#bugbounty

Support ethical AI sabotage and open-source resistance. I build Gödel’s Therapy Room to expose LLM failure modes, develop browser tools to kill trackers, and train cognitive adversaries to detect bullshit.
Buy me a coffee and join the quantum rebellion.
https://www.buymeacoffee.com/geeknik
#infosec #AIethics #opensource #privacy #bugbounty

Time for #WednesdayWins. Let's hear your stories everyone. Big or small.

I don't even have one to share right now, so I could really use a pick-me-up from hearing others.

#AppSec #OpenSource #BugBounty #PenTest

Curl's bug bounty program might die because AI "helpers" are drowning volunteers in garbage reports

20% AI slop vs 5% real vulnerabilities = volunteers spending hours on "mind-numbing stupidities" instead of actual security.

When does "helping" become sabotage?

https://it.slashdot.org/story/25/07/16/0618255/curl-creator-mulls-nixing-bug-bounty-awards-to-stop-ai-slop

#curl #AI #BugBounty

curl’s security team is drowning in low-quality “AI slop” reports—now 20% of all submissions, but only 5% are real bugs. The bug bounty program may need big changes to survive this onslaught. Read more on “Death by a thousand slops”: https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/ #infosec #bugbounty #opensource #newz

»Wegen KI-Schrott – Curl-Entwickler erwägt Ende der Bug-Bounty-Prämien:
Minderwertige Bug-Reports belasten Open-Source-Entwickler immer stärker. Curl-Maintainer @bagder zieht nun radikale Maßnahmen in Erwägung.«

Lasst mich raten, IT-Konzerne belasten Developer von Werkzeugen, die sie Täglich selber nutzen. Was ist daran intelligent oder gar künstlerisch?
/s

https://www.golem.de/news/wegen-ki-schrott-curl-entwickler-erwaegt-ende-der-bug-bounty-praemien-2507-198123.html

#curl #opensource #web #internet #ai #ki #belastung #entwickler #kischrott #bugbounty

KI-generierte Meldungen von angeblichen Sicherheitslücken waren schon Thema bei #DNIP. Dort gab es aber wenigstens noch die Erklärung, dass die angeblichen Jäger von Sicherheitslücken auf die Belohnung aus waren, den sogenannten #BugBounty. Nun melden aber auch andere Open-Source-Entwickler, dass sie unzählige Fehlermeldungen erhalten, die keinen Realitätsbezug haben. Offen bleibt, wieso hier KI aufs automatische Melden von Fehlern angesetzt wird.

https://dnip.ch/2025/07/15/dnip-briefing-33-mcpasswort-mit-sicherheitsluecke/#Und-schliesslich

Death by a thousand slops

https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/

#curl #AI #bugbounty

[Перевод] Обходим CSP nonce через дисковый кеш браузера

Эта статья описывает изощренную технику обхода Content Security Policy (CSP) на основе nonce-значений через эксплуатацию механизмов кеширования браузера. Автор демонстрирует, как комбинация CSS-инъекций, CSRF-атак и особенностей работы bfcache и дискового кеша может привести к выполнению произвольного JavaScript-кода даже при наличии строгой CSP.

https://habr.com/ru/articles/926614/

#bugbounty #pentest #web #csp #xss #csrf #css #nonce #разработка #сайт

Just dropped a guide on bypassing root & Frida detection in hardened Android apps.
Magisk tricks, Frida hooks, native reversing, and more.
For pentesters, hackers, and mobile nerds.
Read it here: https://www.kayssel.com/newsletter/issue-12/

#CyberSecurity #infosec #pentesting #bugbounty

Новости кибербезопасности за неделю с 30 июня по 6 июля 2025

Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про то, почему теперь свой телефон лучше вообще никому не давать, про критическую уязвимость в sudo, про молодой талант, который работает на Microsoft, про планируемые нововведения в IOS и другие только самые важные и интересные новости из мира информационной безопасности.

https://habr.com/ru/articles/925066/

#информационная_безопасность #linux #cve #законодательство #telegram #sim #ios #facetime #bugbounty #Echo_chamber

Support ethical AI sabotage and open-source resistance. I build Gödel’s Therapy Room to expose LLM failure modes, develop browser tools to kill trackers, and train cognitive adversaries to detect bullshit.
Buy me a coffee and join the quantum rebellion.
https://www.buymeacoffee.com/geeknik
#infosec #AIethics #opensource #privacy #bugbounty

After 18 years my @YouTube channel is on the brink of a milestone. This is not a big deal for most, but sharing and helping others has been a big focus for me the past 7 years. Growing my channel helps with that mission. Please subscribe.

https://youtube.com/@phillipwylie
#CyberSecurity #BugBounty #pentesting #offensivesecurity

The AI Fix #57: AI is the best hacker in the USA, and self-learning AI - In episode 57 of The AI Fix, our hosts discover an AI “dream recorder”, Mark Zuckerberg t... https://grahamcluley.com/the-ai-fix-57/ #artificialintelligence #vulnerability #bugbounty #theaifix #chatgpt #podcast #openai #ai

I recently ran into an interesting discrepancy:

What you see below are 120-bit Session IDs, one printed as hex and one in the format of a #UUIDv4.

After validating their randomness, I would classify the first as secure but raise concerns about the second.

Why?

Well, according to RFC 4122:

"Do not assume that UUIDs are hard to guess; they should not be used as security capabilities (identifiers whose mere possession grants access), for example."

And that's exactly what a session ID is: an identifier whose possession grants access. As such, UUIDs should not be used in such a case.

What do you think? Is this nitpicking? Or a valid security nuance?

Does the format in which data is displayed have an impact on its security?

I'd love to hear your thoughts.

#Pentesting #AppSec #InfoSec #CyberSecurity #BugBounty #Hacking

As promised! Here's a root/SYSTEM-level RCE (aka CVE-2025-47812) affecting Wing FTP Server in versions before 7.4.4.

Enjoy

https://www.rcesecurity.com/2025/06/what-the-null-wing-ftp-server-rce-cve-2025-47812/

#BugBounty #security

[Перевод] Мой первый P1 на Bugcrowd

На прошлой неделе я решил испытать возможности iScan.today , так как видел о нем много положительных отзывов. Как только мне прислали ответ, я сразу начал тестировать свои цели.

https://habr.com/ru/articles/922264/

#багбаунти #багхантинг #кибербезопасность #пентест #bugbounty #bughunting #pentest

[Перевод] Обход проверки электронной почты

Проверка электронной почты — это важная мера безопасности, позволяющая подтвердить личность пользователя и предотвратить несанкционированный доступ. Однако, обнаруженная мной уязвимость в процессе проверки электронной почты на сайте app.target.com , позволяет злоумышленникам обойти эту меру безопасности. В этой статье рассматриваются детали уязвимости, ее влияние и необходимые действия по устранению.

https://habr.com/ru/articles/920168/

#багбаунти #пентест #багхантинг #bugbounty #pentest #pentesting #кибербезопасность

Something that’s been bothering me for years in the security world: why do researchers demand bug bounties for vulnerabilities in open source projects, when the very contributors maintaining and fixing those issues get nothing, just goodwill?

It feels deeply unfair. The burden falls on unpaid maintainers, yet bounty hunters get rewarded. If you want a paid bounty, maybe help fund the people who actually fix the mess too.

#opensource #security #bugbounty

[Перевод] Брутфорс телефонного номера любого пользователя Google

Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все еще работают без JS. Как ни странно, форма восстановления имени пользователя все еще работала!

https://habr.com/ru/articles/918414/

#кибербезопасность #информационная_безопасность #bughunting #bugbounty #багбаунти #багхантинг #багхантер

Support ethical AI sabotage and open-source resistance. I build Gödel’s Therapy Room to expose LLM failure modes, develop browser tools to kill trackers, and train cognitive adversaries to detect bullshit.
Buy me a coffee and join the quantum rebellion.
https://www.buymeacoffee.com/geeknik
#infosec #AIethics #opensource #privacy #bugbounty