Aprende bug bounty con writeups reales

13 minbacadmin-bypassclient-side

Busca un tema o técnica

72 artículos sobre vulnerabilidades, técnicas, bypasses y casos reales. Filtra por nivel y acceso.

Nivel:Acceso:

72 artículos

Premium$3500

Client-side admin bypass — boolean manipulation + BAC en SPA moderna

Report real Quora: SPA con isAdmin boolean en localStorage que controla UI + backend que no valida server-side. Cómo encadenar boolean flip con BAC para admin takeover.

13 mincloudflarewaf-bypasspayload-size

Cloudflare WAF — payload size bypass, oversized body, plan-specific limits

Bypass de Cloudflare WAF mediante exploitation de body size limits por plan (Free 100kb, Pro 100kb, Business 500kb, Enterprise 1mb): oversize payload trick + chunked transfer encoding.

14 minheadless-browserssrfpuppeteer

Headless browsers — SSRF y RCE en endpoints que renderizan URLs

Endpoints que aceptan URLs para screenshots/PDF (Puppeteer, Playwright, wkhtmltopdf) son SSRF goldmine: cloud metadata, file://, gopher://, JS injection con XSS-to-RCE en chromium sandbox.

16 minhttp-smugglingdesynchttp2

HTTP request smuggling — H2→H1 desync, TE.CL, CL.TE y H2.CL en 2026

Catálogo actualizado de HTTP smuggling: CL.TE clásico, TE.CL, H2→H1 downgrade desyncs, HTTP/2 SETTINGS frame abuse, chunked extensions y pseudo-headers HTTP/2.

14 minllmprompt-injectionai-security

LLM hacking — prompt injection, jailbreaks, indirect injection y data exfiltration

Vulnerabilidades en sistemas con LLM expuestos: direct prompt injection, indirect injection via fuentes externas (RAG poisoning), system prompt extraction, jailbreaks y data exfiltration.

15 minnextjsssrfmiddleware-bypass

Next.js attack surface 2026 — middleware bypass, SSRF interno, RSC abuse

Vulnerabilidades específicas de Next.js 13-16: middleware bypass con headers manipulados, SSRF en API routes, RSC (React Server Components) data leak, image optimization SSRF.

10 mininformation-disclosureapi-keysjavascript-recon

Gratis$2.000

API keys expuestas en HTML público — $2.000 sin un solo bypass

Una plataforma de productividad entregaba un token de un CMS de terceros en window.CONFIG. Cualquiera con DevTools podía descargar templates de pago. Cómo cazar este patrón en cualquier app SPA.

CSRF (Cross-Site Request Forgery) — explicado completo con bypasses

CSRF: cómo se explota, defensas comunes (tokens, SameSite, Origin), bypasses (method change, JSON, double-submit, content-type) y dónde buscarlo en cualquier app.

12 mincsrfauthsession

9 minidorbroken-access-controlapi

IDOR en API de newsletters — la UI lo oculta, la API lo regala

Un endpoint sin comprobación de autorización en servidor. Un parámetro público en la URL. Acceso a la lista de suscriptores de cualquier newsletter de una red social profesional.

13 minreconmetodologiasubdomain-enumeration

Metodología de recon básica — del dominio a los endpoints vulnerables

Pipeline mínimo de recon para bug bounty: subdomain enum, live host discovery, URL collection, parameter discovery. Herramientas gratuitas y orden de ejecución.

11 minbug-bountyintroduccionmetodologia

¿Qué es bug bounty? Guía completa para entender cómo funciona

Bug bounty explicado: programas, plataformas, tipos de vulnerabilidades, cómo se paga, ratios de duplicados y por qué algunos hunters viven de esto.

12 minxssstored-xssaccess-delegation

Gratis€1.200

Stored XSS en nombres de plantilla — del campo más aburrido al domain takeover

Un campo de título en una plantilla, sin sanitizar, en una sesión con permisos sobre dominios. Bounty real de €1.200. Cómo encontrar XSS donde nadie mira.

14 minaccount-takeoverotprate-limiting

Gratis€560

0-click Account Takeover — OTP brute force + Email Normalization

Dos fallos por separado parecen menores. Juntos, te dan ATO completo conociendo solo el email. Bounty real: €560 y 12 minutos de explotación.

13 minfile-uploadrcewebshell

File Upload — bypasses de extension, content-type y magic bytes

10 bypasses para subir webshells: doble extensión, null byte, content-type spoof, magic bytes, polyglots, race conditions y abuso de path traversal.

JWT — vulnerabilidades, bypasses y manipulación de claims

alg=none, RS256→HS256 confusion, kid SQLi/path traversal, jku spoofing, secret cracking con hashcat. Cómo cazar JWTs mal verificados.

13 minjwtauthsession

OAuth attacks — state CSRF, redirect_uri bypass, code/token leakage

El state parameter ausente, redirect_uri mal validado, response_type confusion. Cómo robar OAuth tokens y forzar account linking.

14 minoauthauthcsrf

SQL Injection — metodología completa con time-based, UNION y RCE

Detección por isomorphic queries, payloads time-based para 4 motores, escalación a RCE (xp_cmdshell, INTO OUTFILE, UDFs) y bypasses cross-field.

14 minsqliinjectionrce

14 minwaf-bypasscloudflarecache-poisoning

Premiumpremium

Cloudflare WAF Bypass — oversized body, header stuffing y cache poisoning

El WAF de Cloudflare tiene límites de inspección por plan (~8KB Free, 128KB Enterprise). Padding bypass, header stuffing >100 headers, IP origin disclosure.

13 mindom-xssxsspostmessage

DOM XSS — gadgets, postMessage handlers y CVE-2025-59840

DOM XSS no es solo innerHTML. Sources/sinks, gadget chains via toString(), postMessage handlers sin origin check, hash-based routing rotos.

14 minhttp-smugglingrequest-smugglingcache-poisoning

HTTP Request Smuggling — CL.TE, TE.CL, TE.TE y caching exploitation

Cuando el frontend y el backend interpretan el mismo request de forma diferente. Smuggling para bypass de auth, cache poisoning, victima-aware attacks.

13 mingraphqlenumerationpii

Mass PII Extraction vía GraphQL — 93 perfiles reales en 1 hora

Un endpoint GraphQL de sincronización de contactos sin rate limiting, sin verificación de propiedad y con batching de 200 números por petición. Resolución teléfono → identidad real.

12 minrcesandbox-escapepython

RCE en sandbox de Python — del editor de bots al shell del servidor

El sandbox de Python de una plataforma de IA no bloqueaba os.popen(). Dos líneas de Python para ejecutar comandos del sistema, leer variables de entorno y huellear el runtime.

14 minssrfbypasscloud-metadata

SSRF — bypasses completos: localhost, IPv6, decimal, DNS y cloud metadata

11 técnicas para bypassear validación SSRF: enclosed alphanumeric, decimal IP, dot bypass, DNS rebinding, parameter pollution. Cloud metadata AWS/GCP/Azure.

14 minpostmessageiframeorigin-validation

Zero-Click postMessage Origin Bypass — del canvas al credit drain

El listener de postMessage solo validaba un campo de e.data — controlado por el atacante. e.origin nunca se chequeaba. Desde un iframe cargado al abrir un bot, mensajes inyectados como si los hubiera escrito la víctima.

13 minbug-bountyplatformsmethodology

HackerOne vs Bugcrowd vs YesWeHack vs Intigriti — comparativa práctica 2026

Diferencias reales entre las 4 plataformas de bug bounty: payout speed, calidad de triage, reputation system, public vs private programs y donde se gana más dinero.

12 minburp-suitetoolssetup

Burp Suite — setup de cero para bug bounty (Community + Professional)

Instalación, configuración de proxy + CA cert, target scope, extensiones esenciales y workflow para empezar a hunting con Burp Suite hoy.

10 minjavascriptreconclient-side

Análisis JavaScript client-side — endpoints, secrets y source maps

Extracción de endpoints ocultos de JS bundles, detección de secrets, análisis de source maps y dynamic instrumentation con Frida para auditar lógica client-side.

12 minbug-bountyreportingmethodology

Cómo escribir un bug bounty report que se acepte — estructura y errores comunes

Estructura ideal de un bug bounty report: title, summary, impact, steps to reproduce, PoC, remediation. Los 10 errores que hacen que tu report sea rechazado.

12 minlfipath-traversalrce

LFI — Local File Inclusion: payloads, filters bypass, log poisoning y RCE

Path traversal, null-byte injection, double encoding, PHP wrappers (filter, data, expect, phar), log poisoning y escalación de LFI a RCE en stacks PHP/Java/Node.

12 minreconmethodologysubdomains

Recon completo — subdominios, fingerprinting, ASN y origin IPs

Metodología práctica de recon para bug bounty: enumeración pasiva/activa de subdominios, fingerprinting, ASN mapping, origin IPs bypass WAF y mining de git history.

11 minsecurity-headerscsphsts

Security headers checklist 2026 — CSP, HSTS, X-Frame, Referrer-Policy y más

Audit completo de HTTP security headers que cualquier aplicación moderna debe tener: ejemplos reales, configuración correcta, errores comunes y cómo reportarlos.

11 minpentestingservicesenumeration

Services checklist — primer touch en cualquier target (SSH, FTP, SMB, NFS, Redis, Mongo, RDP)

Checklist práctico de primer enumeración para los 15 servicios más comunes en pentesting: ports, credenciales por defecto, exploits típicos y misconfigurations.

2FA bypass — TOTP brute force, response manipulation, fallback abuse, race conditions

Técnicas reales de bypass de 2FA: brute force de TOTP, manipulación de response (status 200 sin token válido), fallback a OTP por email, race conditions en setup.

14 min2faauthtotp

14 minaccount-enumerationpiiprivacy

Account enumeration via LinkedIn + phone — exposure de millones de usuarios

Caso real: account enumeration en API combinada con scraping de LinkedIn + reverse phone lookups para correlacionar identidades reales con accounts privados. Privacy impact crítico.

15 mincsrfsamesite-bypassjson-csrf

CSRF explotación avanzada — SameSite bypass, JSON CSRF, Flash, file upload CSRF

Técnicas avanzadas de CSRF más allá del clásico form submit: SameSite=Lax bypass via GET, JSON CSRF con Content-Type tricks, file upload CSRF y exploitation chains.

14 minidorbacaccess-control

IDOR y BAC — metodología manual para encontrar broken access control

Cómo identificar IDOR (Insecure Direct Object Reference) y BAC (Broken Access Control) manualmente: dual-account testing, parameter swap, role escalation, hidden parameters.

15 minoauthauthorizationcsrf

OAuth attacks — state CSRF, redirect_uri bypass, token reuse, IDOR de tokens

Vulnerabilidades en flujos OAuth 2.0: ausencia de state parameter, redirect_uri loose validation, token reuse cross-app, IDOR en endpoints de token refresh.

13 minpassword-resetauthpuny-code

Password reset — Puny code, header injection, email normalization, host header

Bypass de password reset con Unicode confusables, Host header injection, email normalization (gmail + alias), token leakage en referer, response manipulation.

13 minpostmessagexssclient-side

postMessage — vulnerabilidades comunes: origin bypass, XSS sink, IDOR cross-window

Cómo identificar y explotar vulnerabilidades en window.postMessage(): listeners sin validación de origin, payloads JSON inseguros que llegan a DOM XSS, IDOR cross-origin.

14 minrace-conditionsmarketplacelogic-flaws

Race conditions en marketplace — cupones aplicados N veces, stock negativo, doble checkout

Cómo identificar y explotar race conditions en flujos de e-commerce: cupones de descuento aplicados múltiples veces, productos con stock 0 vendidos, doble checkout para refunds.

Con cuenta€1200

Stored XSS €1200 — bypass de sanitizer via SVG href javascript: con entity encoding

Walkthrough de un report real €1200: stored XSS en POE bypassando sanitizer fix mediante SVG con href=`javascript:` y HTML entity encoding sobre los caracteres filtrados.

12 minxssstored-xsssvg

13 minxsspayloadscontexts

XSS contexts — payloads por contexto (HTML, atributo, JS, URL, CSS)

Cómo identificar el contexto exacto donde se inyecta tu input y los payloads que escapan cada uno: HTML body, atributo HTML, JS string, JS event, URL, CSS, JSON.

17 minasp-netviewstatedeserialization

ASP.NET — ViewState deserialization, machineKey leak, padding oracle

Vulnerabilidades clásicas y modernas en stack ASP.NET: ViewState deserialization sin signature validation, machineKey leak via web.config disclosure, padding oracle attacks contra encrypted ViewState.

13 mincloudfrontcache-deceptionpii-leak

CloudFront cache deception — exfiltrate PII via cached responses ajenas

Cómo abusar de CloudFront cache rules con extensions falsas (.css, .js, .png) para servir respuestas autenticadas cacheadas a otros usuarios. Real-world PII leakage.

CSP bypass + CORS misconfig + XSS — chain completo de explotación

Cómo encadenar misconfiguración CSP (unsafe-inline, wildcard sources, JSONP endpoints whitelistados), CORS con credentials y XSS para data exfiltration sin restricciones.

17 mincspcorsxss

14 mindom-clobberingxsshtml-injection

DOM clobbering — override de variables globales JS para bypassear sanitizers

Cómo usar DOM clobbering (name/id collisions) para sobrescribir variables JS globales y bypassear sanitizers como DOMPurify, achivar XSS donde innerHTML está bloqueado por defecto.

16 mindom-xssclient-sidesources-sinks

DOM XSS — sources, sinks y gadgets para encadenar bypass de filtros

Mapa completo de sources (location, postMessage, document.referrer, localStorage) y sinks (innerHTML, eval, document.write, jQuery $.html) + gadgets para construir payloads no detectables.

DoS vía WAF body size — agotar inspection budget en Cloudflare/Akamai

Cómo abusar del límite de inspección de body en WAFs (Cloudflare 100kb, Akamai 32kb) para drenar budget de inspección y forzar bypass — útil tanto para evasión como para DoS controlado.

13 minwafdosbody-size

12 minoauthopen-redirectredirect-uri-bypass

Premium$1100

OAuth open redirect — backslash bypass de redirect_uri (POE report walkthrough)

Walkthrough del report POE: open redirect via `\` (backslash) en redirect_uri que el parser de POE no normalizaba correctamente. URL-based XSS encadenado para token theft.

14 minphpclass-pollutiondeserialization

PHP class pollution — el equivalente PHP de Prototype Pollution

Cómo PHP class pollution (vía recursive merge / object instantiation con user input) genera deserialization-like RCE en apps Laravel, Symfony, WordPress sin necesidad de gadget chains.

Premium$2500

XSS Android — Activity exported via ContentActivity (POE/Quora real report)

Walkthrough de XSS Android explotable via Activity Exported intent en POE: cómo un ContentActivity sin filtros leaks WebView a sites attacker-controlled.

13 minandroidxssintent

15 minxsssecondary-contextdouble-parsing

Secondary context XSS — encontrando XSS donde el primary parsing no lo detecta

Cuando el primary parsing escapa pero un secondary context (markdown render, BBCode, custom template engine) interpreta de nuevo, abriendo XSS oculto a sanitizers tradicionales.

18 minssrflocalhost-bypasscloud-metadata

SSRF — localhost bypasses, DNS rebinding, cloud metadata, gopher://

Catálogo completo de bypasses SSRF en 2026: IP encodings (decimal, hex, octal, dword), DNS rebinding, IPv6 abuse, cloud metadata (AWS IMDSv2, GCP, Azure), gopher:// para chaining a Redis/Memcached RCE.

16 minxs-leakstiming-attacksside-channel

XS-Leaks — cross-site timing attacks, error-based leaks, frame-counting

Técnicas XS-Leaks 2026: timing attacks con performance.now(), error-based leaks via tag onerror/onload, frame-counting con CSP violations, ID-based leaks via element selector y storage timing.

XSS escalation — de Self-XSS a Account Takeover con chains reales

Cómo convertir un Self-XSS aparentemente inútil en un takeover total: clickjacking, login-CSRF + Self-XSS, cookie tossing, postMessage hijack, hash injection, OAuth flow abuse.

16 minxssatoescalation

16 minxsswaf-bypassencoding

XSS WAF bypass — encoding, parser differentials, case-only mutations

Técnicas de bypass WAF para XSS: HTML entities, hex/decimal/unicode encoding, parser differentials (browser vs WAF), comments injection, case variations, JS template literals.

Cookie flags — Secure, HttpOnly, SameSite y por qué importan

HttpOnly bloquea XSS-to-cookie, Secure obliga HTTPS, SameSite mata CSRF. Cómo se rompen y qué reportar cuando faltan en cookies sensibles.

8 mincookiessessioncsrf

11 mininformation-disclosurerecondebug-endpoints

Information Disclosure — los 12 patrones que más se pagan

API keys en HTML, debug endpoints, error verbose, JS bundles con secretos, .git expuesto, headers leak. Cómo encontrarlo y por qué se cierra rápido y se paga.

9 mininformation-disclosurecsrfclient-side-request

IP leak vía GIF en chat — Client-Side Request Forgery + Information Disclosure

Una red social no validaba la URL del GIF enviado en el chat. Mandar un GIF revelaba IP, sistema operativo, modelo de teléfono y device ID de la víctima.

10 mincommand-injectionrceinjection

Command Injection — bypasses con espacio, encoding y backticks

Inyección de comandos en endpoints que pasan input al shell. Bypasses de filtros: ${IFS}, $@, ;|&, encoded null bytes, output redirection a archivo.

11 mincorscsrfbrowser-security

CORS misconfigurations — null origin, wildcard credentials y subdomain trust

Cuando ACAO refleja cualquier Origin con ACAC=true, cuando null se acepta, cuando subdominios son wildcardeados — leak de datos autenticados cross-site.

11 minnosql-injectionmongodbinjection

NoSQL Injection — MongoDB, Firebase y bypasses con operadores

Cómo inyectar en queries NoSQL: $ne/$gt/$regex en MongoDB, bypass de auth, extracción blind y diferencias con SQLi clásico.

12 minopen-redirectoauthvalidation-bypass

Open Redirect vía Backslash Bypass en redirect_url del Login OAuth

El validador del cliente comprueba //, : y /. El backslash pasa. Los navegadores lo normalizan a slash y la víctima acaba en evil.tld con la cookie de sesión activa.

11 mininformation-disclosurerate-limitingpii

Acortador de URL como PII leak masivo — extracción de ~300 personas/hora

Códigos de baja entropía + sin rate limiting + ticket sin auth = enumeración de teléfonos, tarjetas (BIN+últimos 4) y compras de clientes reales.

10 minrate-limitingbypassbrute-force

Rate limit bypasses — IP rotation, headers spoof, casing y endpoints alternativos

X-Forwarded-For, IP rotation con cloudfront IPs, casing de path, encoding tricks, race condition de bucket. Cómo encontrar los gaps en el throttling.

Stored XSS vía SVG con href javascript: en chat — reclasificación de Self-XSS

Un payload SVG subido como adjunto. Filtro bypassed. Renderizado inline en el contexto principal. Cualquier participante del chat queda expuesto al click.

11 minxssstored-xsssvg

XXE — XML External Entity injection y exfiltración OOB

Cómo abusar parsers XML mal configurados: leer archivos del servidor, SSRF interna, blind XXE via DTD external. Endpoints típicos: SAML, SOAP, parser de configuración.

11 minxxexmlssrf

13 mincsp-bypassxssbrowser-security

CSP Bypass — JSONP, base-uri, AngularJS gadgets, dangling markup

Content-Security-Policy roto con strict-dynamic + JSONP, sin base-uri, AngularJS sandbox escapes, JSON hijacking. Cómo escalar XSS cuando el CSP teóricamente bloquea.

14 minmutation-xssxssdompurify

Mutation XSS — cuando el HTML cambia entre sanitizar y renderizar

El sanitizer ve A pero el browser renderiza B. SVG namespace tricks, comments mal cerrados, MathML, template element. Cómo encontrar mXSS contra DOMPurify y sanitizers caseros.

13 minprototype-pollutionjavascriptclient-side

Prototype Pollution — del JSON malicioso a XSS, RCE y bypass de auth

Cómo el atacante contamina Object.prototype y rompe las assumptions del código. Vectores client-side y server-side, gadgets en lodash/jQuery/Angular.

9 minxssreflected-xssgoogle-analytics

Reflected XSS en página 429 vía Google Analytics — el snippet de tracking como vector

El snippet de Google Analytics tomaba parte de la URL como input sin sanitizar. Un breakout de string literal dentro del propio script: la inyección estaba ya en contexto JavaScript.

SSTI — Server-Side Template Injection en Jinja2, Twig, Velocity y Freemarker

Detección con polyglots, identificación del engine, escalación a RCE en Jinja2/Python, Twig/PHP, Velocity/Java. Patrones donde se mete user input en templates.

12 minsstirceinjection

13 minbacadmin-bypassclient-side

Explora por tema

179 temas indexados. Cada uno agrupa los artículos que lo cubren.

Ver todos los temas →

Últimos artículos

Premium$3500

Client-side admin bypass — boolean manipulation + BAC en SPA moderna

Report real Quora: SPA con isAdmin boolean en localStorage que controla UI + backend que no valida server-side. Cómo encadenar boolean flip con BAC para admin takeover.

13 mincloudflarewaf-bypasspayload-size

Cloudflare WAF — payload size bypass, oversized body, plan-specific limits

Bypass de Cloudflare WAF mediante exploitation de body size limits por plan (Free 100kb, Pro 100kb, Business 500kb, Enterprise 1mb): oversize payload trick + chunked transfer encoding.

14 minheadless-browserssrfpuppeteer

Headless browsers — SSRF y RCE en endpoints que renderizan URLs

Endpoints que aceptan URLs para screenshots/PDF (Puppeteer, Playwright, wkhtmltopdf) son SSRF goldmine: cloud metadata, file://, gopher://, JS injection con XSS-to-RCE en chromium sandbox.

16 minhttp-smugglingdesynchttp2

HTTP request smuggling — H2→H1 desync, TE.CL, CL.TE y H2.CL en 2026

Catálogo actualizado de HTTP smuggling: CL.TE clásico, TE.CL, H2→H1 downgrade desyncs, HTTP/2 SETTINGS frame abuse, chunked extensions y pseudo-headers HTTP/2.

14 minllmprompt-injectionai-security

LLM hacking — prompt injection, jailbreaks, indirect injection y data exfiltration

Vulnerabilidades en sistemas con LLM expuestos: direct prompt injection, indirect injection via fuentes externas (RAG poisoning), system prompt extraction, jailbreaks y data exfiltration.

15 minnextjsssrfmiddleware-bypass

Next.js attack surface 2026 — middleware bypass, SSRF interno, RSC abuse

Vulnerabilidades específicas de Next.js 13-16: middleware bypass con headers manipulados, SSRF en API routes, RSC (React Server Components) data leak, image optimization SSRF.

01 · Guías

Vulnerabilidades web

16 guías · 153+ payloads

Por tipo de vulnerabilidad(10)

Cross-Site Scripting

Inyección de código en el navegador de la víctima

12 payloads·5 tips

IDOR & Broken Access Control

Acceso a recursos de otros usuarios manipulando identificadores

10 payloads·4 tips

Authentication Bypass

Bypasses en JWT, 2FA, OTP y mecanismos de login

11 payloads·5 tips

Server-Side Request Forgery

Hacer que el servidor realice requests a destinos internos

11 payloads·4 tips

SQL & NoSQL Injection

Inyección de consultas en bases de datos

12 payloads·4 tips

File Upload Vulnerabilities

Subida de archivos maliciosos para ejecución de código

13 payloads·4 tips

CORS Misconfiguration

Exfiltración de datos vía orígenes mal configurados

7 payloads·3 tips

Reconocimiento & Info Disclosure

Descubrimiento de información sensible expuesta

12 payloads·5 tips

Variable

Race Conditions

Explotar condiciones de carrera en operaciones concurrentes

7 payloads·3 tips

Técnicas Avanzadas

WebSockets, Unicode, LLM hacking, cache deception y más

10 payloads·4 tips

Variable

Por contexto de ataque(6)

OAuth & SSO

Ataques en flujos de autorización delegada y Single Sign-On

10 payloads·4 tips

Pasarelas de Pago

Vulnerabilidades en flujos de compra, suscripción y transacciones

8 payloads·4 tips

HTML to PDF

SSRF y LFI vía generadores de PDF server-side

9 payloads·4 tips

WebSockets

Ataques en comunicaciones bidireccionales en tiempo real

6 payloads·3 tips

GraphQL APIs

Introspección, batching, inyecciones y DoS en APIs GraphQL

8 payloads·3 tips

Headless Browsers

Explotar bots, crawlers y screenshots server-side

7 payloads·3 tips