This media is not supported in your browser
VIEW IN TELEGRAM
🔎☝️Один из самых простых способов поиска SQL-инъекций с помощью Github Code Search
➡️ Такой же пример для SSRF:
#bugbounty #pentest #tips
➡️ Такой же пример для SSRF:
/file_get_contents\(.*\$_GET|curl_exec\(.*\$_GET/
/(subprocess|exec|spawn|system).*chrome.*--headless/
#bugbounty #pentest #tips
👍14🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5💯3👾1
🥷🏿 Как найти больше проблем с контролем доступа в веб-приложениях: методология для этичного хакера
👉 Читать
#bugbounty #tips
#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
Эндпоинты для проверки:
•
/signup•
/jenkins/signup#bugbounty #tips #recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
💡 The informative findings: что не стоит отправлять на багбаунти-платформы
Было ли у вас такое, когда сидишь долго над багом, сдаешь в надежде на крупное вознаграждение, а в итоге получаешь статус informative или дубликат?
Чтобы избежать таких ситуаций и охотиться только на реальные баги, читайте обзор ошибок, которые часто приводят к закрытию отчетов как informative.
👉 Читать
#bugbounty #tips
Было ли у вас такое, когда сидишь долго над багом, сдаешь в надежде на крупное вознаграждение, а в итоге получаешь статус informative или дубликат?
Чтобы избежать таких ситуаций и охотиться только на реальные баги, читайте обзор ошибок, которые часто приводят к закрытию отчетов как informative.
👉 Читать
#bugbounty #tips
Geek Girl - What I learn is what I BLOG!
The informative findings: What Not to Submit on Bug Bounty Platforms - Geek Girl
Bug bounty programs have revolutionized the world of cybersecurity, enabling organizations to tap into the collective expertise of security researchers worldwide. As security researchers diligently identify and report vulnerabilities, they eagerly await the…
🥷🏿 Советы для начинающих багхантеров
Хотите быстрее находить уязвимости в багбаунти-программах? Эти простые, но действенные советы для вас:
1️⃣ Будьте последовательны: регулярно уделяйте время для поиска уязвимостей.
2️⃣ Не полагайтесь только на автоматические инструменты: автоматизированные сканеры могут пропустить важные уязвимости или выдавать ложные срабатывания.
3️⃣ Сосредоточьтесь на одном объекте: чем больше времени вы тратите на изучение одного объекта, тем больше уязвимостей вы найдете.
4️⃣ Ставьте реалистичные цели: не ставьте задачи, которые сложно контролировать.
5️⃣ Не бойтесь отправлять баги: если вы нашли уязвимость, отправляйте отчет как можно скорее, чтобы избежать дубликатов.
6️⃣ Выбирайте программы по своим навыкам: охотьтесь на программы, которые соответствуют вашим навыкам (например, веб-приложения, API или мобильные приложения).
👉 Читать подробнее
#bugbounty #tips
Хотите быстрее находить уязвимости в багбаунти-программах? Эти простые, но действенные советы для вас:
#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉7👍2🙏1
🤔 Загрузить веб-шелл с помощью функционала загрузки картинки? Не бред, а реальность. Не так часто встретишь в реальных веб-приложениях, но технику знать обязательно надо!
#bugbounty #tips
#bugbounty #tips
❤5🤔5
🤔 Почему в багбаунти важно быть настойчивым и «вгрызаться» за каждый эндпоинт? Потому что многие используют инструменты автоматизации и не переходят к ручному тестированию, который как раз может привести к цели.
☝️ Багхантер показал пример успешной RCE-уязвимости, выявленной с помощью инструмента и BurpSuite-расширения Param Miner.
👉 Источник
#bugbounty #tips
☝️ Багхантер показал пример успешной RCE-уязвимости, выявленной с помощью инструмента и BurpSuite-расширения Param Miner.
👉 Источник
#bugbounty #tips
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Не знаете, с чего начать разведку? Ловите простой однострочник, который:
🐞 Найдет все поддомены
🐛 Запросит все DNS-записи
🪲 Получит коды состояния, иконки, заголовки и скриншоты с каждого хоста
🪳 Получит URL-адреса с каждого хоста с помощью пассивных источников
🕷 Сохранит все это в понятно организованных директориях и файлах
#bugbounty #tips
🐞 Найдет все поддомены
🐛 Запросит все DNS-записи
🪲 Получит коды состояния, иконки, заголовки и скриншоты с каждого хоста
🪳 Получит URL-адреса с каждого хоста с помощью пассивных источников
🕷 Сохранит все это в понятно организованных директориях и файлах
for d in $(cat domains.txt); do
mkdir ./$d;
subfinder -d $d | anew ./$d/subs.txt;
cat ./$d/subs.txt | dnsx --recon | anew ./$d/dns.txt;
cat ./$d/subs.txt | httpx -sc -favicon -title -ss | anew ./$d/web.txt;
cat ./$d/subs.txt | gau | anew ./$d/urls.txt;
done;
#bugbounty #tips
👍9