Omar Hashem

Hello everyone, as promised, this is a detailed write-up on how I was able to get an account takeover in HubSpot Public Bug Bounty Program omar0x01.medium.com/4e2047914ab5 #BugBounty #bugbountytips #Pentesting #cybersecurite #infosec ATO

@pandyaMayur11 @Hacker0x01 @jobertabma scammed by BBPS is frustrating, but honestly,if you’ve done source code review b4, you’ll know this is common. A single class (e.g., notifications) gets reused across webhooks and multiple flows, making it look like multiple bugs when it’s really one root cause that needs one fix

Some @Hacker0x01 programs are literally scamming researchers, I've submitted 2 ssrf vuln on pvt program on webhook & ci runner, both are different features, attack surface, entry point even though my webhook report marked as duplicate of my own other report. @jobertabma

@0xRAYAN7 Enjoy your break, you worth it 😀

I’ve spent the last few months deeply involved in coding a complex product one that prioritized security in every feature and component. Now, I’ve decided to disconnect from the digital world, give my eyes a break, and explore something new. Sometimes, stepping away opens up space to rediscover yourself and enjoy the moment.🥶

@hatab0x اعملها انتا عادي

@OmarHashem666 تسلم يا ريس الترياج هيعدلها ولا اعدلها انا؟

1- create 2 accounts (A , B ) 2- reset password for account A 3- follow the regular flow and study the link sent to your email I noticed that it had mail param hatab.com/login/change/?… 4- change the mail value to account B happy hunting #BugBounty #bugbountytips

@SherefHamdy10 العساكر القديمة بترخم عليك ولا ايه يمستجد

ساعات كتير في مواقف بستلزم انك تبقي بارد علشان تمشي حالك وعلشان صحتك.

@AboodNour Hi Abood, I can't send you a DM

Several people managed to solve this through creative yet unintended solutions. So lets raise the bar a little bit more 😅 Here is a slightly modified version to make it even more interesting Can you still beat it? …hallenge-bbp-asvzw.ondigitalocean.app/BB_2302_v2.php #XSS #CTF #BugBounty

@SherefHamdy10 ميتين الجيش اللي يهد شباب زي الورد

استراحة محارب من ابو جد

@0sama_ashour الف مبروك يا اسامه يحبيبي ♥️♥️

@hazemamaar الف مبروووك علي التخرج يصديقي وبالتوفيق في القادم وتكسر الدنيا كده♥️

@FarghlyMal الف مبروووك يا بشمهندس زيزو ♥️

Finally graduated 🎓

@ahmed213___ الف مبروووك يشباب ❤️

@_2os5 If you can't get other users UUID then it's not an vulnerability

I found an IDOR leads to leaking PII via profile id but the profile id is unpredictable UUID does HackerOne accept it? #bugbountytips #BugBounty

@Mohamed87Khayat كل عام وانت بخير يا هندسة وعيد سعيد عليك وإن شاء الله السنه الجايه تكون علي عرفات

كل سنه وانتوا طيبين عيد سعيد علينا وعليكم جميعا ان شاء الله Happy Eid to all of us 🕋🕋

@0xRAYAN7 التنين بتاعنا ما شاء الله عليك يصديقي ❤️

@IamRenganathan @Hacker0x01 Congrats Renganathan 👏

Yay, I was awarded a $3,000 bounty on @Hacker0x01 hackerone.com/renganathan #TogetherWeHitHarder

@SherefHamdy10 ربنا ييسرلك يا شيفو وتعدي علي خير إن شاء الله وتبقي اتقل مهندس برمجيات

الواحد وحشته ايام ما كان تنين في مجاله وكان كل يوم عن يوم رتم الواحد بيعلي ويزيد يوم عن يوم ومعاها طموحاته واحلامه ولكن الشئ اللي كان دايما هو الصخرة اللي بيتحطم عليها احلام مهندس السوفتير هي فترة الخدمة العسكرية فترة موت مش استراحة محارب نسأل الله أن تمر علي خير ونرجع اقوي 🧘

@MrTuxracer @intigriti This is exactly what I was writing 😁 It's enjoyable to detect your gadget chain through source code review

@intigriti Deserialization, especially if there is no ready2use / publicly known gadget available.

What vulnerability is the most fun to exploit?

@Sonar_Research LoL, i just noticed that you have provided the solution link in the tweet 😂

@Sonar_Research I think unicode can bypass the sanitization to get the XSS

It’s #CodeChallengeFriday - Can you spot the vulnerability? Solution 👉sonarsource.com/knowledge/code…

@muhammadhani89 بتعرف تعمل الحاجات دي ولا لا واتعاملت معاها قبل كده ولا لا ثانيا هما مش هيستفادوا حاجه بالتاسك غير انهم يعرفوا هتعرف تسد في الشغل ولا لا لانهم في الميل مش طالبين حاجه محدده ممكن تساعدهم يضيفوها في المشروع اللي شغالين عليه يمكن المشكلة الوحيده هما طلبهم للتاسك في وقت العيد بس

@muhammadhani89 انا بصراحه شايف الموضوع عادي ومش هياخد وقت كبير زي توقعات الناس الا لو الشخص متعاملش مع التكنولوجيز اللي المطلوبة لان في الاول والاخر انا شايف انهم محددوش حاجه كبيرة هو بكل بساطة هيعمل CRUD API و deployment ويبقي ملم بشوية حاجات للسيكيورتي فالفكرة هو تست بسيط عشان يعرفوا

ممكن الناس تقولي فين المشكلة هنا؟ غير انه يومين مش كفاية والطبيعي انك تدّي الـcandidate أسبوع .. غير النقطة دي، ايه تاني؟