// Popular Articles
5 công cụ bypass 403 mọi bug bounty hunter nên có trong arsenal
bypass-403, nomore403, 4-ZERO-3, byp4xx, dontgo403 — 5 tool open-source tự động hoá kỹ thuật vượt qua HTTP 403/401. So sánh ngôn ngữ, kỹ thuật, độ phủ payload và khi nào nên dùng tool nào.
DeepSeek V4 Pro tự tay bẻ khoá expert PortSwigger XSS lab: CSP bypass + AngularJS sandbox escape trong 1 payload
Một experiment public mới đây cho thấy DeepSeek V4 Pro giải hoàn toàn tự động lab XSS khó nhất của PortSwigger — chained 3 kỹ thuật (CSP bypass, AngularJS sandbox escape, gọi alert(document.cookie)) trong cùng một payload. 142 tool calls, 71 phút, không có người can thiệp.
headi: công cụ Go nhỏ gọn giúp bug bounty hunter soi ra niềm tin sai chỗ trong HTTP header
headi là CLI Go open-source của mlcsec, tự động bơm 24 HTTP header (X-Forwarded-For, X-Original-URL, Host…) vào target và so sánh với baseline để lộ ra những backend đang tin sai header. Một single binary 282 sao, miễn phí, vừa đủ để soi auth bypass, cache poisoning và SSRF qua header trong vài giây.
headi: 23 HTTP Headers, 1 Binary, and Most 403 Pages Fall Over
headi replays a request with 23 different HTTP headers and diffs the response — flagging access-control bypasses, internal-IP leaks, and Host-header SSRF in seconds. A look at why this small Go tool keeps showing up in bug-bounty workflows.
Wapiti 3.2.10: Open-Source Black-Box Scanner Hit 20 Years With 30+ Attack Modules
Wapiti quietly turned 20 this year. The free, GPL-licensed Python scanner now ships 30+ attack modules, Playwright-powered JS rendering, and Swagger/OpenAPI API scanning — all from a single CLI that drops into any CI/CD pipeline.
File Upload Bypass Cheat Sheet: 13 Extension-Splitting Tricks Every Bug Bounty Hunter Should Know
Extension checks aren't security. Attackers bypass file upload filters with double extensions, null bytes, NTFS alternate data streams, RTL overrides, and magic byte forgery — all leading to RCE. Here's the full cheat sheet and how to defend.
CVE-2026-41238: Prototype Pollution → XSS Bypass trong DOMPurify (3.0.1–3.3.3)
Lỗ hổng mới trong DOMPurify — HTML sanitizer được dùng bởi 24 triệu downloads/tuần — cho phép bypass sanitization qua prototype pollution. Ảnh hưởng phiên bản 3.0.1 tới 3.3.3, đã vá trong 3.4.0. Upgrade ngay.
WAF hạ toàn bộ input về chữ thường vẫn không cứu nổi bạn khỏi XSS đánh cắp cookie
Một researcher vừa nhắc lại sự thật khó chịu: WAF normalize tất cả ký tự về lowercase chỉ là mẹo tối ưu rule, không phải lớp phòng thủ. XSS đánh cắp cookie vẫn xuyên qua, và đây là lý do.
Reflected XSS trên connect.trezor.io: khi hash fragment biến domain ví cứng thành bệ phóng phishing
Nhà nghiên cứu Vipul Sahu công bố lỗ hổng Reflected XSS qua hash fragment trên connect.trezor.io — cho phép chạy JS tùy ý dưới origin trusted của Trezor Connect. Phân tích kỹ thuật, kịch bản tấn công, và vì sao hardware wallet vẫn là lớp phòng thủ cuối.
Burp Sequencer Cho Pentester: Đập Vỡ Tính Ngẫu Nhiên Của Session Token
Hướng dẫn thực chiến dùng Burp Sequencer để phân tích randomness của session ID, CSRF token và password reset token. Từ live capture, FIPS tests, đến cách đọc effective entropy và tránh các pitfall khi dự đoán token.