These are public posts tagged with #bugbounty. You can interact with them if you have an account anywhere in the fediverse.
Support ethical AI sabotage and open-source resistance. I build Gödel’s Therapy Room to expose LLM failure modes, develop browser tools to kill trackers, and train cognitive adversaries to detect bullshit.
Buy me a coffee and join the quantum rebellion. https://www.buymeacoffee.com/geeknik
#infosec #AIethics #opensource #privacy #bugbounty
I’m glitch-bending reality with paradox data, browser…
Buy Me a CoffeeTime for #WednesdayWins. Let's hear your stories everyone. Big or small.
I don't even have one to share right now, so I could really use a pick-me-up from hearing others.
Curl's bug bounty program might die because AI "helpers" are drowning volunteers in garbage reports
20% AI slop vs 5% real vulnerabilities = volunteers spending hours on "mind-numbing stupidities" instead of actual security.
When does "helping" become sabotage?
Daniel Stenberg, creator of the curl utility, is considering…
it.slashdot.orgcurl’s security team is drowning in low-quality “AI slop” reports—now 20% of all submissions, but only 5% are real bugs. The bug bounty program may need big changes to survive this onslaught. Read more on “Death by a thousand slops”: https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/ #infosec #bugbounty #opensource #newz
I have previously blogged about the relatively new…
daniel.haxx.se»Wegen KI-Schrott – Curl-Entwickler erwägt Ende der Bug-Bounty-Prämien:
Minderwertige Bug-Reports belasten Open-Source-Entwickler immer stärker. Curl-Maintainer @bagder zieht nun radikale Maßnahmen in Erwägung.«
Lasst mich raten, IT-Konzerne belasten Developer von Werkzeugen, die sie Täglich selber nutzen. Was ist daran intelligent oder gar künstlerisch?
/s
#curl #opensource #web #internet #ai #ki #belastung #entwickler #kischrott #bugbounty
Minderwertige Bug-Reports belasten Open-Source-Entwickler…
Golem.de KI-generierte Meldungen von angeblichen Sicherheitslücken waren schon Thema bei #DNIP. Dort gab es aber wenigstens noch die Erklärung, dass die angeblichen Jäger von Sicherheitslücken auf die Belohnung aus waren, den sogenannten #BugBounty. Nun melden aber auch andere Open-Source-Entwickler, dass sie unzählige Fehlermeldungen erhalten, die keinen Realitätsbezug haben. Offen bleibt, wieso hier KI aufs automatische Melden von Fehlern angesetzt wird.
https://dnip.ch/2025/07/15/dnip-briefing-33-mcpasswort-mit-sicherheitsluecke/#Und-schliesslich
Die Redaktion präsentiert jeden Dienstag die Geschichten,…
Das Netz ist politisch[Перевод] Обходим CSP nonce через дисковый кеш браузера
Эта статья описывает изощренную технику обхода Content Security Policy (CSP) на основе nonce-значений через эксплуатацию механизмов кеширования браузера. Автор демонстрирует, как комбинация CSS-инъекций, CSRF-атак и особенностей работы bfcache и дискового кеша может привести к выполнению произвольного JavaScript-кода даже при наличии строгой CSP.
https://habr.com/ru/articles/926614/
#bugbounty #pentest #web #csp #xss #csrf #css #nonce #разработка #сайт
Суть атаки Данное исследование описывает способ обхода…
ХабрJust dropped a guide on bypassing root & Frida detection in hardened Android apps.
Magisk tricks, Frida hooks, native reversing, and more.
For pentesters, hackers, and mobile nerds. Read it here: https://www.kayssel.com/newsletter/issue-12/
Techniques to bypass root, Frida, and SSL protections…
KaysselНовости кибербезопасности за неделю с 30 июня по 6 июля 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про то, почему теперь свой телефон лучше вообще никому не давать, про критическую уязвимость в sudo, про молодой талант, который работает на Microsoft, про планируемые нововведения в IOS и другие только самые важные и интересные новости из мира информационной безопасности.
https://habr.com/ru/articles/925066/
#информационная_безопасность #linux #cve #законодательство #telegram #sim #ios #facetime #bugbounty #Echo_chamber
Всё самое интересное из мира кибербезопасности /**…
ХабрSupport ethical AI sabotage and open-source resistance. I build Gödel’s Therapy Room to expose LLM failure modes, develop browser tools to kill trackers, and train cognitive adversaries to detect bullshit.
Buy me a coffee and join the quantum rebellion. https://www.buymeacoffee.com/geeknik
#infosec #AIethics #opensource #privacy #bugbounty
I’m glitch-bending reality with paradox data, browser…
Buy Me a CoffeeAfter 18 years my @YouTube channel is on the brink of a milestone. This is not a big deal for most, but sharing and helping others has been a big focus for me the past 7 years. Growing my channel helps with that mission. Please subscribe.
https://youtube.com/@phillipwylie
#CyberSecurity #BugBounty #pentesting #offensivesecurity
Phillip is a passionate offensive security professional…
YouTubeThe AI Fix #57: AI is the best hacker in the USA, and self-learning AI - In episode 57 of The AI Fix, our hosts discover an AI “dream recorder”, Mark Zuckerberg t... https://grahamcluley.com/the-ai-fix-57/ #artificialintelligence #vulnerability #bugbounty #theaifix #chatgpt #podcast #openai #ai
I recently ran into an interesting discrepancy:
What you see below are 120-bit Session IDs, one printed as hex and one in the format of a #UUIDv4.
After validating their randomness, I would classify the first as secure but raise concerns about the second.
Why?
Well, according to RFC 4122:
"Do not assume that UUIDs are hard to guess; they should not be used as security capabilities (identifiers whose mere possession grants access), for example."
And that's exactly what a session ID is: an identifier whose possession grants access. As such, UUIDs should not be used in such a case.
What do you think? Is this nitpicking? Or a valid security nuance?
Does the format in which data is displayed have an impact on its security?
I'd love to hear your thoughts.
#Pentesting #AppSec #InfoSec #CyberSecurity #BugBounty #Hacking
As promised! Here's a root/SYSTEM-level RCE (aka CVE-2025-47812) affecting Wing FTP Server in versions before 7.4.4.
Enjoy
https://www.rcesecurity.com/2025/06/what-the-null-wing-ftp-server-rce-cve-2025-47812/
[Перевод] Мой первый P1 на Bugcrowd
На прошлой неделе я решил испытать возможности iScan.today , так как видел о нем много положительных отзывов. Как только мне прислали ответ, я сразу начал тестировать свои цели.
https://habr.com/ru/articles/922264/
#багбаунти #багхантинг #кибербезопасность #пентест #bugbounty #bughunting #pentest
На прошлой неделе я решил испытать возможности iScan.today…
Хабр[Перевод] Обход проверки электронной почты
Проверка электронной почты — это важная мера безопасности, позволяющая подтвердить личность пользователя и предотвратить несанкционированный доступ. Однако, обнаруженная мной уязвимость в процессе проверки электронной почты на сайте app.target.com , позволяет злоумышленникам обойти эту меру безопасности. В этой статье рассматриваются детали уязвимости, ее влияние и необходимые действия по устранению.
https://habr.com/ru/articles/920168/
#багбаунти #пентест #багхантинг #bugbounty #pentest #pentesting #кибербезопасность
Введение Проверка электронной почты — это важная мера…
ХабрSomething that’s been bothering me for years in the security world: why do researchers demand bug bounties for vulnerabilities in open source projects, when the very contributors maintaining and fixing those issues get nothing, just goodwill?
It feels deeply unfair. The burden falls on unpaid maintainers, yet bounty hunters get rewarded. If you want a paid bounty, maybe help fund the people who actually fix the mess too.
[Перевод] Брутфорс телефонного номера любого пользователя Google
Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все еще работают без JS. Как ни странно, форма восстановления имени пользователя все еще работала!
https://habr.com/ru/articles/918414/
#кибербезопасность #информационная_безопасность #bughunting #bugbounty #багбаунти #багхантинг #багхантер
Несколько месяцев назад я отключил JavaScript в своем…
ХабрSupport ethical AI sabotage and open-source resistance. I build Gödel’s Therapy Room to expose LLM failure modes, develop browser tools to kill trackers, and train cognitive adversaries to detect bullshit.
Buy me a coffee and join the quantum rebellion. https://www.buymeacoffee.com/geeknik
#infosec #AIethics #opensource #privacy #bugbounty
I’m glitch-bending reality with paradox data, browser…
Buy Me a Coffee