From Invalid Tag to Script Execution
demo: https://jsfiddle.net/4v6xksaf/
source: https://x.com/nowaskyjr/status/1992717862398800081
spec: https://html.spec.whatwg.org/multipage/parsing.html#parse-error-invalid-first-character-of-tag-name
<0 name="<noscript/onload=alert()>">
demo: https://jsfiddle.net/4v6xksaf/
source: https://x.com/nowaskyjr/status/1992717862398800081
spec: https://html.spec.whatwg.org/multipage/parsing.html#parse-error-invalid-first-character-of-tag-name
👍9🔥6
Новогодний розыгрыш для багхантеров 🎁
👾 Standoff 365, Похек, Багхантер и Bugxplorer запускают праздничный конкурс с раздачей фирменного мерча. Мы знаем, как много ты охотился за багами в этом году, пора получить новогодние подарки!
Что дарим:
— футболки
— худи
— брелки
— кейкапы
В понедельник, 22 декабря в 22:00, выберем пятерых победителей на каждый канал с помощью рандомайзера и отправим подарки по России и странам СНГ.
Как участвовать:
1⃣ Быть зарегистрированным на платформе Standoff Bug Bounty.
2⃣ Подписаться на все каналы организаторов:
🔴 Standoff 365
✨ Похек
🔴 Bugxplorer
✨ Багхантер
С наступающим Новым годом! Жми кнопку, лови баги и праздничное настроение🤩
Что дарим:
— футболки
— худи
— брелки
— кейкапы
В понедельник, 22 декабря в 22:00, выберем пятерых победителей на каждый канал с помощью рандомайзера и отправим подарки по России и странам СНГ.
Как участвовать:
С наступающим Новым годом! Жми кнопку, лови баги и праздничное настроение
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍4😁1
BugXplorer
Новогодний розыгрыш для багхантеров 🎁 👾 Standoff 365, Похек, Багхантер и Bugxplorer запускают праздничный конкурс с раздачей фирменного мерча. Мы знаем, как много ты охотился за багами в этом году, пора получить новогодние подарки! Что дарим: — футболки…
🎉 Розыгрыш завершен!
🏆 Победители:
1. @pexac
2. @CrabDB
3. @D1MM1
4. @Kiruhayo
5. @webdvl
6. @asm_wh
7. @ell_kn
8. @dno5iq
9. @tonya_snail
10. @wilsafe
11. @Kosteuro
12. @qwertyksc
13. @Pep_macgvai
14. @belka_e
15. @Manuz1eek
🔍 Проверить результаты
🏆 Победители:
1. @pexac
2. @CrabDB
3. @D1MM1
4. @Kiruhayo
5. @webdvl
6. @asm_wh
7. @ell_kn
8. @dno5iq
9. @tonya_snail
10. @wilsafe
11. @Kosteuro
12. @qwertyksc
13. @Pep_macgvai
14. @belka_e
15. @Manuz1eek
🔍 Проверить результаты
🔥8👍4😢1
Forwarded from PT SWARM
📑 A new article from our researchers Aleksey Solovev, Nikita Sveshnikov and Vladimir Razov — "Blind trust: what is hidden behind the process of creating your PDF file?".
https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/
https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/
PT SWARM
Blind trust: what is hidden behind the process of creating your PDF file?
Every day, thousands of web services generate PDF (Portable Document Format) files—bills, contracts, reports. This step is often treated as a technical routine, “just convert the HTML,” but in practice it’s exactly where a trust boundary is crossed. The renderer…
🔥5👍3
Итоги 2⃣ 0⃣ 2⃣ 5⃣
Оглядываясь назад, могу сказать, что год выдался насыщенным. Именно в этом году я всерьёз занялся багбаунти и добился заметных результатов. Ранее я мог раз в несколько месяцев что-то посмотреть, ничего не найти, расстроиться и вернуться к основной работе. В этом году я поставил перед собой цель заниматься багхантингом на постоянной основе, выбрал платформу и вендоров и начал активно хантить. В результате занял 13-е место в рейтинге по итогам 2025 года.
Помимо этого, произошло ещё несколько важных и интересных событий:
🟦 Получил OSWE. Изначально хотел сдавать ещё в прошлом году, но из-за сильной загрузки на работе подписка Learn One просто закончилась, и до экзамена руки так и не дошли. В этом году удалось нормально подготовиться и успешно его сдать.
🟦 Посетил концерт Armin van Buuren в Алматы. Его выступления всегда отличаются яркостью и масштабом, а живое присутствие позволяет прочувствовать эту атмосферу в полной мере. Первые ряды и площадка у озера Капчагай сделали этот концерт ещё более запоминающимся.
🟦 Канал преодолел отметку в 7000 подписчиков. Почти шесть лет назад я создавал его для себя, чтобы бот собирал отчёты с HackerOne. Со временем канал превратился в личную вики с ресерчами и инструментами. Постепенно аудитория росла, появились предложения о сотрудничестве, и я стал гораздо избирательнее подходить к контенту. Спасибо всем, кто читает и поддерживает. Впереди много идей и планов, дальше будет только интереснее.
🟦 Стал комьюнити партнером BI.ZONE Bug Bounty. Активно хантить я начал именно на этой платформе. Мне сразу понравились скорость триажа, оперативное решение вопросов, большой выбор вендоров и классное комьюнити. В какой-то момент я понял, что хочется большего участия в жизни платформы, поэтому выдвинул свою кандидатуру на комьюнити-партнёра и получил положительный ответ.
🟦 Принял участие во всех Bugs Zone и T-bounty Event. Это был новый и полезный опыт. Интересно было исследовать приватные скоупы рядом с лучшими багхантерами.
Вот такие итоги получились в этом году. Спасибо всем, кто был рядом и поддерживал в течение года. С наступающим Новым годом! Желаю всем в новом году находить критичные баги, получать быстрый фидбек от триажа и как можно реже видеть дубли и информативы.
PS: Отдельное спасибо Standoff 365 и BI.ZONE Bug Bounty за классный новогодний мерч :)
Оглядываясь назад, могу сказать, что год выдался насыщенным. Именно в этом году я всерьёз занялся багбаунти и добился заметных результатов. Ранее я мог раз в несколько месяцев что-то посмотреть, ничего не найти, расстроиться и вернуться к основной работе. В этом году я поставил перед собой цель заниматься багхантингом на постоянной основе, выбрал платформу и вендоров и начал активно хантить. В результате занял 13-е место в рейтинге по итогам 2025 года.
Помимо этого, произошло ещё несколько важных и интересных событий:
Вот такие итоги получились в этом году. Спасибо всем, кто был рядом и поддерживал в течение года. С наступающим Новым годом! Желаю всем в новом году находить критичные баги, получать быстрый фидбек от триажа и как можно реже видеть дубли и информативы.
PS: Отдельное спасибо Standoff 365 и BI.ZONE Bug Bounty за классный новогодний мерч :)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍3
Two XSS. $312,500. A reminder not to dismiss client-side vulnerabilities.
https://ysamm.com/uncategorized/2025/01/13/capig-xss.html
https://ysamm.com/uncategorized/2025/01/13/capig-xss.html
🔥10👍5
Красные команды, ваш ход!
Кибербитва Standoff 17 пройдет с 26 по 29 мая 2026 года. Мы открываем отбор и приглашаем команды атакующих. Если вам близки offensive-подходы, сложные цепочки атак и работа с максимально реалистичной инфраструктурой — вам точно к нам.
Standoff — это не просто соревнование, а полноценная кибербитва:
• сотни критических событий и нестандартных сценариев;
• возможность протестировать свои техники и тактики в боевых условиях;
• сильное комьюнити профессиональных пентестеров.
Отборочный этап пройдет с 28 февраля по 6 марта. Заявки принимаются до 10 февраля 2026 года. 5 лучших команд получат гарантированное участие в Standoff 17.
Если вы готовы проверить свои силы — самое время подать заявку!
Ждём вас на Standoff!
Кибербитва Standoff 17 пройдет с 26 по 29 мая 2026 года. Мы открываем отбор и приглашаем команды атакующих. Если вам близки offensive-подходы, сложные цепочки атак и работа с максимально реалистичной инфраструктурой — вам точно к нам.
Standoff — это не просто соревнование, а полноценная кибербитва:
• сотни критических событий и нестандартных сценариев;
• возможность протестировать свои техники и тактики в боевых условиях;
• сильное комьюнити профессиональных пентестеров.
Отборочный этап пройдет с 28 февраля по 6 марта. Заявки принимаются до 10 февраля 2026 года. 5 лучших команд получат гарантированное участие в Standoff 17.
Если вы готовы проверить свои силы — самое время подать заявку!
Ждём вас на Standoff!
🔥12👍4
Вышел обзор результатов Standoff Bug Bounty 2025 с большим количеством интересных и полезных данных
https://ptsecurity.com/research/analytics/standoff-bug-bounty-in-review-2025/
https://ptsecurity.com/research/analytics/standoff-bug-bounty-in-review-2025/
ptsecurity.com
Итоги работы платформы Standoff Bug Bounty за 2025 год
Standoff Bug Bounty — это платформа для поиска уязвимостей за вознаграждение, позволяющая компаниям усилить защищенность ИТ-инфраструктуры с помощью опытных белых хакеров.
Компаниям платформа позволяет платить только за найденные и подтвержденные уязвимости…
Компаниям платформа позволяет платить только за найденные и подтвержденные уязвимости…
🔥9😢1
Top 10 Web Hacking Techniques of 2025 by PortSwigger
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
I also recommend checking out the full list of nominees
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025-nominations-open
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025
I also recommend checking out the full list of nominees
https://portswigger.net/research/top-10-web-hacking-techniques-of-2025-nominations-open
🔥5👍2