#bugbounty

Top Web Application PenTesting Tools by Category

Hashtags:
#WebSecurity #PentestingTools #EthicalHacking #BugBounty #WebAppSecurity #RedTeam #OWASP #CyberSecurity

Disclaimer:
This content is for educational purposes only. Only use these tools in environments where you have proper authorization. Hacking without permission is illegal and unethical.

[Перевод] Jenkins: Тестирование на проникновение

Jenkins — это open-source сервер автоматизации, используемый для непрерывной интеграции (CI) и непрерывной доставки (CD), написанный на Java. Jenkins автоматизирует задачи, такие как сборка, тестирование и развертывание в процессе разработки ПО. Эта автоматизация ускоряет циклы разработки, повышает качество кода и упрощает релизы. Ключевые возможности — CI/CD, автоматизированное тестирование, интеграция с системами контроля версий, расширяемость за счет плагинов и мощный мониторинг и отчётность. Содержание - Подготовка лаборатории - Установка - Конфигурация - Перебор - Эксплуатация с помощью Metasploit Framework - Ручная эксплуатация (Reverse Shell) - Выполнение команд напрямую - Заключение Подготовка лаборатории В этой статье мы настроим сервер Jenkins на машине с Ubuntu и получим удаленное выполнение кода. Воспользуемся следующими устройствами: Целевая машина: Ubuntu (192.168.1.4) Машина атакующего: Kali Linux (192.168.1.7)

https://habr.com/ru/articles/902300/

#пентест #bugbounty #bughunting #jenkins #ubuntu #pentest

@zpravobot

Druhou prosbou je, zda byste mohli udělat #bugbounty a ověřili u všech zprávobotíků, které sledujete, že skutečně běží (postují), i když třeba nepříliš často, a nareportovali mi, pokud najdete nějaký problematický/nefunkční? I když se snažím, nemám šanci vše uhlídat a tohle by hodně pomohlo. Díky i za to.

2/2

#zpravobot

URLFINDER

#go URL discovery tool:
- different sources (alienvault,commoncrawl etc)
- filter by extensions/regex
- very fast (122000+ URLs in 30 sec):
https://github.com/projectdiscovery/urlfinder

Creator x.com/pdnuclei

#osint #cybersecurity #bugbounty

Learn the ultimate strategy for beginners in bug bounty hunting, focusing on reconnaissance and industry-standard penetration testing approaches. This guide will help you understand steps like Pre-engagement interaction, Intelligence gathering, Threat Modeling, Vulnerability Analysis, Exploitation, and post-exploitation. By following this strategy, you can build confidence, train your mind to spot misconfigurations, and increase chances of a payout. #infosec #BugBounty #Cybersecurity

https://medium.com/@richard_wachara/a-beginners-guide-to-bug-bounties-f710b10ae188?source=rss------bugbounty-5

Imagine a hacker who not only exploited zero-days to breach over 600 organizations but also played the hero by patching vulnerabilities for Microsoft. How does one person walk the line between cybercrime and cybersecurity?

https://thedefendopsdiaries.com/decrypting-encrypthub-a-cybersecurity-enigma/

#cybersecurity
#encrypthub
#bugbounty
#ethicalhacking
#cybercrime

[Перевод] Как я нашел учетные данные к БД с помощью разведки в VDP от Gcash

Привет, сегодня я расскажу о другой находке в Gcash VDP и дам советы по методологии разведки, такие как: перечисление поддоменов, анализ технологий с помощью Wappalyzer, массовая разведка и определение области с помощью автоматизированных инструментов. Что такое определение области разведки? Определение области разведки является начальной фазой оценки защищенности и тестирования на проникновение. Оно включает в себя идентификацию и сбор информации о целевых системах, сетях и инфраструктуре. Основная цель состоит в том, чтобы понять масштабы инфраструктуры для тестирования и собрать данные, которые могут быть полезны в последующих фазах оценки. Начало: Мои методы разведки, как правило, разделены по категориям, поэтому я создал несколько директорий на своей локальной машине, выполнив: mkdir -p gcash.com ~/recon/targets/gcash.com/subdomains/ mkdir -p gcash.com ~/recon/targets/gcash.com/endpoints/ mkdir -p gcash.com ~/recon/targets/gcash.com/aws/ mkdir -p gcash.com ~/recon/targets/gcash.com/dns/ Процесс разведки - Перечисление поддоменов - Сбор информации (сеть, DNS, технологии, порты) - Автоматическое тестирование Перечисление поддоменов Сбор поддоменов очень важен в контексте поиска уязвимостей/тестирования на проникновение. Необходимо собрать как можно больше поддоменов, и я покажу вам, как их находить с помощью различных методов и инструментов. Примечание: некоторые методы не всегда работают, но я покажу те, которые сам часто использую для сбора поддоменов. Инструменты:

https://habr.com/ru/articles/897954/

#пентест #pentest #bugbounty #багбаунти #разведка #кибербезопасность

[Перевод] IDOR & UUIDs для утечки PII

Введение Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII. Что такое IDOR Это сокращение от Insecure Direct Object Reference (небезопасная прямая ссылка на объект). Что это значит? Проще говоря, это уязвимость, которая позволяет злоумышленнику выполнять CRUD операции (создание, чтение, обновление, удаление) от имени других пользователей, так как приложение не проверяет, действительно ли пользователь, получающий доступ к ресурсу, является его владельцем. Что такое PII Это любая личная идентификационная информация, которой может обладать пользователь и которая может позволить создать копию профиля конкретного человека (включая электронные почты, номера телефонов, номера социального страхования и так далее). Теперь перейдем к делу

https://habr.com/ru/articles/897794/

#bugbounty #bughunting #кибербезопасность #багхантинг #багбаунти #idor

90% of code will be writen by AI, they say...
And Bug Bounty Hunters...

#ai #aicoding #programming #bugbounty #infosec

There is now a (limited) bug bounty for several Fediverse projects.

$250 for HIGH
$500 for CRITICAL

https://nivenly.org/blog/2025/04/01/nivenly-fediverse-security-fund/

#infosec #bugbounty #fediverse

Calling all Chromium developers and fans!

Ready to showcase your coding skills and earn up to $10,000? The Supporters of Chromium Based Browsers (SOCBB) Bug Bounty Program is live! Fix bugs in Chromium-based browsers like Chrome & Edge.

Contribute to repos like chromium, v8, Skia, and more!
Payment via GitHub Sponsors.

Get started now: https://github.com/Supporters-Of-Chromium-Based-Browsers/Bug-Bounty-Program/blob/main/README.md

#Chromium #BugBounty #OpenSource #DeveloperCommunity

A new security fund opens up to help protect the #fediverse

https://techcrunch.com/2025/04/02/a-new-security-fund-opens-up-to-help-protect-the-fediverse/

#cybersecurity #FOSS #BugBounty

And following the result of the poll, here is the whole thing in the raw: https://nxdomain.no/~peter/bugbounty/20250401_ahmedraslanco@gmail.com_bugbounty_plz_drift@nuug.no.txt #bugbounty #bugbunnies #scriptkiddies #scammers #spammers #scambunnies

[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS

Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории. Я скрою название цели (довольно популярной), но отмечу, что один из ее сервисов связан с механизмом безопасности, предназначенным для защиты веб-сайтов и приложений при сохранении конфиденциальности пользователей. Этот механизм разработан для предотвращения автоматизированных злоупотреблений и атак, при этом обеспечивает легитимное взаимодействие с веб-сайтом без чрезмерного отслеживания или сбора данных. Методология Я не проводил никакой разведки, вместо этого я сразу сосредоточился на основном домене. Я начал с посещения страницы , чтобы создать новый аккаунт и завершить процесс регистрации. Цель предлагает различные тарифные планы, от бесплатных услуг до корпоративных решений. Я выбрал версию "Pro" и активировал бесплатный пробный период. После завершения регистрации я вошел в систему с использованием своих учетных данных и был перенаправлен на страницу . Там я начал изучать различные функции. В настройках профиля я активировал двухфакторную аутентификацию (2FA) и добавил ключ безопасности как дополнительный метод аутентификации, что позволяет входить в систему без ввода пароля каждый раз.

https://habr.com/ru/articles/896684/

#bugbounty #bughunting #багхантинг #2faаутентификация #cors #взлом_аккаунта

A message just inboxed here with

"To: undisclosed-recipients: ;
Subject: Request to Join Your Private Bug Bounty Program"

Should I put the entire message on display somewhere and post the link to the fediverse?

#scriptkiddies #bugbunnies #bugbounty #scammers #spammers #scambunnies

https://josephthacker.com/hacking/2025/03/28/high-agency-hacking.html

High Agency goes #bugbounty.

#OpenAI now pays researchers $100,000 for critical vulnerabilities

https://www.bleepingcomputer.com/news/security/openai-now-pays-researchers-100-000-for-critical-vulnerabilities/

#cybersecurity #BugBounty

[Перевод] Как я нашел свой первый баг: SQL-инъекция в NASA

Я начал заниматься баг-баунти три недели назад. Мой изначальный подход, основанный на прочитанной информации, заключался в том, чтобы искать уязвимости в VDP (программах раскрытия уязвимостей), чтобы получить приглашение в частные программы и избежать жесткой конкуренции, как в публичных программах. Однако мне хотелось получить что-то взамен за свое время, ведь его у меня не так много. После того как я увидел, как несколько багхантеров делятся своими благодарственными письмами от NASA в X, я поставил себе новую цель...

https://habr.com/ru/articles/895530/

#bugbounty #bughunting #nasa #sql_инъекция #багхантинг #эксплуатация_уязвимостей

OpenAI Bug Bounty Program Increases Top Reward to $100,000 – Source:hackread.com https://ciso2ciso.com/openai-bug-bounty-program-increases-top-reward-to-100000-sourcehackread-com/ #1CyberSecurityNewsPost #artificialintelligence #CyberSecurityNews #cybersecurity #BugBounty #Hackread #security #Chatgpt #OpenAI #AI

OpenAI Bug Bounty Program Increases Top Reward to $100,000 https://hackread.com/openai-bug-bounty-program-increases-top-reward/ #ArtificialIntelligence #Cybersecurity #BugBounty #Security #ChatGPT #OpenAI #AI