close

Piszę o bug bounty i bezpieczeństwie webowym, ze szczególnym naciskiem na client-side, skupiając się na procesie szukania realnych podatności i ich źródłach.

Tematy

Warsztat
Metodologie i techniki wykorzystywane w badaniach aplikacji webowych.
Write-upy
Historie podatności znalezionych w realnych aplikacjach webowych.
Przemyślenia
Bug bounty jako proces. Przemyślenia, nauka, pułapki, społeczność.
Labs
Praktyczne scenariusze podatności. Przećwicz koncepcje z write-upów.

Write-upy

Wszystkie write-upy →
Od self-XSS, przez AI, do przejęcia tenanta
Od self-XSS, przez AI, do przejęcia tenanta
writeup #xss#prompt-injection
SSRF: przebicie się przez ukryty kontekst aplikacji
SSRF: przebicie się przez ukryty kontekst aplikacji
writeup #ssrf

Przemyślenia

Wszystkie przemyślenia →
2025: Pierwszy pełny rok w bug bounty
2025: Pierwszy pełny rok w bug bounty
przemyślenia

Warsztat

Wszystkie artykuły →
SSOwned: Przejmowanie Tenantów Przez Miskonfigurację Proxy
SSOwned: Przejmowanie Tenantów Przez Miskonfigurację Proxy
#sso

Labs

Wszystkie laby →
Caseflow
Lab
Caseflow
Multi-tenantowa platforma ticketowa z wbudowanym asystentem AI, który wspiera produktywność support agentów.
#xss#prompt-injection#account-takeover
ThreadHub
Lab
ThreadHub
Multi-tenantowa aplikacja z path traversal prowadzącym do SSRF przez obsługę załączników.
#ssrf#path-traversal#broken-validation