These are public posts tagged with #bugbounty. You can interact with them if you have an account anywhere in the fediverse.
Top Web Application PenTesting Tools by Category
Hashtags:
#WebSecurity #PentestingTools #EthicalHacking #BugBounty #WebAppSecurity #RedTeam #OWASP #CyberSecurity
Disclaimer:
This content is for educational purposes only. Only use these tools in environments where you have proper authorization. Hacking without permission is illegal and unethical.
[Перевод] Jenkins: Тестирование на проникновение
Jenkins — это open-source сервер автоматизации, используемый для непрерывной интеграции (CI) и непрерывной доставки (CD), написанный на Java. Jenkins автоматизирует задачи, такие как сборка, тестирование и развертывание в процессе разработки ПО. Эта автоматизация ускоряет циклы разработки, повышает качество кода и упрощает релизы. Ключевые возможности — CI/CD, автоматизированное тестирование, интеграция с системами контроля версий, расширяемость за счет плагинов и мощный мониторинг и отчётность. Содержание - Подготовка лаборатории - Установка - Конфигурация - Перебор - Эксплуатация с помощью Metasploit Framework - Ручная эксплуатация (Reverse Shell) - Выполнение команд напрямую - Заключение Подготовка лаборатории В этой статье мы настроим сервер Jenkins на машине с Ubuntu и получим удаленное выполнение кода. Воспользуемся следующими устройствами: Целевая машина: Ubuntu (192.168.1.4) Машина атакующего: Kali Linux (192.168.1.7)
Jenkins — это open-source сервер автоматизации, используемый…
ХабрDruhou prosbou je, zda byste mohli udělat #bugbounty a ověřili u všech zprávobotíků, které sledujete, že skutečně běží (postují), i když třeba nepříliš často, a nareportovali mi, pokud najdete nějaký problematický/nefunkční? I když se snažím, nemám šanci vše uhlídat a tohle by hodně pomohlo. Díky i za to.
2/2
URLFINDER
#go URL discovery tool:
- different sources (alienvault,commoncrawl etc)
- filter by extensions/regex
- very fast (122000+ URLs in 30 sec):
https://github.com/projectdiscovery/urlfinder
Creator x.com/pdnuclei
Learn the ultimate strategy for beginners in bug bounty hunting, focusing on reconnaissance and industry-standard penetration testing approaches. This guide will help you understand steps like Pre-engagement interaction, Intelligence gathering, Threat Modeling, Vulnerability Analysis, Exploitation, and post-exploitation. By following this strategy, you can build confidence, train your mind to spot misconfigurations, and increase chances of a payout. #infosec #BugBounty #Cybersecurity
At this point if you are new to cybersecurity you have…
MediumImagine a hacker who not only exploited zero-days to breach over 600 organizations but also played the hero by patching vulnerabilities for Microsoft. How does one person walk the line between cybercrime and cybersecurity?
https://thedefendopsdiaries.com/decrypting-encrypthub-a-cybersecurity-enigma/
#cybersecurity
#encrypthub
#bugbounty
#ethicalhacking
#cybercrime
Explore EncryptHub's dual role as a cybercriminal and…
The DefendOps Diaries[Перевод] Как я нашел учетные данные к БД с помощью разведки в VDP от Gcash
Привет, сегодня я расскажу о другой находке в Gcash VDP и дам советы по методологии разведки, такие как: перечисление поддоменов, анализ технологий с помощью Wappalyzer, массовая разведка и определение области с помощью автоматизированных инструментов. Что такое определение области разведки? Определение области разведки является начальной фазой оценки защищенности и тестирования на проникновение. Оно включает в себя идентификацию и сбор информации о целевых системах, сетях и инфраструктуре. Основная цель состоит в том, чтобы понять масштабы инфраструктуры для тестирования и собрать данные, которые могут быть полезны в последующих фазах оценки. Начало: Мои методы разведки, как правило, разделены по категориям, поэтому я создал несколько директорий на своей локальной машине, выполнив: mkdir -p gcash.com ~/recon/targets/gcash.com/subdomains/ mkdir -p gcash.com ~/recon/targets/gcash.com/endpoints/ mkdir -p gcash.com ~/recon/targets/gcash.com/aws/ mkdir -p gcash.com ~/recon/targets/gcash.com/dns/ Процесс разведки - Перечисление поддоменов - Сбор информации (сеть, DNS, технологии, порты) - Автоматическое тестирование Перечисление поддоменов Сбор поддоменов очень важен в контексте поиска уязвимостей/тестирования на проникновение. Необходимо собрать как можно больше поддоменов, и я покажу вам, как их находить с помощью различных методов и инструментов. Примечание: некоторые методы не всегда работают, но я покажу те, которые сам часто использую для сбора поддоменов. Инструменты:
https://habr.com/ru/articles/897954/
#пентест #pentest #bugbounty #багбаунти #разведка #кибербезопасность
[Перевод] IDOR & UUIDs для утечки PII
Введение Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII. Что такое IDOR Это сокращение от Insecure Direct Object Reference (небезопасная прямая ссылка на объект). Что это значит? Проще говоря, это уязвимость, которая позволяет злоумышленнику выполнять CRUD операции (создание, чтение, обновление, удаление) от имени других пользователей, так как приложение не проверяет, действительно ли пользователь, получающий доступ к ресурсу, является его владельцем. Что такое PII Это любая личная идентификационная информация, которой может обладать пользователь и которая может позволить создать копию профиля конкретного человека (включая электронные почты, номера телефонов, номера социального страхования и так далее). Теперь перейдем к делу
https://habr.com/ru/articles/897794/
#bugbounty #bughunting #кибербезопасность #багхантинг #багбаунти #idor
Введение Привет, сегодня я поделюсь с вами очередным…
Хабр90% of code will be writen by AI, they say...
And Bug Bounty Hunters...
There is now a (limited) bug bounty for several Fediverse projects.
$250 for HIGH
$500 for CRITICAL
https://nivenly.org/blog/2025/04/01/nivenly-fediverse-security-fund/
Security bounty fund to sponsor contributors who responsibly…
nivenly.org Calling all Chromium developers and fans!
Ready to showcase your coding skills and earn up to $10,000? The Supporters of Chromium Based Browsers (SOCBB) Bug Bounty Program is live! Fix bugs in Chromium-based browsers like Chrome & Edge.
Contribute to repos like chromium, v8, Skia, and more! Payment via GitHub Sponsors.
Get started now: https://github.com/Supporters-Of-Chromium-Based-Browsers/Bug-Bounty-Program/blob/main/README.md
A new security fund opens up to help protect the #fediverse
https://techcrunch.com/2025/04/02/a-new-security-fund-opens-up-to-help-protect-the-fediverse/
A new security fund aims to help apps in the fediverse…
TechCrunchAnd following the result of the poll, here is the whole thing in the raw: https://nxdomain.no/~peter/bugbounty/20250401_ahmedraslanco@gmail.com_bugbounty_plz_drift@nuug.no.txt #bugbounty #bugbunnies #scriptkiddies #scammers #spammers #scambunnies
[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории. Я скрою название цели (довольно популярной), но отмечу, что один из ее сервисов связан с механизмом безопасности, предназначенным для защиты веб-сайтов и приложений при сохранении конфиденциальности пользователей. Этот механизм разработан для предотвращения автоматизированных злоупотреблений и атак, при этом обеспечивает легитимное взаимодействие с веб-сайтом без чрезмерного отслеживания или сбора данных. Методология Я не проводил никакой разведки, вместо этого я сразу сосредоточился на основном домене. Я начал с посещения страницы , чтобы создать новый аккаунт и завершить процесс регистрации. Цель предлагает различные тарифные планы, от бесплатных услуг до корпоративных решений. Я выбрал версию "Pro" и активировал бесплатный пробный период. После завершения регистрации я вошел в систему с использованием своих учетных данных и был перенаправлен на страницу . Там я начал изучать различные функции. В настройках профиля я активировал двухфакторную аутентификацию (2FA) и добавил ключ безопасности как дополнительный метод аутентификации, что позволяет входить в систему без ввода пароля каждый раз.
https://habr.com/ru/articles/896684/
#bugbounty #bughunting #багхантинг #2faаутентификация #cors #взлом_аккаунта
Раньше я не имел привычки писать о своих находках,…
ХабрA message just inboxed here with
"To: undisclosed-recipients: ;
Subject: Request to Join Your Private Bug Bounty Program"
Should I put the entire message on display somewhere and post the link to the fediverse?
#scriptkiddies #bugbunnies #bugbounty #scammers #spammers #scambunnies
#OpenAI now pays researchers $100,000 for critical vulnerabilities
[Перевод] Как я нашел свой первый баг: SQL-инъекция в NASA
Я начал заниматься баг-баунти три недели назад. Мой изначальный подход, основанный на прочитанной информации, заключался в том, чтобы искать уязвимости в VDP (программах раскрытия уязвимостей), чтобы получить приглашение в частные программы и избежать жесткой конкуренции, как в публичных программах. Однако мне хотелось получить что-то взамен за свое время, ведь его у меня не так много. После того как я увидел, как несколько багхантеров делятся своими благодарственными письмами от NASA в X, я поставил себе новую цель...
https://habr.com/ru/articles/895530/
#bugbounty #bughunting #nasa #sql_инъекция #багхантинг #эксплуатация_уязвимостей
Я начал заниматься баг-баунти три недели назад. Мой…
ХабрOpenAI Bug Bounty Program Increases Top Reward to $100,000 – Source:hackread.com https://ciso2ciso.com/openai-bug-bounty-program-increases-top-reward-to-100000-sourcehackread-com/ #1CyberSecurityNewsPost #artificialintelligence #CyberSecurityNews #cybersecurity #BugBounty #Hackread #security #Chatgpt #OpenAI #AI
Source: hackread.com - Author: Deeba Ahmed. …
CISO2CISO.COM & CYBER SECURITY GROUPOpenAI Bug Bounty Program Increases Top Reward to $100,000 https://hackread.com/openai-bug-bounty-program-increases-top-reward/ #ArtificialIntelligence #Cybersecurity #BugBounty #Security #ChatGPT #OpenAI #AI
Follow us on Bluesky, Twitter (X), Mastodon and Facebook…
Hackread - Latest Cybersecurity, Tech, AI, Crypto & Hacking News