NEW BOT Телеграм, страница

When comments aren't just comments

<noscript>
    delete/delete; //alert(1)
    typeof/typeof; //alert(2)
    void/void;     //alert(3)
    throw/throw;   //alert(4)
</noscript>

demo: https://jsfiddle.net/yo0a24dj/
source: https://x.com/nowaskyjr/status/1983273567111524544

🔥15👍3😁2

3.36K viewsj b, 16:56

BugXplorer

Bug Bounty Reading List: A curated collection of articles and resources for bug bounty hunters.

https://bb.vitorfalcao.com/

🔥5👍3

3.43K viewsj b, 07:56

BugXplorer

Forwarded from Standoff 365

Знаете, багхантеры тоже своего рода бизнесмены

🤑

Контур — одна из крупнейших экосистем для бизнеса в России — запускает публичную программу на Standoff Bug Bounty.

В портфеле экосистемы — ЭДО, бухгалтерия, электронная подпись, инфобез, финтех, онлайн-кассы и другие решения для бизнеса.

Все они теперь доступны багхантерам для исследования, максимальная выплата — до 1 000 000 рублей!

Заработать баунти можно здесь

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥7

2.08K viewsj b, 17:51

BugXplorer

https://www.intigriti.com/researchers/blog/hacking-tools/exploiting-jwt-vulnerabilities

Intigriti

Exploiting JWT Vulnerabilities: Advanced Exploitation Guide

Learn how to identify and exploit JSON Web Token (JWT) vulnerabilities using several different testing methods. Read the article now!

🔥6👍2

2.01K viewsj b, 10:11

BugXplorer

https://www.praetorian.com/blog/how-i-found-the-worst-asp-net-vulnerability-a-10k-bug-cve-2025-55315/

Praetorian

How I Found the Worst ASP.NET Vulnerability — A $10K Bug (CVE-2025-55315)

Introduction Earlier this year, I earned a $10,000 bounty from Microsoft after discovering a critical HTTP request smuggling vulnerability in ASP.NET Core’s Kestrel server (CVE-2025-55315). The vulnerability garnered significant media attention after Microsoft…

🔥5👍2

1.72K viewsj b, 10:38

BugXplorer

Forwarded from Standoff 365

Новая публичная программа на Standoff Bug Bounty

😎

БКС Банк вышел из приватки и стал открытым для всех багхантеров!

А чтобы старт был по-настоящему горячим, подготовили бонус — удвоенные выплаты за баги высокого и критичного уровня опасности до 30 ноября.

Critical — до 500 000 рублей
High — до 240 000 рублей
Medium — до 50 000 рублей
Low — до 10 000 рублей

Скоуп:

https://bcs-bank.ru/
https://lkbank.bcs.ru/
\*.bcs-bank.ru
Приложения для Android и iOS (последние актуальные версии с https://bcs.ru/)

Самое то, чтобы успеть заработать на адвент-календарь ~~с пивом~~

😎

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥4👍2

1.66K viewsj b, 13:15

BugXplorer

Несколько слов о прошедшем BUGS Z🐞NE 6

Для меня это был 3-ий Багз, в котором я принимал участие. В этот раз вендоры очень порадовали обширным скоупом, который за 2 недели было сложно охватить. Поэтому я принял решение сосредоточиться на одном конкретном вендоре с wildcard-скоупом. Такой подход дал свои плоды: удалось избежать информативов и дублей.

Отдельное спасибо организаторам и вендорам за щедрые выплаты и классный мерч, который недавно добрался до меня (к сожалению, на очную часть мероприятия попасть не смог).

Также хочу отдельно поздравить победителей, показавших отличные результаты.

Буду ждать BUGS Z🐞NE 7, который состоится уже в следующем году.

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥9👍4👎1🤮1

2.12K viewsj b, 18:43

BugXplorer

Some of the Most Interesting Black Friday 2025 Deals

➡️

Offsec Learn One: 20% OFF

➡️

HTB Pro Labs: 25% OFF [CODE: NOVPROLABSANNUAL25OFF]

➡️

LetsDefend: 50% OFF [CODE: BLCKFRDY]

➡️

The SecOps Group: 80% Discount On All Pentesting Exams [CODE: BF-80], Up to 90% Discount On All Community Exams

➡️

Brute Logic: E-book Collection (FIRST BOUNTY 19$, SSRF MASTERY SERIES 29$, THE BRUTE ART OF BYPASS 19$)

➡️

KNOXSS: 3-Months 39$, 6-Months 49$, 1-Year 69$

➡️

TCM Security: 50% OFF The Academy, 20% OFF Of Certifications, 20% OFF Of Live Trainings, Up to 1000$ OFF Bundles

➡️

Altered Security: 20% OFF On All Courses & Bootcamps in Q1 & Q2 2026

➡️

CyberWarfare Lab: Up to 90% OFF

➡️

HackTricks: 20% OFF Courses, 15% OFF Labs & Exams and Extra 10% OFF Course Bundles

➡️

THEXERO: 65% OFF On The Wireless Mastery + BONUS Now

➡️

HackingHub: The Hacker's Arsenal [CODE: 2025blackfriday], Bug Bounty Essentials [CODE: blackfriday2025]

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥5👍4😁1

2.48K viewsj b, 10:54

BugXplorer

https://github.com/BehiSecc/First-Bounty

GitHub

GitHub - BehiSecc/First-Bounty: A complete, beginner-friendly bug bounty roadmap that takes you from zero experience to earning…

A complete, beginner-friendly bug bounty roadmap that takes you from zero experience to earning your first bounty. - BehiSecc/First-Bounty

👍2🔥2

1.99K viewsj b, 08:55

BugXplorer

Открыта регистрация на главную аналитическую конференцию Код ИБ ИТОГИ в Москве

🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club

Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее.

В программе:

📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят

📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы

А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера

Опытом поделятся практики из ведущих компаний: Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.

Успейте забронировать место — участие бесплатное по предварительной регистрации.

➡️

Стать участником

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥4👍3

2.1K viewsj b, 11:38

BugXplorer

From Invalid Tag to Script Execution

<0 name="<noscript/onload=alert()>">

demo: https://jsfiddle.net/4v6xksaf/
source: https://x.com/nowaskyjr/status/1992717862398800081
spec: https://html.spec.whatwg.org/multipage/parsing.html#parse-error-invalid-first-character-of-tag-name

👍9🔥6

2.82K viewsj b, 18:19

BugXplorer

https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/

Searchlight Cyber

High Fidelity Detection Mechanism for RSC/Next.js RCE (CVE-2025-55182 & CVE-2025-66478) › Searchlight Cyber

This morning, an advisory was released for Next.js about a vulnerability that leads to RCE in default configurations, with no prerequisites. The root cause of this issue lies in React Server Components, which Next.js utilizes. Over the last day, we have noticed…

👍5🔥4

2.44K viewsj b, 07:59

BugXplorer

https://slcyber.io/research-center/high-fidelity-detection-mechanism-for-rsc-next-js-rce-cve-2025-55182-cve-2025-66478/

ActiveScan++ now detects React2Shell: link
Nuclei Template: link

🔥7👍3

3.98K viewsj b, 11:13

BugXplorer

https://portswigger.net/research/the-fragile-lock

PortSwigger Research

The Fragile Lock: Novel Bypasses For SAML Authentication

TLDR This post shows how to achieve a full authentication bypass in the Ruby and PHP SAML ecosystem by exploiting several parser-level inconsistencies: including attribute pollution, namespace confusi

🔥4👍2

1.99K viewsj b, 07:30

BugXplorer

New React/Next.js CVE-2025-55183 Source code leakage PoC

source: link

🔥11👍3

1.93K viewsj b, 08:26

BugXplorer

Новогодний розыгрыш для багхантеров

🎁

👾 Standoff 365, Похек, Багхантер и Bugxplorer запускают праздничный конкурс с раздачей фирменного мерча. Мы знаем, как много ты охотился за багами в этом году, пора получить новогодние подарки!

Что дарим:
— футболки
— худи
— брелки
— кейкапы

В понедельник, 22 декабря в 22:00, выберем пятерых победителей на каждый канал с помощью рандомайзера и отправим подарки по России и странам СНГ.

Как участвовать:

1⃣ Быть зарегистрированным на платформе Standoff Bug Bounty.
2⃣ Подписаться на все каналы организаторов:

🔴

Standoff 365
✨ Похек
🔴 Bugxplorer

✨

Багхантер

С наступающим Новым годом! Жми кнопку, лови баги и праздничное настроение

🤩

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥5👍4😁1

2.24K viewsRandom Beast 🏆, 10:00

Результаты (342)

BugXplorer

Новогодний розыгрыш для багхантеров 🎁 👾 Standoff 365, Похек, Багхантер и Bugxplorer запускают праздничный конкурс с раздачей фирменного мерча. Мы знаем, как много ты охотился за багами в этом году, пора получить новогодние подарки! Что дарим: — футболки…

🎉 Розыгрыш завершен!

🏆 Победители:
1. @pexac
2. @CrabDB
3. @D1MM1
4. @Kiruhayo
5. @webdvl
6. @asm_wh
7. @ell_kn
8. @dno5iq
9. @tonya_snail
10. @wilsafe
11. @Kosteuro
12. @qwertyksc
13. @Pep_macgvai
14. @belka_e
15. @Manuz1eek

🔍 Проверить результаты

🔥8👍4😢1

1.85K viewsRandom Beast 🏆, 19:00

BugXplorer

https://github.com/hahwul/smugglex

GitHub

GitHub - hahwul/smugglex: Rust-powered HTTP Request Smuggling Scanner.

Rust-powered HTTP Request Smuggling Scanner. Contribute to hahwul/smugglex development by creating an account on GitHub.

🔥5👍2👎2

1.25K viewsj b, 09:38

BugXplorer

Forwarded from PT SWARM

📑 A new article from our researchers Aleksey Solovev, Nikita Sveshnikov and Vladimir Razov — "Blind trust: what is hidden behind the process of creating your PDF file?".

https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/

PT SWARM

Blind trust: what is hidden behind the process of creating your PDF file?

Every day, thousands of web services generate PDF (Portable Document Format) files—bills, contracts, reports. This step is often treated as a technical routine, “just convert the HTML,” but in practice it’s exactly where a trust boundary is crossed. The renderer…

🔥5👍3

797 viewsj b, 12:36

BugXplorer

Итоги

2⃣

0⃣

2⃣

5⃣

Оглядываясь назад, могу сказать, что год выдался насыщенным. Именно в этом году я всерьёз занялся багбаунти и добился заметных результатов. Ранее я мог раз в несколько месяцев что-то посмотреть, ничего не найти, расстроиться и вернуться к основной работе. В этом году я поставил перед собой цель заниматься багхантингом на постоянной основе, выбрал платформу и вендоров и начал активно хантить. В результате занял 13-е место в рейтинге по итогам 2025 года.

Помимо этого, произошло ещё несколько важных и интересных событий:

🟦

Получил OSWE. Изначально хотел сдавать ещё в прошлом году, но из-за сильной загрузки на работе подписка Learn One просто закончилась, и до экзамена руки так и не дошли. В этом году удалось нормально подготовиться и успешно его сдать.

🟦

Посетил концерт Armin van Buuren в Алматы. Его выступления всегда отличаются яркостью и масштабом, а живое присутствие позволяет прочувствовать эту атмосферу в полной мере. Первые ряды и площадка у озера Капчагай сделали этот концерт ещё более запоминающимся.

🟦

Канал преодолел отметку в 7000 подписчиков. Почти шесть лет назад я создавал его для себя, чтобы бот собирал отчёты с HackerOne. Со временем канал превратился в личную вики с ресерчами и инструментами. Постепенно аудитория росла, появились предложения о сотрудничестве, и я стал гораздо избирательнее подходить к контенту. Спасибо всем, кто читает и поддерживает. Впереди много идей и планов, дальше будет только интереснее.

🟦

Стал комьюнити партнером BI.ZONE Bug Bounty. Активно хантить я начал именно на этой платформе. Мне сразу понравились скорость триажа, оперативное решение вопросов, большой выбор вендоров и классное комьюнити. В какой-то момент я понял, что хочется большего участия в жизни платформы, поэтому выдвинул свою кандидатуру на комьюнити-партнёра и получил положительный ответ.

🟦

Принял участие во всех Bugs Zone и T-bounty Event. Это был новый и полезный опыт. Интересно было исследовать приватные скоупы рядом с лучшими багхантерами.

Вот такие итоги получились в этом году. Спасибо всем, кто был рядом и поддерживал в течение года. С наступающим Новым годом! Желаю всем в новом году находить критичные баги, получать быстрый фидбек от триажа и как можно реже видеть дубли и информативы.

PS: Отдельное спасибо Standoff 365 и BI.ZONE Bug Bounty за классный новогодний мерч :)

Please open Telegram to view this post

VIEW IN TELEGRAM

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥12👍2

689 viewsj b, 14:51

About

Blog

Apps

Platform