#tip #bugbounty #pentest
Для обхода 403 Forbidden не обязательно использовать сложные техники. Начните со следующих кейсов:
1️⃣ Для начала попробуйте добавить некоторые заголовки в запрос:
Content-Length: 0
X-rewrite-url
X-Original-URL
X-Custom-IP-Authorization
X-Forwarded-For
2️⃣ Затем попробуйте изменить метод запроса:
GET → POST, GET → TRACE, GET → PUT, GET → OPTIONS
Для обхода 403 Forbidden не обязательно использовать сложные техники. Начните со следующих кейсов:
Content-Length: 0
X-rewrite-url
X-Original-URL
X-Custom-IP-Authorization
X-Forwarded-For
GET → POST, GET → TRACE, GET → PUT, GET → OPTIONS
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🤔4
#tip #bugbounty
5 техник эксплуатации CSRF: на заметку начинающему багхантеру.
🧵Читать в Твиттере
🧵Читать в PingThread (если Твиттер не открывается)
5 техник эксплуатации CSRF: на заметку начинающему багхантеру.
🧵Читать в Твиттере
🧵Читать в PingThread (если Твиттер не открывается)
Простой совет, который подчеркивает важность анализа JavaScript-файлов и может дать большой профит.
#bugbounty #tip
#bugbounty #tip
Пытаясь обойти WAF и внедрить полезную нагрузку XSS, не забудьте про тег <details>. Он часто не блокируется WAF!
Источник
#bugbounty #tip
Источник
#bugbounty #tip
👍5
👀 Внимательный читатель уже обратил внимание на эту картинку из предыдущего поста, которая демонстрирует пример эффективного пэйлоада для фаззинга👇
Этот пример не использует какую-либо конкретную ошибку, но содержит синтаксис, который может вызвать неожиданное поведение в тестируемом приложении.
#tip #bugbounty #pentest
<z>"z'z`%}})z${{z\Этот пример не использует какую-либо конкретную ошибку, но содержит синтаксис, который может вызвать неожиданное поведение в тестируемом приложении.
#tip #bugbounty #pentest
👍8
🔝Исследователь получил $3000 за обход ограничения по частоте запросов с помощью добавления двух заголовков
X-Forwarded-For.#tip #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👏4