ch
Feedback
Bug Bounty - GitBook

Bug Bounty - GitBook

前往频道在 Telegram
7 428
订阅者
+324 小时
+37
+16730
帖子存档
💠 Exploiting & Understanding JWT Authentication Tokens 🔗 https://hacklido.com/blog/1075-exploiting-understanding-jwt-authentication-tokens

LTx Security Write Up Notes Redes Mobile Bash Web Hacking Exploitation Review Programação Operating System Mal Dev Link 🔗:- https://squ4nch.github.io/ @GitBook_s

New GitBook Give reaction

Johnermac >eJPT >eCPPTv2 >PNPT >eWPTXv2 >Active Directory Exploitation >CRTP >CRTE >CLOUD >CONTAINER Link 🔗:- https://johnermac.github.io/ @GitBook_s

Got stuck during an API pentest? Expand your attack surface! Remember: developers often disable security mechanisms in non-production environments (qa/staging/etc); Leverage this fact to bypass AuthZ, AuthN, rate limiting & input validation #api @GitBook_s

Found a way to download arbitrary files from a web server? Shift the test from black-box to white-box. Download the source code of the app Read the code and find new issues! #api @GitBook_s

Passion >PRIVILEGE ESCALATION Linux Windows >NETWORK SECURITY Port Scanning DNS Enumeration FTP Enumeration SSH Enumeration SMB Enumeration SMTP Enumeration POP3 Enumeration >CHECKLISTS Active Directory Security OS Command Injection Buffer Overflow Broken Access Control Local File Inclusion SSRF XXE Attacks SQL Injection XSS >WEBAPP SECURITY Local File Inclusion File Upload Attacks Broken Access Control OS Command Injection SSTI XXE Attacks SQL Injection Server Side Request Forgery OAuth Attacks XSS >WEBAPP MITIGATIONS SSTI >DOCKER SECURITY Configuration Ngnix Deployment Link 🔗:- https://d0pt3x.gitbook.io/passion @GitBook_s

Basic Penetration Testing About Knowledge Server Enumeration Web Application Remote Code Execution File Transfer Hash Cracking Privilege Escalation Buffer Overflow About LeeCyberSec Link 🔗:- https://leecybersec.gitbook.io/oscp @GitBook_s

Certified Appsec Practitioner (CAP) Input Validation Mechanisms Whitelisting & Blacklisting Authentication related Vulnerabilities Brute force Attacks Password Storage and Password Policy Cross-Site Scripting SQL Injection XML External Entity attack Cross-Site Request Forgery Encoding, Encryption and Hashing Understanding of OWASP Top 10 Vulnerabilities Same Origin Policy Security Headers. TLS security TLS Certificate Misconfiguration Symmetric and Asymmetric Ciphers Server-Side Request Forgery Authorization and Session Management related flaws Insecure Direct Object Reference (IDOR) Privilege Escalation Parameter Manipulation attacks Securing Cookies. Insecure File Uploads Code Injection Vulnerabilities Business Logic Flaws Directory Traversal Vulnerabilities Security Misconfigurations. Information Disclosure. Vulnerable and Outdated Components. Common Supply Chain Attacks and Prevention Methods. Link 🔗:- https://rkive.gitbook.io/certified-appsec-practitioner-cap @GitBook_s

APIs tend to leak PII by design. BE engineers return raw JSON objects and rely on FE engineers to filter out sensitive data. Found a sensitive resource (e.g, receipt)? Find all the EPs that return it: /download_receipt,/export_receipt, etc.. Some of the endpoints might leak excessive data that should not be accessible by the user. This is an example for OWASP Top 10 For APIs - #3 - Excessive Data Exposure #api @GitBook_s

Got stuck during an API pentest? Expand the attack surface! Use http://archive.com, find old versions of the web-app and explore new API endpoints. Can't use the client? scan the .js files for URLs. Some of them are API endpoints. #api @GitBook_s

Testing AuthN APIs? If you test in production, there's a good chance that AuthN endpoints have anti brute-force protection. Anyhow, DevOps engineers tend to disable rate limiting in non-production environments. Don't forget to test them :) #api @GitBook_s

#XSS #CRLF @GitBook_s
#XSS #CRLF @GitBook_s

Repost from Bugbounty Tips
اینجا برای اینکه امکان ثبت نام در سامانه میسر باشه باید با یکی از ایمیل های معتبری که قبلا تعریف شده ثبت نام انجام بشه مثل: e
+1
اینجا برای اینکه امکان ثبت نام در سامانه میسر باشه باید با یکی از ایمیل های معتبری که قبلا تعریف شده ثبت نام انجام بشه مثل: example@immuniweb.com همونجور که میدونید Burp Collaborator امکان دریافت SMTP Connection رو هم داره. پس ما میتونیم با قرار دادن دامین مورد نظر در سابدامین Collaborator خودمون این Validation رو بایپس کنیم: example@immuniweb.com.Collaborator.com به همین سادگی امکان دور زدن این مکانیزم وجود داره، نکته ایی که مهمه اینه شما میتونید در جاهای متنوعی مخصوصا جاهایی Role های مختلف و سطح دسترسی های مختلفی داره ثبت نام رو انجام بدید ممکنه اگر با ایمیل معتبر سازمان ثبت نام کنید، به صورت پیشفرض دسترسی سطح بالاتری بهتون اختصاص داده بشه. #bugbounty #challange #bugbountytips #testcase

🧑‍💻 آموزش تست نفوذ را با ما تجربه کنید : [+]تست نفوذ شبکه و وب را یاد بگیر . [+]مهندسی اجتماعی را یاد بگیر . [+]زبان C برای
🧑‍💻 آموزش تست نفوذ را با ما تجربه کنید : [+]تست نفوذ شبکه و وب را یاد بگیر . [+]مهندسی اجتماعی را یاد بگیر . [+]زبان C برای هکرها  و فراتر از آن ! [+]ابزار نویسی با پایتون را یاد بگیر . [+]مفاهیم پایه امنیت را با ما یاد بگیر . [+]نکات و ابزار ها و کاربا ابزارهای امنیتی و  مقاله های امنیت را در کانال ما دنبال کنید . [+]پیش نیازهای ورود به دنیای تست نفوذ را با ما تجربه کنید . [+]چگونه و از کجا هک را شروع کنیم ؟قبلاً فیلم هکرهایی را تماشا کرده اید؟ [+] پرینتر هکینگ [+] اصول اولیه PowerShell و PowerShell Scripting را بیاموزید. [+] مقدمه ای بر امنیت سایبری [+] مینی‌دوره Linux command-line [+] دوره Security plus [+] دوره برنامه نویسی اسمبلی 🔖 و کلی مباحث و مفاهیم دیگر را با ما تجربه کنید . ⭕️ به دنیای آموزش رایگان تست نفوذ خوش اومدید . ♦️ YouTube | Instagram | 💠 @TryHackBox

🧑‍💻 آموزش تست نفوذ را با ما تجربه کنید : [+]تست نفوذ شبکه و وب را یاد بگیر . [+]مهندسی اجتماعی را یاد بگیر . [+]زبان C برای
🧑‍💻 آموزش تست نفوذ را با ما تجربه کنید : [+]تست نفوذ شبکه و وب را یاد بگیر . [+]مهندسی اجتماعی را یاد بگیر . [+]زبان C برای هکرها  و فراتر از آن ! [+]ابزار نویسی با پایتون را یاد بگیر . [+]مفاهیم پایه امنیت را با ما یاد بگیر . [+]نکات و ابزار ها و کاربا ابزارهای امنیتی و  مقاله های امنیت را در کانال ما دنبال کنید . [+]پیش نیازهای ورود به دنیای تست نفوذ را با ما تجربه کنید . [+]چگونه و از کجا هک را شروع کنیم ؟قبلاً فیلم هکرهایی را تماشا کرده اید؟ [+] پرینتر هکینگ [+] اصول اولیه PowerShell و PowerShell Scripting را بیاموزید. [+] مقدمه ای بر امنیت سایبری [+] مینی‌دوره Linux command-line [+] دوره Security plus [+] دوره برنامه نویسی اسمبلی 🔖 و کلی مباحث و مفاهیم دیگر را با ما تجربه کنید . ⭕️ به دنیای آموزش رایگان تست نفوذ خوش اومدید . ♦️ YouTube | Instagram | 💠 @TryHackBox

Which features do you find tend to be more vulnerable? I'll start: Organization's user management Export to CSV/HTML/PDF Custom views of dashboards Sub user creation&management Object sharing (photos, posts,etc) #api @GitBook_s