oxflask

Account Takeover via unauthenticated password reset 🔴 الموقع public له اكثر من ثلاث سنوات 👌🏻 الفكرة بسيطة: الثغرات مو بس أدوات وبايلودات لان الاغلب يسال عن وش اغلب الثغرات اللي لازم اتعلمها عشان القى bounty الأهم إنك تفهم كيف الموقع يشتغل 👌🏻👌🏻

@0xRIXET ماشاء الله عليك مبدع ❤️

الحمدلله بهذي الايام الفضيلة ، تم تسجيل ثاني CVE لي CVE-2026-42558 Attack Chain مكون من اربع ثغرات في نظام Xibo CMS Full writeup: @0xrixet/how-i-found-an-attack-chain-and-got-cve-2026-42558-485e716605da" target="_blank" rel="nofollow noopener">medium.com/@0xrixet/how-i… شرحت الهجوم كامل بالرايت اب وكيف قدرت اهرب من الساند بوكس المعزول واسرق بيانات الادمن قراءة ممتعه 🙏🏻

@3zizMe_ @CatchifySA ماشاء الله عليك كفو والله ي ابو ماضي 👏🏻

Update Unifi OS guys 🚨 CVE-2026-34909 This one is special. I received my highest bounty so far: $30,500 for a Critical CVSS 10.0 vulnerability in UniFi OS Servers. الثغرة حرجة ,الـ write-up راح ننزله قريبًا على @CatchifySA بإذن الله 🔥 Advisory: community.ui.com/releases/Secur…

SSRF 💜

@shakbany تستاهل كل خير

@oxflask تستاهل وعقبال الباقي 🙏🏻

/etc/passwd , /etc/shadow

@g6787 ماشاء الله عليك كفو والله

الحمد لله، كانت حصيلة الشهر الماضي مليئة بالتحديات والإنجازات • ثغرة بمستوى خطورة عالي (High). • ثغرة بمستوى متوسط (Medium). • ثغرة بمستوى منخفض (Low) • (Informational) فخور بالمساهمة في تعزيز الأمن الرقمي، والقادم أفضل بإذن الله #BugBounty

عندك موقع php وودك تشوف اخطاء معينه ، عند ارسالك للطلب حاول تتعامل مع قيم المتغيرات ك array ارسل كذا في المتغير وشف وش بيطلع لك [] مثال : GET /param=Flask HTTP/2 Host: flask.com _____ GET /param[]=Flask HTTP/2 Host: flask.com

اللهم صلّ وسلم على نبينا محمد ❤️

@Badyasseer ماشاء الله مبرووك 👌🏻

I got another one 🤗

@HitmanF15 وحش والله تستاهل ❤️👌🏻

When the company team knows what they’re doing and treats people fairly ❤️

@Tur24Tur @hackthebox_eu Congrats 👌🏻

Today, May 1st 2026, I received confirmation from @hackthebox_eu that I've successfully passed the HTB Certified Web Exploitation Expert (CWEE) exam with a perfect score of 100/100. As a bug bounty hunter, the web exploitation skills were already there. What this path really added was depth in whitebox testing, source code review, and application debugging. Capturing all the flags is not enough to pass. You need to invest real effort into the report. I wrote mine as if it was being delivered to a real client, every vulnerability detailed with clear description, impact, reproduction steps, evidence, and actionable remediation. #CWEE #HackTheBox #HTB

@OreoB1scuit Ok , i will

Bro, don’t go for bounties below 10k.

@deepvvm @Hacker0x01 ماشاء الله عليك مبدع 👌🏻

Quick Shots In One Day at @Hacker0x01 (:" Privilege Escalation : 1 . After removing the user, I found that the JWT can still be used for up to 2 days after the user has been revoked 2 . Unprotected .JSON Endpoint allowed me to Access Earning History and Pending payments

اللهم صلّ وسلم على نبينا محمد ❤️

@0dsuspect ماششاء الله تبارك الله وحش والله

تم بفضل الله اكتشاف ثغرة (Authentication Bypass) أدت إلى اختراق كامل للحسابات (Full Account Takeover) في احد الـ chat bots المشكلة كانت في كيفية معالجة الـ OAuth لبيانات المستخدمين وتمريرها عن طريق الAPI

الف الحمدلله اول p1 في @Bugcrowd 💜

اول ثغره مقبوله في @intigriti ماعليكم من المبلغ 💵

اذا مامر عليك الصوت ذا تراك للحين ما اخذت دورات وسلامتكم 🏃🏻‍♂️🏃🏻‍♂️