#bugbounty — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #bugbounty, aggregated by home.social.
-
What is Web Security and Web Penetration Testing Tools
In this article, I cover essential web penetration testing tools and how they fit into different stages of the assessment process.
https://denizhalil.com/2024/12/19/web-penetration-testing-tools/#CyberSecurity #WebSecurity #Pentesting #BurpSuite #Nmap #SQLMap #BugBounty #RedTeam #InfoSec #EthicalHacking #SecurityTools #DenizHalil
-
$148,337 #BugBounty paid by Google to a researcher (@brutecat) who found debug endpoints on Google Cloud allowing to configure privileged workflows leading to full #RCE in Google Cloud production (CVE-2026-2031)
#CloudSecurity #BugBountyTips
👇
https://brutecat.com/articles/google-cloud-rce/ -
$148,337 #BugBounty paid by Google to a researcher (@brutecat) who found debug endpoints on Google Cloud allowing to configure privileged workflows leading to full #RCE in Google Cloud production (CVE-2026-2031)
#CloudSecurity #BugBountyTips
👇
https://brutecat.com/articles/google-cloud-rce/ -
$148,337 #BugBounty paid by Google to a researcher (@brutecat) who found debug endpoints on Google Cloud allowing to configure privileged workflows leading to full #RCE in Google Cloud production (CVE-2026-2031)
#CloudSecurity #BugBountyTips
👇
https://brutecat.com/articles/google-cloud-rce/ -
$148,337 #BugBounty paid by Google to a researcher (@brutecat) who found debug endpoints on Google Cloud allowing to configure privileged workflows leading to full #RCE in Google Cloud production (CVE-2026-2031)
#CloudSecurity #BugBountyTips
👇
https://brutecat.com/articles/google-cloud-rce/ -
$148,337 #BugBounty paid by Google to a researcher (@brutecat) who found debug endpoints on Google Cloud allowing to configure privileged workflows leading to full #RCE in Google Cloud production (CVE-2026-2031)
#CloudSecurity #BugBountyTips
👇
https://brutecat.com/articles/google-cloud-rce/ -
#introduction #intro #programming #bugbounty #clanguage #golang #rust
Hacker and programmer born in the 60s. I program in C, Go and Rust at home for fun and personal use. I use Arch Linux with Gnome. I like experimenting with the Linux kernel on my computer and with Android on my phones. I snoop around looking for bugs on websites and applications. -
Cybersecurity researchers successfully demonstrated 47 unique zero-day exploits at #Pwn2Own Berlin 2026, targeting major enterprise software and AI platforms.
Read: https://hackread.com/pwn2own-berlin-2026-closes-zero-day-payouts/
-
Quando empresas punem quem encontra bugs
Já pensou ser banido por reportar uma falha? 😡
- Contexto: A Kim relembra os casos do Fábio Olive e do Alex — empresas brazucas esculachando quem achava bugs. 🗣️
- Exposição: Mostrado no Morning Crypto, especialistas em cibersegurança compartilham as sagas do ecossistema. 🔍
- Problema: Empresas de porte no Brasil prejudicando a própria segurança, bloqueando e banindo...#bugbounty #cibersegurança #disclosure #segurança #pesquisadores #MorningCrypto
-
Quando empresas punem quem encontra bugs
Já pensou ser banido por reportar uma falha? 😡
- Contexto: A Kim relembra os casos do Fábio Olive e do Alex — empresas brazucas esculachando quem achava bugs. 🗣️
- Exposição: Mostrado no Morning Crypto, especialistas em cibersegurança compartilham as sagas do ecossistema. 🔍
- Problema: Empresas de porte no Brasil prejudicando a própria segurança, bloqueando e banindo...#bugbounty #cibersegurança #disclosure #segurança #pesquisadores #MorningCrypto
-
Bug bounty businesses bombarded with AI slop - ArsTechnica
https://arstechnica.com/ai/2026/05/bug-bounty-businesses-bombarded-with-ai-slop/ #cybersecurity #BugBounty #AISlop #vulnerabilities -
Bug bounty businesses bombarded with AI slop - ArsTechnica
https://arstechnica.com/ai/2026/05/bug-bounty-businesses-bombarded-with-ai-slop/ #cybersecurity #BugBounty #AISlop #vulnerabilities -
Bug bounty businesses bombarded with AI slop - ArsTechnica
https://arstechnica.com/ai/2026/05/bug-bounty-businesses-bombarded-with-ai-slop/ #cybersecurity #BugBounty #AISlop #vulnerabilities -
Bug bounty businesses bombarded with AI slop - ArsTechnica
https://arstechnica.com/ai/2026/05/bug-bounty-businesses-bombarded-with-ai-slop/ #cybersecurity #BugBounty #AISlop #vulnerabilities -
Quando pagar para reportar vira problema: spammers de IA e o colapso da triagem
Pagar pra submeter um report? 😳 Isso virou realidade — e está acabando com a triagem de segurança.
• O que está acontecendo:
- Especialistas estão tendo que pagar para submeter reports que muitas vezes são negados.• Por que isso aconteceu:
- Spammers de IA estão “reportando por reportar” e inundando as filas de triagem.•...
#cybersegurança #spammers #IA #segurança #bugbounty #hackers #MorningCrypto
-
Quando pagar para reportar vira problema: spammers de IA e o colapso da triagem
Pagar pra submeter um report? 😳 Isso virou realidade — e está acabando com a triagem de segurança.
• O que está acontecendo:
- Especialistas estão tendo que pagar para submeter reports que muitas vezes são negados.• Por que isso aconteceu:
- Spammers de IA estão “reportando por reportar” e inundando as filas de triagem.•...
#cybersegurança #spammers #IA #segurança #bugbounty #hackers #MorningCrypto
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Wayback Machine как архив IDOR: как временные ссылки перестали быть временными
В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании. К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании. Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.
https://habr.com/ru/articles/1035516/
#idor #bola #webarchive #wayback_machine #багбаунти #bugbounty #Standoff365
-
Published a new article: “Gadget Hunting in Practice”
The article focuses on practical prototype pollution hunting methodology:
• confirming pollution correctly
• identifying gadgets
• tracing execution sinks
• understanding weak vs strong sinks
• using DOM Invader and ppmap effectivelyOne of the biggest mistakes beginners make is trying to prove pollution, gadget discovery, and exploitation all at once.
-
Published a new article: “Gadget Hunting in Practice”
The article focuses on practical prototype pollution hunting methodology:
• confirming pollution correctly
• identifying gadgets
• tracing execution sinks
• understanding weak vs strong sinks
• using DOM Invader and ppmap effectivelyOne of the biggest mistakes beginners make is trying to prove pollution, gadget discovery, and exploitation all at once.
-
https://www.europesays.com/pl/434346/ Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)… #ai #BugBounty #hackerone #IDOR #Nauka #NaukaITechnika #NaukaTechnika #PL #Poland #Polish #Polska #Polski #Science #ScienceAndTechnology #ScienceTechnology #Technika #Technology #websec
-
The Wonders of AI: We Are Retiring Our Bug Bounty Program
「 It became too high a reward to just point an LLM at Turso, and try to find a bug. And as you all know, if you instruct an LLM to go find a bug and collect a bounty, it will produce some output. Whether or not it makes sense, is a completely different story. I want to share some of those with you 」
-
The Wonders of AI: We Are Retiring Our Bug Bounty Program
「 It became too high a reward to just point an LLM at Turso, and try to find a bug. And as you all know, if you instruct an LLM to go find a bug and collect a bounty, it will produce some output. Whether or not it makes sense, is a completely different story. I want to share some of those with you 」
-
The Wonders of AI: We Are Retiring Our Bug Bounty Program
「 It became too high a reward to just point an LLM at Turso, and try to find a bug. And as you all know, if you instruct an LLM to go find a bug and collect a bounty, it will produce some output. Whether or not it makes sense, is a completely different story. I want to share some of those with you 」
-
The Wonders of AI: We Are Retiring Our Bug Bounty Program
「 It became too high a reward to just point an LLM at Turso, and try to find a bug. And as you all know, if you instruct an LLM to go find a bug and collect a bounty, it will produce some output. Whether or not it makes sense, is a completely different story. I want to share some of those with you 」
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…
Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...
-
P2.
Then exactly one month later they opened a public bug bounty on HackerOne. Anyone who finds a vulnerability will be rewarded.
If Mythos is truly that capable why does Anthropic still need me and you poking holes in their systems the old fashioned way? -
Just heard someone's #HotTake (tm) that the age of #AI and #LLMs will cause corporate #BugBounty programs to dramatically lose value. This will result in a surplus of highly skilled #hackers with no work or income.
And in my mind, this sounds exactly like 18th century privateers and I'm now wondering if this will be an #AssassinsCreed title in 200 years time... 😂
-
Just heard someone's #HotTake (tm) that the age of #AI and #LLMs will cause corporate #BugBounty programs to dramatically lose value. This will result in a surplus of highly skilled #hackers with no work or income.
And in my mind, this sounds exactly like 18th century privateers and I'm now wondering if this will be an #AssassinsCreed title in 200 years time... 😂
-
Just heard someone's #HotTake (tm) that the age of #AI and #LLMs will cause corporate #BugBounty programs to dramatically lose value. This will result in a surplus of highly skilled #hackers with no work or income.
And in my mind, this sounds exactly like 18th century privateers and I'm now wondering if this will be an #AssassinsCreed title in 200 years time... 😂
-
Just heard someone's #HotTake (tm) that the age of #AI and #LLMs will cause corporate #BugBounty programs to dramatically lose value. This will result in a surplus of highly skilled #hackers with no work or income.
And in my mind, this sounds exactly like 18th century privateers and I'm now wondering if this will be an #AssassinsCreed title in 200 years time... 😂
-
Just heard someone's #HotTake (tm) that the age of #AI and #LLMs will cause corporate #BugBounty programs to dramatically lose value. This will result in a surplus of highly skilled #hackers with no work or income.
And in my mind, this sounds exactly like 18th century privateers and I'm now wondering if this will be an #AssassinsCreed title in 200 years time... 😂
-
Google Navigates AI's Dual Role in Cybersecurity Frontier
Google's AI found a software flaw. Bug rewards for Chrome and Android are changing. See how this affects you.
#GoogleAI, #Cybersecurity, #SoftwareBug, #BugBounty, #TechNews
https://newsletter.tf/google-ai-finds-sqlite-flaw-bug-rewards-change/
-
Google's AI found a software flaw in SQLite. This is the first time AI found a memory-safety issue in real software. Bug rewards are changing.
#GoogleAI, #Cybersecurity, #SoftwareBug, #BugBounty, #TechNews
https://newsletter.tf/google-ai-finds-sqlite-flaw-bug-rewards-change/ -
Anthropic's security bug bounty program is now available on Hacker One.
-
Advanced Subdomain Discovery with Amass and Cheat Sheet
In this cheat sheet, I cover essential Amass commands, enumeration techniques, and practical workflows for effective recon.
https://denizhalil.com/2026/05/02/owasp-amass-subdomain-enumeration-cheat-sheet/#CyberSecurity #OWASP #Amass #SubdomainEnumeration #Recon #OSINT #AttackSurface #BugBounty
-
Advanced Subdomain Discovery with Amass and Cheat Sheet
In this cheat sheet, I cover essential Amass commands, enumeration techniques, and practical workflows for effective recon.
https://denizhalil.com/2026/05/02/owasp-amass-subdomain-enumeration-cheat-sheet/#CyberSecurity #OWASP #Amass #SubdomainEnumeration #Recon #OSINT #AttackSurface #BugBounty
-
Advanced Subdomain Discovery with Amass and Cheat Sheet
In this cheat sheet, I cover essential Amass commands, enumeration techniques, and practical workflows for effective recon.
https://denizhalil.com/2026/05/02/owasp-amass-subdomain-enumeration-cheat-sheet/#CyberSecurity #OWASP #Amass #SubdomainEnumeration #Recon #OSINT #AttackSurface #BugBounty
-
I just published a write-up on prototype pollution and how it leads to XSS.
The key idea: you’re not injecting into the sink—you’re controlling the property lookup that eventually reaches it.
Pollute → Gadget → Sink → Execution
Includes examples and common vulnerable patterns (merge functions, __proto__, etc.)
https://medium.com/@marduk.i.am/prototype-pollution-15f47d9e5c6a
-
I just published a write-up on prototype pollution and how it leads to XSS.
The key idea: you’re not injecting into the sink—you’re controlling the property lookup that eventually reaches it.
Pollute → Gadget → Sink → Execution
Includes examples and common vulnerable patterns (merge functions, __proto__, etc.)
https://medium.com/@marduk.i.am/prototype-pollution-15f47d9e5c6a
-
I just published a write-up on prototype pollution and how it leads to XSS.
The key idea: you’re not injecting into the sink—you’re controlling the property lookup that eventually reaches it.
Pollute → Gadget → Sink → Execution
Includes examples and common vulnerable patterns (merge functions, __proto__, etc.)
https://medium.com/@marduk.i.am/prototype-pollution-15f47d9e5c6a
-
Безопасность умных устройств изнутри: от Secure Boot и TrustZone до отчётов внешних исследователей
Умные колонки, ТВ, камеры и другие устройства с ИИ-ассистентом сегодня — это уже не просто бытовая электроника повседневной жизни. С точки зрения безопасности это распределённая система, в которой граница доверия проходит через несколько уровней — от аппаратных механизмов до серверной логики, поэтому и подход к защите должен быть разносторонний. Меня зовут Никита, и мне как инженеру по информационной безопасности Алисы и Умных Устройств Яндекса приходится быть по обе стороны баррикад: думать, как сделать устройства безопасными и знать, как их «ломать». Всегда нужно рассматривать потенциальные векторы атак и способы защиты от них. В этом во многом помогает наша программа «Охота за ошибками» . А сегодня я расскажу о том, как смотреть на смарт-девайсы с точки зрения информационной безопасности, какие есть реальные риски и как их минимизировать.
https://habr.com/ru/companies/yandex/articles/1027946/
#iot_security #security #bugbounty #охота_за ошибками #яндекс
