// Popular Articles
Chỉ cần user_id là có session token: lỗi auth-bypass đơn giản, đập thẳng P1
Một bug bounty hunter phát hiện endpoint mint session token chỉ từ user_id — không mật khẩu, không xác thực. Bug đơn giản đến phát bực, nhưng vẫn được triaged thẳng P1 trong năm 2026.
WordPress Bug Bounty Playbook: Bộ tài nguyên gọn gàng cho hunter mới vào nghề
Một repo GitHub nhỏ nhưng rất đáng bookmark: 9 writeup Medium chất, wordlists, và một PDF pentest gói gọn trong cùng một chỗ — đủ để bạn bắt đầu săn lỗ hổng WordPress mà không phải lạc trong rừng Google.
XXExploiter: toolkit CLI tự động hoá khai thác lỗ hổng XXE từ payload đến OOB exfil
Một lệnh npm install, bạn có ngay payload XML, DTD server, OOB exfiltration và fuzzing — XXExploiter gói cả pipeline khai thác XXE vào đúng một CLI gọn gàng cho bug bounty, pentest và CTF.
Secrets Ninja: the GUI that turns a leaked API key into a bug bounty in seconds
Found an API key during recon? Don't guess — validate it. Secrets Ninja is an open-source web app that tests leaked credentials across 61 services (AWS, Stripe, OpenAI, MongoDB, Slack…) and shows you exactly what they unlock.
Strix: AI hacker mã nguồn mở tự pentest app, tự viết PR fix
Strix là open-source AI agent (Apache-2.0) chạy code thật, tìm lỗ hổng, validate bằng PoC sống, rồi tự đẻ merge-ready fix PR. 24.4k stars GitHub, plug thẳng vào GitHub Actions, chặn code dính lỗ hổng trước khi lên production. Đọc nhanh kiến trúc Graph of Agents, cách so với SAST/DAST, use case CI/CD, và giới hạn thực tế.
Proxelar: MITM proxy viết bằng Rust với Lua scripting, TUI và Web GUI
Proxelar là MITM proxy mã nguồn mở viết bằng Rust, cho phép chặn, inspect và chỉnh sửa HTTP/HTTPS real-time bằng Lua — với TUI (ratatui), terminal, và web GUI (axum + WebSocket). Bản v0.2.0 đầu năm 2026 là một cuộc viết lại toàn diện từ Tauri desktop app sang CLI 3-crate dùng hyper 1.x và rustls 0.23.
Secrets Patterns DB: 1600+ regex vá lỗ hổng leak secrets cho Gitleaks & TruffleHog
Mazin Ahmed mở mã nguồn database regex lớn nhất cho detect secrets — 1600+ pattern, format-agnostic, ReDoS-safe, export sang Gitleaks TOML hoặc TruffleHog JSON/YAML chỉ một lệnh. Gấp đôi rule set mặc định của TruffleHog v3 và gấp 27 lần Gitleaks gốc.
PP-Finder: công cụ săn gadget prototype pollution ngay trong source code JavaScript
PP-Finder của YesWeHack dùng AST + Node.js loader để phát hiện gadget prototype pollution trong codebase JavaScript. Đã giúp tìm lỗ hổng trong Express, Fastify, Vue.js, JSDOM và Axios — cài đặt 1 lệnh, chạy ngay trên dự án có sẵn.
WAF hạ toàn bộ input về chữ thường vẫn không cứu nổi bạn khỏi XSS đánh cắp cookie
Một researcher vừa nhắc lại sự thật khó chịu: WAF normalize tất cả ký tự về lowercase chỉ là mẹo tối ưu rule, không phải lớp phòng thủ. XSS đánh cắp cookie vẫn xuyên qua, và đây là lý do.
Claude Code biết reverse engineer Android app: /decompile một câu lệnh, APK ra API
Simone Avogadro vừa publish một Claude Code skill FOSS (Apache 2.0) biến quy trình reverse engineer Android APK rườm rà — jadx + apktool + dex2jar + grep tay — thành một slash command duy nhất: /decompile. Hỗ trợ APK/XAPK/JAR/AAR, tự trích Retrofit/OkHttp endpoint, trace call flow từ Activity xuống HTTP, và xử lý được ProGuard/R8. 3.6k sao GitHub, 363 fork.