NEW BOT Телеграм, страница - 712898267

Bug Hunter Notes

213 subscribers

24 photos

5 files

366 links

I will public my notes related to Bug Hunter learning
На этом канале я буду публиковать записи связанные с обучением Bug Hunter'а

Download Telegram

About

Blog

Apps

Platform

Bug Hunter Notes

213 subscribers

Bug Hunter Notes

Forwarded from SHADOW:Group

🛠 Немного про ручное тестирование при поиске страниц регистрации

Страницы регистрации к админ-панелям всегда лакомый кусок, который стараются найти багхантеры и спрятать разработчики.

Например, для Wordpress, это популярный эндпоинт /wp-login.php?action=register, для которого есть даже соответствующий шаблон в nuclei.

Однако, не всегда стоит слепо полагаться на подобные инструменты. На скринах ниже эндпоинт, для которого этот шаблон не отработал. Дело в том, что nuclei в этом шаблоне пытается отправить GET запрос и найти в ответе ключевые слова. Но при отправке GET запроса на данный эндпоинт сервер возвращает таймаут (смотри первый скрин ниже).

Мы можем попробовать изменить GET запрос на POST, однако это снова приведёт к тайм-ауту (смотри второй скрин)

Однако, если мы попробуем отправить POST запрос с параметром, то сможем успешно получить доступ к странице регистрации и соответственно к админ-панеле в Wordpress (третий скрин).

Для списка хостов можно попробовать автоматизировать этот процесс, например так:

ffuf -X POST -w web.list -u "FUZZ/wp-login.php?action=register" -d "user_login=bugbountytest" -mr "Please type your email address"

#web #wp #recon

27 views13:16

Bug Hunter Notes

https://www.youtube.com/playlist?list=PLH15HpR5qRsW62N-GLRb1q56Zr7sm10rF

25 views13:18

Bug Hunter Notes

Forwarded from GitTools

Azure-Red-Team

Не сложно понять, что атаки из обычного AD переходят в облако Azure. Материалов по пентесту Azure Active Directory сейчас не так много. Автор репозитория собрал в одном месте много материала и оставил ссылку на базовый репозиторий Swisskyrepo.

https://github.com/rootsecdev/Azure-Red-Team

#security #infosec #azure #pentesting #ad

29 views21:18

Bug Hunter Notes

Forwarded from GitTools

Шпаргалка по разным типам SQL-инъекций

https://github.com/kleiton0x00/Advanced-SQL-Injection-Cheatsheet

#Security #infosec #cheatsheet #pentest #SQL

GitHub - kleiton0x00/Advanced-SQL-Injection-Cheatsheet: A cheat sheet that contains advanced queries for SQL Injection of all types.

A cheat sheet that contains advanced queries for SQL Injection of all types. - kleiton0x00/Advanced-SQL-Injection-Cheatsheet

32 views21:18

Bug Hunter Notes

https://medium.com/@moSec/how-i-hacked-thousand-of-subdomains-6aa43b92282c

HOW I hacked thousand of subdomains

47 views16:27

Bug Hunter Notes

Forwarded from Codeby

HackTheBox CTF "Magic" разбор Web-Linux (Уровень: Средний)

Продолжаем рассматривать CTF с площадки HackTheBox, одна из таких интересных коробок по Linux будет разобрана в этой статье, не буду томить... Начнём!

📌 Читать статью: https://codeby.net/threads/hackthebox-ctf-magic-razbor-web-linux-uroven-srednij.79346/

📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд

#ctf #htb #writeup

30 views20:58

Bug Hunter Notes

https://infosecwriteups.com/the-story-of-a-rce-on-a-java-web-application-2e400cddcd1e

The Story of an RCE on a Java Web Application

It was about two months ago (November 2021) I was invited to a private program. According to their program scope, I decided to hack them…

26 views07:40

Bug Hunter Notes

https://github.com/yavolo/eventlistener-xss-recon

GitHub - yavolo/eventlistener-xss-recon

Contribute to yavolo/eventlistener-xss-recon development by creating an account on GitHub.

26 views10:54

Bug Hunter Notes

Forwarded from The Bug Bounty Hunter

A brief overview of JWT and its exploits

https://thexssrat.medium.com/a-brief-overview-of-jwt-and-its-exploits-97c53840378c

A brief overview of JWT and its exploits

28 views21:06

Bug Hunter Notes

Forwarded from The Bug Bounty Hunter

Paytm - Broken Link Hijacking

https://lohigowda.medium.com/paytm-broken-link-hijacking-11624e4e9eef

Paytm-Broken Link Hijacking

Hello Everyone….

28 views21:07

Bug Hunter Notes

Forwarded from The Bug Bounty Hunter

vAPI is Vulnerable Adversely Programmed Interface which is Self-Hostable API that mimics OWASP API Top 10 scenarios in the means of Exercises.

https://github.com/roottusk/vapi

GitHub - roottusk/vapi: vAPI is Vulnerable Adversely Programmed Interface which is Self-Hostable API that mimics OWASP API Top…

vAPI is Vulnerable Adversely Programmed Interface which is Self-Hostable API that mimics OWASP API Top 10 scenarios through Exercises. - roottusk/vapi

33 views21:08

Bug Hunter Notes

https://youtu.be/FzQcu9LYd_k

Bypassing Brute-Force Protection with Burpsuite

In this episode, we learn the basics of using Burpsuite for web application pentesting by hacking a fake account with broken anti-brute force attack protection. This video is sponsored by PCBWay, whose PCB manufacturing & assembly services can be found over…

34 views08:49

Bug Hunter Notes

https://kuldeep.io/posts/120-days-of-high-frequency-hunting/

kuldeepdotexe's blog

120 Days of High Frequency Hunting

A writeup about my journey to find 120 bugs in 120 days

29 views07:51

Bug Hunter Notes

Forwarded from Хакер {Hacker}

Фаззинг для XSS через состояние вложенных парсеров

https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/

27 views14:34

Bug Hunter Notes

Forwarded from Хакер {Hacker}

Как определить, какой WAF защищает веб-сайт или приложение?

Атакующему всегда полезно знать, где в сети обычно используется WAF, прежде чем приступать к сбору информации.

Пентестеры должны знать о WAF до начала работы с веб-приложениями, поскольку это может повлиять на результаты их атак.

Подробнее

27 views14:35

Bug Hunter Notes

https://youtu.be/lhz0-qAQlBM

How to Be an Ethical Hacker in 2022

Sponsor: https://go.intigriti.com/thecybermentor
Blog Post: https://tcm-sec.com/so-you-want-to-be-a-hacker-2022-edition/
Academy: https://academy.tcm-sec.com

Timestamps:
0:00 - Introduction
0:53 - Intigriti Sponsorship
1:55 - Building a Foundation
2:10 …

29 views23:07

Bug Hunter Notes

https://medium.com/@Steiner254/insecure-direct-object-references-idor-16bf0b981b90

Insecure Direct Object References (IDOR)

~ In this article we will cover:

33 views08:48

Bug Hunter Notes

https://github.com/pathakabhi24/RedTeam-Security

GitHub - pathakabhi24/RedTeam-Security: In this repo you will get the information of Red Team Security related links

In this repo you will get the information of Red Team Security related links - GitHub - pathakabhi24/RedTeam-Security: In this repo you will get the information of Red Team Security related links

31 views14:41

Bug Hunter Notes

https://www.ceos3c.com/security/the-best-hacking-books/

Best Hacking Books in 2025 - The Definitive List

The Ultimate Guide to the Best Hacking Books to learn hacking in 2025. I have read all of the books for you and ranked them by difficulty!

29 views22:02

Bug Hunter Notes

https://youtu.be/qLTe6Z10vj8

h@cktivitycon 2020: The Bug Hunter's Methodology v4: Recon Edition by 0x0G

The Bug Hunter's Methodology v4: Recon Edition is an ongoing yearly installment on the newest tools and techniques for bug hunters and red teamers. This version explores both common and lesser-known techniques to find assets for a target. The topics discussed…

30 views09:31

Bug Hunter Notes

https://blog.flant.com/kubernetes-security-with-kube-bench-and-kube-hunter/

Kubernetes cluster security assessment with kube-bench and kube-hunter

Improving the security of your clusters can be easier: here's how you can benefit from well-known Open Source tools.

28 views14:55