// Popular Articles
xnldorker: bắn dork qua 12 search engine cùng lúc, gộp URL recon vào 1 file
xnldorker là CLI MIT của xnl-h4ck3r đẩy cùng một Google dork qua 12 search engine song song, dedup kết quả, dùng cho phase recon của bug bounty. Hiện v4.2, miễn phí, có anti-bot layer.
5 công cụ bypass 403 mọi bug bounty hunter nên có trong arsenal
bypass-403, nomore403, 4-ZERO-3, byp4xx, dontgo403 — 5 tool open-source tự động hoá kỹ thuật vượt qua HTTP 403/401. So sánh ngôn ngữ, kỹ thuật, độ phủ payload và khi nào nên dùng tool nào.
Deep Eye: vulnerability scanner mã nguồn mở chạy 4 LLM song song, 45+ module tấn công
Deep Eye là pentest framework Python mới nổi với 1.1k+ stars trên GitHub, tích hợp OpenAI/Claude/Grok/OLLAMA để tự động sinh payload, dò 45+ vector từ SQLi, XSS đến GraphQL, WebSocket — và xuất report PDF/HTML/JSON cho bug bounty hunter và red team.
Chỉ cần user_id là có session token: lỗi auth-bypass đơn giản, đập thẳng P1
Một bug bounty hunter phát hiện endpoint mint session token chỉ từ user_id — không mật khẩu, không xác thực. Bug đơn giản đến phát bực, nhưng vẫn được triaged thẳng P1 trong năm 2026.
headi: công cụ Go nhỏ gọn giúp bug bounty hunter soi ra niềm tin sai chỗ trong HTTP header
headi là CLI Go open-source của mlcsec, tự động bơm 24 HTTP header (X-Forwarded-For, X-Original-URL, Host…) vào target và so sánh với baseline để lộ ra những backend đang tin sai header. Một single binary 282 sao, miễn phí, vừa đủ để soi auth bypass, cache poisoning và SSRF qua header trong vài giây.
headi: 23 HTTP Headers, 1 Binary, and Most 403 Pages Fall Over
headi replays a request with 23 different HTTP headers and diffs the response — flagging access-control bypasses, internal-IP leaks, and Host-header SSRF in seconds. A look at why this small Go tool keeps showing up in bug-bounty workflows.
FinalRecon: Tool Recon Web All-in-One Cho Pentester Lười Chain Lệnh
Một lệnh Python thay cho whois + dig + sublist3r + dirb + nmap + wayback. FinalRecon gom 10 module recon vào CLI duy nhất, default sane, output gọn — đủ dùng cho bug bounty hunter và CTF player.
WordPress Bug Bounty Playbook: Bộ tài nguyên gọn gàng cho hunter mới vào nghề
Một repo GitHub nhỏ nhưng rất đáng bookmark: 9 writeup Medium chất, wordlists, và một PDF pentest gói gọn trong cùng một chỗ — đủ để bạn bắt đầu săn lỗ hổng WordPress mà không phải lạc trong rừng Google.
HackTricks: cuốn sổ tay pentesting 11.2k sao đang âm thầm dạy cả ngành security
Carlos Polop bắt đầu ghi chú lúc ôn OSCP năm 2019. Giờ HackTricks là wiki pentesting lớn nhất cộng đồng — 13 phase methodology, 17 ngôn ngữ, 399 contributor, cover từ Web, AD, Cloud tới CI/CD.
Intigriti Bug Bytes #235: NPM 40M downloads bị chiếm, Cloudflare WAF thủng, và series JWT 20 phần
Bản tin bug bounty tháng 4/2026 của Intigriti mang về 3 writeup đáng đọc: @0xLupin chiếm NPM package 40 triệu lượt tải/tuần trong tuần đầu đi làm, @YourFinalSin bypass Cloudflare WAF thành ATO, và @pingiskok xuất bản series khai thác JWT 20 phần. Điểm nhấn tooling: XNLDorker, OXML_XXE, URLHunter, CewlAI.
XXExploiter: toolkit CLI tự động hoá khai thác lỗ hổng XXE từ payload đến OOB exfil
Một lệnh npm install, bạn có ngay payload XML, DTD server, OOB exfiltration và fuzzing — XXExploiter gói cả pipeline khai thác XXE vào đúng một CLI gọn gàng cho bug bounty, pentest và CTF.
Secrets Ninja: the GUI that turns a leaked API key into a bug bounty in seconds
Found an API key during recon? Don't guess — validate it. Secrets Ninja is an open-source web app that tests leaked credentials across 61 services (AWS, Stripe, OpenAI, MongoDB, Slack…) and shows you exactly what they unlock.
Wapiti 3.2.10: Open-Source Black-Box Scanner Hit 20 Years With 30+ Attack Modules
Wapiti quietly turned 20 this year. The free, GPL-licensed Python scanner now ships 30+ attack modules, Playwright-powered JS rendering, and Swagger/OpenAPI API scanning — all from a single CLI that drops into any CI/CD pipeline.
MCP OAuth Proxy bị dính Account Takeover 1-click: Vì sao PKCE không cứu được bạn
Một click vào link của attacker là đủ để rút ra access token production 24 giờ + refresh token 14 ngày — không cần phishing page. Ba lỗi chained (open DCR + thiếu redirect_uri validation + PKCE không bảo vệ initiator) đang phơi mặt trên hàng loạt MCP OAuth proxy.
RustScan: quét 65.535 cổng trong 3 giây — vũ khí recon mới của bug hunter
RustScan của bee-san viết bằng Rust, quét toàn bộ 65.535 cổng trong khoảng 3 giây, tự động đẩy kết quả sang Nmap, có scripting Python/Lua/Shell và adaptive learning. Dưới đây là cách nó hoạt động và tại sao dân bug bounty đang chuyển sang dùng nó.
File Upload Bypass Cheat Sheet: 13 Extension-Splitting Tricks Every Bug Bounty Hunter Should Know
Extension checks aren't security. Attackers bypass file upload filters with double extensions, null bytes, NTFS alternate data streams, RTL overrides, and magic byte forgery — all leading to RCE. Here's the full cheat sheet and how to defend.
Pydantic treo thưởng $5,000 USD: thoát khỏi sandbox Monty là có tiền
Pydantic vừa mở chương trình bounty Hack Monty, trả $5,000 cho ai đọc được /app/secret.txt hoặc biến môi trường SECRET trên host chạy sandbox Python Monty. Đây là một bài kiểm thử công khai cho kiến trúc whitelist viết bằng Rust, khởi động trong 4 micro giây và được thiết kế riêng để chạy code do AI agent sinh ra.
PP-Finder: công cụ săn gadget prototype pollution ngay trong source code JavaScript
PP-Finder của YesWeHack dùng AST + Node.js loader để phát hiện gadget prototype pollution trong codebase JavaScript. Đã giúp tìm lỗ hổng trong Express, Fastify, Vue.js, JSDOM và Axios — cài đặt 1 lệnh, chạy ngay trên dự án có sẵn.
Pydantic treo $5,000 cho ai hack được Monty — sandbox Python viết bằng Rust cho AI
Pydantic vừa public một honeypot tên Hack Monty: POST Python code vào /run/, thoát sandbox và đọc được /app/secret.txt hoặc biến môi trường SECRET — nhận $5,000. Đây là lời mời pentest công khai cho Monty, interpreter Python viết từ zero bằng Rust, khởi động dưới 1 microsecond, dùng cho code-mode của Pydantic AI.
Reflected XSS trên connect.trezor.io: khi hash fragment biến domain ví cứng thành bệ phóng phishing
Nhà nghiên cứu Vipul Sahu công bố lỗ hổng Reflected XSS qua hash fragment trên connect.trezor.io — cho phép chạy JS tùy ý dưới origin trusted của Trezor Connect. Phân tích kỹ thuật, kịch bản tấn công, và vì sao hardware wallet vẫn là lớp phòng thủ cuối.