NEW BOT Телеграм, страница - 249709940

Bugbounty Tips

@rootdr_research

2.92K subscribers

85 photos

6 videos

13 files

93 links

research and sharing in cybersecurity

Download Telegram

About

Blog

Apps

Platform

2.92K subscribers

Bugbounty Tips pinned a photo

16:54

✔️حل شد عرفان(@ScriptKiddo0o0) تونست بایپسش کنه.

سر یه پروژه ایی
یه اسکن با یه سرویس انلاین انجام دادم برای دسترسی به فایل ریپورت و محتویات نیازمند پرمیوم یوزر بود
یا ثبت نام و وریفای حساب فقط با ایمیل خود دامنه امکان پذیر بود که بایپسش کردم
تا چند ساعت دیگه POC و نحوه دور زدنشو میزارم با توضیحات
یه محک بزنین خودتونو ببینید میتونین لینک وریفای ایمیل رو با ایمیل غیر ایمیل دامنه بگیرین؟
اگر اره جواب رو بصورت اسپویل پروتکتر در کامنت بنویسین

https://portal.immuniweb.com/client/register/

#bugbounty
#challange

Please open Telegram to view this post

VIEW IN TELEGRAM

ImmuniWeb® AI Platform | Registration

Register to get access to ImmuniWeb AI for Application Security

🔥18👍1🤝1

3.65K viewsedited 19:45

✔️حل شد عرفان(@ScriptKiddo0o0) تونست بایپسش کنه. سر یه پروژه ایی یه اسکن با یه سرویس انلاین انجام دادم برای دسترسی به فایل ریپورت و محتویات نیازمند پرمیوم یوزر بود یا ثبت نام و وریفای حساب فقط با ایمیل خود دامنه امکان پذیر بود که بایپسش کردم تا چند ساعت دیگه…

اینجا برای اینکه امکان ثبت نام در سامانه میسر باشه باید با یکی از ایمیل های معتبری که قبلا تعریف شده ثبت نام انجام بشه مثل:
example@immuniweb.com
همونجور که میدونید Burp Collaborator امکان دریافت SMTP Connection رو هم داره.
پس ما میتونیم با قرار دادن دامین مورد نظر در سابدامین Collaborator خودمون این Validation رو بایپس کنیم:
example@immuniweb.com.Collaborator.com
به همین سادگی امکان دور زدن این مکانیزم وجود داره،
نکته ایی که مهمه اینه شما میتونید در جاهای متنوعی مخصوصا جاهایی Role های مختلف و سطح دسترسی های مختلفی داره ثبت نام رو انجام بدید ممکنه اگر با ایمیل معتبر سازمان ثبت نام کنید، به صورت پیشفرض دسترسی سطح بالاتری بهتون اختصاص داده بشه.

#bugbounty
#challange
#bugbountytips
#testcase

🔥35👍2

5.23K views23:55

👍32❤3👎3

3.97K viewsedited 12:52

23 years rooted. Exploiting life, one bug at a time.
🎉🎈

❤53✍1🔥1🤔1

3.79K views19:29

ex-backup is an open-source tool designed to identify exposed backup files on websites. This tool leverages multithreading for speed, customizable wordlists for targeted scans, and smart filters to detect valid backup files, helping you uncover vulnerabilities caused by exposed backups.

Key Features:

Scan single or multiple domains for backup files with common extensions like .zip, .sql, .tar

Use custom wordlists to generate potential file names

Analyze HTTP responses to identify downloadable backup files

Save valid backup links in timestamped files for later review

Check it out on GitHub:
🔗 https://github.com/rootDR/ex-backup

Join our channel for more security tools and bug hunting resources:
🔗 https://news.1rj.ru/str/rootdr_research

#BugBounty #CyberSecurity #BackupFiles #PenTesting

GitHub - rootDR/ex-backup: ex-backup is an automated tool designed for security researchers and penetration testers to identify…

ex-backup is an automated tool designed for security researchers and penetration testers to identify potential backup file exposures in web applications. The tool utilizes multithreading for high e...

🔥16❤2

5.1K views21:48

Bugbounty Tips pinned «ex-backup is an open-source tool designed to identify exposed backup files on websites. This tool leverages multithreading for speed, customizable wordlists for targeted scans, and smart filters to detect valid backup files, helping you uncover vulnerabilities…»

21:49

Forwarded from CyberSecurity (Матин ‏Нуриян)

تکنیک ساده ای که منجر به ATO شد

برای ریدایرکت Oauth به هاست مهاجم نیاز به open redirect داشتیم .

متوجه شدیم مقدار کوکی ما داره داخل هدر لوکیشن بر مگیرده اما این یک سلف ریدایرکت بود!

پارامتر کوکی رو داخل پارامتر GET گذاشتیم و اپلیکیشن هندلش کرد :)

پ.ن : این برنامه باگ کراود هستش!

@matitanium

🔥31👍8

3.33K views16:27

Forwarded from Web Application Security (Alireza)

جاهایی که rate limit روی شماره کار میکنه، میتونیم با اضافه کردن + به +98 بایپسش کنیم.

#rate_limit_bypass

🔥33❤5

3.42K views14:01

این تایپ ایونت ها علاوه بر بحث شرکت در یه برنامه باگ بانتی پر از فرصت یادگیری،محک زدن خود، ارتباط با بقیه دوستان و تبادل دانش با همدیگه است، هرموقع همچین
ایونت هایی برگذار شد و شرایطشو داشتین حتما شرکت کنین…
ممنون از بلو بابت مهمون نوازیشون💙

❤32

9.05K views16:31

دوستان مراقب باشید
با دقت و مطالعه دقیق شرایط قرار داد با اینطور پلتفرم ها همکاری کنید
هکروان جدیدا خیلی خیلی سختگیر تر شده.

👍28❤5

3.91K views18:41

This media is not supported in the widget

VIEW IN TELEGRAM

🔥11❤5👌3

4.32K views06:38

Channel photo updated

14:26

Hi everyone,
I’ve created a Python noscript that deeply scans and extracts subdomains from JavaScript files, CSP headers, and raw HTML of a target website.

Unfortunately, I currently don’t have access to my GitHub account, and I’m not sure if I’ll be able to recover it.
So for now, I’m sharing the noscript here with you — feel free to use it while I work on recovering my GitHub or creating a new account.

pip install requests beautifulsoup4

Usage:

python ex-js.py -d example.com

Stay tuned for more tools and research!
🔗 https://news.1rj.ru/str/rootdr_research

🔥8❤4👍2

5.14K views23:12

Bugbounty Tips pinned a file

23:12

سلام به همه،
یک اسکریپت پایتونی آماده کردم که ساب‌دامین‌ها رو از فایل‌های JavaScript، هدرهای CSP و کد HTML خام سایت هدف استخراج می‌کنه.

متأسفانه در حال حاضر به حساب گیت‌هابم دسترسی ندارم و مطمئن نیستم بتونم اون رو بازیابی کنم یا نه.
فعلاً این اسکریپت رو اینجا باهاتون به اشتراک می‌ذارم تا بتونید ازش استفاده کنید، تا زمانی که گیت‌هابم رو بازیابی کنم یا یک اکانت جدید بسازم.

منتظر ابزارها و تحقیق‌های بیشتری باشید!
🔗 https://news.1rj.ru/str/rootdr_research

research and sharing in cybersecurity

❤17👍2🔥1

6.07K viewsedited 23:14

https://github.com/MrMohammad81/watchtower

GitHub - MrMohammad81/watchtower

Contribute to MrMohammad81/watchtower development by creating an account on GitHub.

❤11👎1

4.23K views07:05

Bugbounty Tips pinned Deleted message

19:43