Репорты простым языком

🔥 НОВЫЕ ПРОГРАММЫ БАГБАУНТИ 🔥 Сегодня, 25 октября 2025 года, мы проверили крупнейшие российские платформы Bug Bounty: - Standoff365 - BI.ZONE Bug Bounty - BugBounty.ru К сожалению, новых программ за последний день не обнаружено. 😔 💡 Совет для багхантеров: Нет новых программ? Это отличный повод вернуться к уже существующим! 1. Повторное тестирование: Проверьте программы, которые давно не обновлялись. Возможно, там появились новые функции или были внесены изменения, которые могли создать новые...

🚨 Слепая вера в PDF: что творится под капотом генерации твоих "безопасных" файлов Исследователи из PT SWARM покопались в популярных библиотеках для конвертации HTML в PDF — и нашли там настоящий зоопарк уязвимостей. 🔥😵‍💫13 багов + 6 миссконфигов🔥🔥 в семи либах: TCPDF, html2pdf, jsPDF, mPDF, snappy, dompdf и OpenPDF. Что может пойти не так, когда твой сервер жрёт пользовательский HTML и спитит PDF (чеки, отчёты, инвойсы)? • Path traversal: Вставляешь в img src хитрый путь — и в PDF улетают ...

💥 Кажется разработчики будут уволены или CVE-2025-48703! 🤯 На повестке дня — Remote Code Execution (RCE) в популярной панели управления хостингом Control Web Panel (CWP), ранее известной как CentOS Web Panel. Уязвимость, получившая идентификатор CVE-2025-48703, позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольные команды на сервере. ⛓️ Суть бага: Уязвимость кроется в механизме обхода аутентификации, который позволяет атакующему, имеющему валидное имя пользователя (...

🔓 Oracle EBS: Как украсть данные без пароля Злоумышленник может получить доступ к конфиденциальным данным без логина и пароля, просто отправив HTTP-запрос. 💡 Суть: В Oracle Configurator (Runtime UI) обнаружен обход аутентификации. Система не проверяет аутентификацию и выдаёт конфиденциальные данные кому угодно. 🔗 Как работает: 1. HTTP-запрос к Runtime UI 2. Система пропускает проверку (ошибка!) 3. Доступ к бизнес-данным, моделям, ценам 🚨 Масштаб: Oracle EBS используется тысячами компаний. За...

Telegram багбаунти Вчера вечером кто-то анонимный в чате Багбаунти решил устроить социальный опрос «Багбаунти программа Telegram — …» с целью выяснить мнение багхантеров по этому поводу (передаю привет сотрудникам Telegram и Паше Дурову). Ну и так мысли проскочили, что было бы круто если бы Telegram или, например, Wallet вышли со своими багбаунти программами на Standoff 365. Не знаю, правда, насколько это реально, но история получилась бы крутая. https://core.telegram.org/bug-bounty

Полный отчет по уязвимости CVE-2025-61884

💥 Google Chrome WebView: Дыра, которая ставит под угрозу миллиарды пользователей! 💥 Думали, ваш Chrome безопасен? Подумайте еще раз! Обнаружена 🧨🧨🧨🧨🧨🧨🧨🧨 критическая уязвимость (CVE-2026-0628) в Google Chrome WebView, которая позволяет хакерам обходить защитные механизмы и выполнять несанкционированные действия! 🤯 Что такое WebView и почему это важно? WebView — это движок, который используется не только в самом Chrome, но и во множестве Android-приложений и сторонних программ для отобр...

Захват аккаунта через telegram-бот: от своего номера к чужому профилю Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных. Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/

Что такое багбаунти и с чего начать багхантинг 👨‍💻 🔘 Багбаунти — это специальные программы, по которым компании выплачивают вознаграждение за каждую уязвимость, найденную в их системах, сервисах или продуктах. Ты находишь баг → оформляешь отчёт → получаешь вознаграждение 🪙 Но просто «тыкать в приложение» — не работает. Рассказываем подробнее о деятельности хакера ⤵️ Что делает багхантер 🔘 Ищет уязвимости в веб-приложениях, API и сервисах. 🔘 Проверяет логику, доступы и а...