Новости по тегу "багбаунти"
Подборка публикаций, содержащих тег "багбаунти". Актуальные темы и важные события.
[Перевод] От согласия на использование Cookie, до выполнения команд: реальный вектор от SQLi + утечки персональных данных до RCE
Привет, я nav1n0x — администратор баз данных по профессии, исследователь безопасности, а также баг-хантер по призванию, с фокусом на уязвимости,...
[Перевод] Как я превратил простую HTML-инъекцию в SSRF с помощью рендеринга PDF
Сегодня я расскажу вам об интересной уязвимости, которую я нашёл в одном закрытом баг-баунти проекте: простая HTML-инъекция превратилась в...
[Перевод] Как я нашел критическую IDOR уязвимость в корпоративном портале бронирования Индийских железных дорог
Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и...
[Перевод] Никаких игр, только хакинг — как я заработал $3000 на TikTok Bug Bounty
Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я...
[Перевод] Как забытый парсер ссылок привел к XSS на Reddit: Уязвимость на $5000, которая скрывалась в редакторе постов Reddit
В этой статье разбирем XSS уязвимость, обнаруженную в парсере Reddit, который при определенном условии (запланированных постах) не очищал...
[Перевод] Как простой скан порта привел к награде в $500 от Google: «Обычные маршруты часто остаются неисследованными.»
Привет!Меня зовут Джебарсон Иммануэль, мне 19 лет, я исследователь безопасности и охотник за уязвимостями. Мне посчастливилось помочь обеспечить...
[Перевод] Нарушение контроля доступа (IDOR) в функционале “Забыли пароль” позволяет атакующему менять пароли всех пользователей
В этом посте я расскажу, как обнаружил уязвимость, которая позволяет злоумышленнику менять пароли других пользователей, что может привести к...
[Перевод] Мой первый P1 на Bugcrowd
На прошлой неделе я решил испытать возможности iScan.today, так как видел о нем много положительных отзывов.Как только мне прислали ответ, я сразу...
[Перевод] Обход проверки электронной почты
Проверка электронной почты — это важная мера безопасности, позволяющая подтвердить личность пользователя и предотвратить несанкционированный...
[Перевод] Брутфорс телефонного номера любого пользователя Google
Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все...
[Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно
Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о...
От подбора пароля к WiFi до пентеста серверов Apple: разговор с топовыми багхантерами из Synack и HackerOne
Привет! На связи команда Standoff Bug Bounty. Недавно мы провели откровенный разговор с топовыми багхантерами — теми, кто превратил поиск...