSRF Technique Involving HTTP Redirect Loops
https://slcyber.io/assetnote-security-research-center/novel-ssrf-technique-involving-http-redirect-loops/
🪳 @bugxplorer
https://slcyber.io/assetnote-security-research-center/novel-ssrf-technique-involving-http-redirect-loops/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Forwarded from Standoff 365
Найди крит в MAX и стань миллионером
MAX — это мессенджер, который вышел на рынок всего несколько месяцев назад, но уже готов встретиться с багхантерами лицом к лицу на Standoff Bug Bounty, чтобы данные пользователей были в MAXимальной безопасности.
🔎 Что в скоупе:
• Веб-версия.
• Мобильное приложение.
• И wildcard на все домены!
🍋 Есть и особые категории выплат по защите пользователей и их данных. Максимальная выплата — 5 000 000 рублей.
Если хочешь первым найти уязвимость в самом свежем мессенджере Рунета — время заходить в MAX!
MAX — это мессенджер, который вышел на рынок всего несколько месяцев назад, но уже готов встретиться с багхантерами лицом к лицу на Standoff Bug Bounty, чтобы данные пользователей были в MAXимальной безопасности.
🔎 Что в скоупе:
• Веб-версия.
• Мобильное приложение.
• И wildcard на все домены!
🍋 Есть и особые категории выплат по защите пользователей и их данных. Максимальная выплата — 5 000 000 рублей.
Если хочешь первым найти уязвимость в самом свежем мессенджере Рунета — время заходить в MAX!
🤮20🔥8👎5😢1
BugXplorer
Recon series #4: Port scanning – uncovering attack vectors by revealing open ports and hidden services https://www.yeswehack.com/learn-bug-bounty/recon-port-scanning-attack-vectors 🪳 @bugxplorer
Recon series #5: A hacker’s guide to Google dorking
https://www.yeswehack.com/learn-bug-bounty/recon-hackers-guide-google-dorking
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/recon-hackers-guide-google-dorking
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Nonce CSP bypass using Disk Cache
https://jorianwoltjer.com/blog/p/research/nonce-csp-bypass-using-disk-cache
🪳 @bugxplorer
https://jorianwoltjer.com/blog/p/research/nonce-csp-bypass-using-disk-cache
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11
Forwarded from Standoff 365
Это оно: обновление Standoff Hackbase наконец-то здесь!
Хакеры, приготовьтесь к революции на полигоне! Мы так долго этого ждали — и вот — то самое обещанное масштабное обновление Standoff Hackbase.
Итак, что нового?
🎯 Сезоны на Hackbase — время для регулярных свежих вызовов
Теперь на нашем онлайн-полигоне будут регулярно проходить сезоны, которые длятся ограниченное время, — тебя будут ждать новые, свежие сервисы, инфраструктуры и максимум возможностей для прокачки!
🎖Сезонный рейтинг — твой шанс стать номером один
Помимо привычного общего рейтинга, теперь у нас есть специальный — сезонный! Это значит, что для каждого нового сезона будет свой отдельный топ. По завершении каждого сезона трое лучших участников получат уникальные ачивки, так что заходи почаще. И да, не переживай, в общем рейтинге учитываются абсолютно все задания, которые ты выполняешь — и сезонные, и обычные.
🔨 Обновленные задания — ломай по-новому
Мы не только ввели сезоны, но и обновили инфрастуктуры. Например, тебя ждут встречи с инфраструктурой International Cybernetics Group (ICG) и нашей старой доброй банковской отраслью с новыми заданиями. Последняя вернется 14 июля — мы напишем об этом отдельно.
Standoff Standalone теперь тоже участвует в сезонах. Сейчас, в новом сезоне, на нем появился свежий уязвимый хост! Новые хосты тут будут появляться регулярно.
Обращаем внимание, что недавно выведенные машины вернутся на Standalone, и на них можно будет тренироваться вне сезона.
Самое время ворваться на обновленный Standoff Hackbase и показать, на что ты способен в этом сезоне🔥
Хакеры, приготовьтесь к революции на полигоне! Мы так долго этого ждали — и вот — то самое обещанное масштабное обновление Standoff Hackbase.
Итак, что нового?
🎯 Сезоны на Hackbase — время для регулярных свежих вызовов
Теперь на нашем онлайн-полигоне будут регулярно проходить сезоны, которые длятся ограниченное время, — тебя будут ждать новые, свежие сервисы, инфраструктуры и максимум возможностей для прокачки!
🎖Сезонный рейтинг — твой шанс стать номером один
Помимо привычного общего рейтинга, теперь у нас есть специальный — сезонный! Это значит, что для каждого нового сезона будет свой отдельный топ. По завершении каждого сезона трое лучших участников получат уникальные ачивки, так что заходи почаще. И да, не переживай, в общем рейтинге учитываются абсолютно все задания, которые ты выполняешь — и сезонные, и обычные.
🔨 Обновленные задания — ломай по-новому
Мы не только ввели сезоны, но и обновили инфрастуктуры. Например, тебя ждут встречи с инфраструктурой International Cybernetics Group (ICG) и нашей старой доброй банковской отраслью с новыми заданиями. Последняя вернется 14 июля — мы напишем об этом отдельно.
Standoff Standalone теперь тоже участвует в сезонах. Сейчас, в новом сезоне, на нем появился свежий уязвимый хост! Новые хосты тут будут появляться регулярно.
Обращаем внимание, что недавно выведенные машины вернутся на Standalone, и на них можно будет тренироваться вне сезона.
Самое время ворваться на обновленный Standoff Hackbase и показать, на что ты способен в этом сезоне
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
BugXplorer
Recon series #5: A hacker’s guide to Google dorking https://www.yeswehack.com/learn-bug-bounty/recon-hackers-guide-google-dorking 🪳 @bugxplorer
Recon Series #6: Excavating hidden artifacts with Wayback Machine and other web-archive tools
https://www.yeswehack.com/learn-bug-bounty/recon-wayback-machine-web-archive
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/recon-wayback-machine-web-archive
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
A Novel Technique for SQL Injection in PDO’s Prepared Statements
https://slcyber.io/assetnote-security-research-center/a-novel-technique-for-sql-injection-in-pdos-prepared-statements/
🪳 @bugxplorer
https://slcyber.io/assetnote-security-research-center/a-novel-technique-for-sql-injection-in-pdos-prepared-statements/
Please open Telegram to view this post
VIEW IN TELEGRAM
5🔥11
Код ИБ ПРОФИ в Сочи: сплав кэмпа и конференции по кибербезопасности
🗓 11-14 сентября
📍 Роза Хутор, отель "Эрбелия от Васта"
➡️ Узнать подробности
▪️ Два дня деловой программы: учения в штабе и на киберполигоне, мастер-классы от экспертов:
• Андрей Масалович, президент Консорциума, Инфорус
• Антон Карпов, директор по ИБ, VK
• Георгий Руденко, директор по ИБ, Райффайзенбанк
• Всеслав Соленик, директор по ИБ, СберТех
• Сергей Петренко, директор по ИБ, Цифровой оператор Сириус
• Лев Палей, основатель #ПоИБэшечки и директор по ИБ, Вебмониторэкс
• Антон Кокин, директор по инфраструктуре и ИБ, Трубная металлургическая компания
• Андрей Кузнецов, лидер продуктовой практики Standоff
• Артем Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ
• Артем Избаенков, член правления, АРСИБ
• Сергей Рысин, генеральный директор, АСИЕ-Групп
▪️ Два дня приключений: вы увидите каньоны, пещеры и водопады во время джип-тура по Красной поляне, сплавитесь по реке Мзымта на рафтах, проведете уютные вечера в кругу единомышленников с барбекю и песнями под гитару.
▪️ Расширение профессиональных границ: инсайты на кулуарных встречах, обмен опытом и контактами с экспертами и участниками, среди которых CISO, а также владельцы и директора ИТ-компаний.
🎁 Для подписчиков канала "BugXplorer" действует скидка 5% на участие в ПРОФИ. Для активации при регистрации укажите промокод "BugXplorer".
Присоединяйтесь к сильному ИБ-комьюнити! #ИБнужныПРОФИ
▪️ Два дня деловой программы: учения в штабе и на киберполигоне, мастер-классы от экспертов:
• Андрей Масалович, президент Консорциума, Инфорус
• Антон Карпов, директор по ИБ, VK
• Георгий Руденко, директор по ИБ, Райффайзенбанк
• Всеслав Соленик, директор по ИБ, СберТех
• Сергей Петренко, директор по ИБ, Цифровой оператор Сириус
• Лев Палей, основатель #ПоИБэшечки и директор по ИБ, Вебмониторэкс
• Антон Кокин, директор по инфраструктуре и ИБ, Трубная металлургическая компания
• Андрей Кузнецов, лидер продуктовой практики Standоff
• Артем Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ
• Артем Избаенков, член правления, АРСИБ
• Сергей Рысин, генеральный директор, АСИЕ-Групп
▪️ Два дня приключений: вы увидите каньоны, пещеры и водопады во время джип-тура по Красной поляне, сплавитесь по реке Мзымта на рафтах, проведете уютные вечера в кругу единомышленников с барбекю и песнями под гитару.
▪️ Расширение профессиональных границ: инсайты на кулуарных встречах, обмен опытом и контактами с экспертами и участниками, среди которых CISO, а также владельцы и директора ИТ-компаний.
Присоединяйтесь к сильному ИБ-комьюнити! #ИБнужныПРОФИ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👎2🤮2👍1
Cache Deception + CSPT: Turning Non Impactful Findings into Account Takeover
https://zere.es/posts/cache-deception-cspt-account-takeover/
🪳 @bugxplorer
https://zere.es/posts/cache-deception-cspt-account-takeover/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12
Building an Android Bug Bounty lab: the ultimate guide to configuring emulators, real devices, proxies and other mobile hacking tools (featuring Magisk, Burp, Frida)
https://www.yeswehack.com/learn-bug-bounty/android-lab-mobile-hacking-tools
🪳 @bugxplorer
https://www.yeswehack.com/learn-bug-bounty/android-lab-mobile-hacking-tools
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Forwarded from Заметки Слонсера (Slonser)
В CSS добавили IF-Else и ребята из портсвиггера смогли дополнить с помощью него мою технику эксфильтрации данных
https://portswigger.net/research/inline-style-exfiltration
https://portswigger.net/research/inline-style-exfiltration
PortSwigger Research
Inline Style Exfiltration: leaking data with chained CSS conditionals
I discovered how to use CSS to steal attribute data without selectors and stylesheet imports! This means you can now exploit CSS injection via style attributes! Learn how below: Someone asked if you c
🔥7👍3