3241
Talk and help about bugbounty
Добрый день!
Подскажите пожалуйста
Что надо для того, чтобы начать?
Правильно ли я понимаю что просто регистрируюсь на площадке в burp добавляю хедер никнейма и со своим аккаунтом (допустим ВК) могу свободно искать уязвимости?
I аm rесеntlу саmе асrоss а hugе Whаlе in thе сrурtо mаrket whо givеs signаls оn Вinаnсе in his tеlеgrаm сhаnnel. I аm havе аlrеаdу mаnаgеd tо inсrеase my bаnk frоm 0.14 ВТС tо 2.51 ВТС. Еvеrуоnе shоuld visit his сhаnnеl аnd sее thе wоrk оf the Whаlеs in thе mаrkеt. Yоu сan find thе сhаnnеl bу visiting "НерWНL" оn Тelеgrаm!
Читать полностью…
Unless you can make that pop up happen with url or with host injection it won't have an impact
Читать полностью…
Some codes in console didnt work as unexpected but the one i modified worked with the word localstorage
Читать полностью…
I added a data exfil code and got back a callback and my data popped up
Читать полностью…
Its console ur just modifying ur own view its not counted as a bug
Читать полностью…
Let me explain i created an account then right click in dev mode inspect mode in console I added that znd got a call back to my inteactsh
Читать полностью…
If you get a ping from the server then you have discovered. Csrf
Читать полностью…
Is the ping back from your ip or the servers ip?
Читать полностью…
Unless you can make the server respond with the Java script it's of no impact
Читать полностью…
😎😤🤪 ХХС
При написании этого отчета вдохновился отчетами багхантера linkkss. Еще со времен HackerOne помню что он называл свои отчеты коротко и ясно: CSRF, XSS. В спешке, пока пытался составить репорт, перепутал одну букву и получилась ХХС. Ну а про саму уязвимость - это была классическая XSS в уведомлении, ничего выдающегося и сложного. Удивило место где она была, достаточно было просто вставить в первое попавшееся поле '"><img src=x onerror=alert();>, потом нажать на кнопку и отрабатывал JS-код.
Совет:
Если на сайте реализованы уведомления (всякие всплывающие окошки) - имеет смысл попробовать внедрить payload туда. По своему опыту знаю, что там очень часто бывают XSS.
Guys a question in devtools in console what if we add a payload it will give unexpected and sytax error but what if we get pop up using localstorage.document what is that considered
Читать полностью…
Help, please. My laptop is not working, and I need help installing the relaysms software. Is there any way I can set up the configuration?
Читать полностью…
I аm rесеntly саmе асrоss а huge Whаlе in thе сrурto mаrkеt whо givеs signаls оn Вinаnсе in his tеlеgrаm сhаnnеl. I аm hаvе аlreаdу mаnаgеd tо inсrеаsе mу bаnk frоm 0.14 ВТС tо 2.51 ВТС. Еvеrуоnе shоuld visit his сhannеl аnd sее thе wоrk оf thе Whаlеs in thе mаrkеt. You cаn find thе сhаnnеl bу visiting "НерWHL" оn Тelеgrаm!
Читать полностью…
Yes. That's just reading your browsers local storage
Читать полностью…
But still its my account not anyone else's so not effective
Читать полностью…
Im consufed i wanted to report but i stopped like what is this considered
Читать полностью…
You can try to ping ports on the server or even try to read files
Читать полностью…
That i ran a data exfil java code on console on the frount end of a website and added my interactsh number thet generated into my code and got an oout of band connected back
Читать полностью…