Начни с DVWA, с роликов на ютубе

А не с взлома настоящего приложения без знаний, анонимности и возможной уголовки

я находил на xbiz.net .... они просто промолчали , поставили амазон waf и всё, дыру вроде не залатали.  главный директор даже молчит) ну их не было на баунти

ни спасибо ни пошел ***уй((((((

Я в баунти ни разу не репортил, я не в курсе, как устроена корпоративная кухня компании входящей в NASDAQ.

Может, они пошлют нах, поскольку весь список их клиентов был слит. Я поэтому и спросил.

у насдак есть программа в h1

Нет

выше написали *да* .... запутался... т.е гет не всегда через ? будет

есть такая вещь как URL rewrite
и параметры будут не явные

site.com/news/en/45

на самом деле будет парсится как

news.php?lang=en&page_id=45

знаки вопроса есть? нет, нету
а параметры есть? да

и там могут быть скули? да

в зависимости от внутренних политик, но в целом у развитых компаний вполне может быть отработка инцидента вроде "так, а кто вообще дергал этот запрос за последние полгода?"

благодарю

Такая штука: при успешной авторизации чекает по всем видимости юзерагент и если он не сходится с юзерагентом владельца (уже проверенным), тогда просит пройти двухфакторку по емейл коду. Но при больше ничего не проверяет, пробовал менять в авторизованном браузере айпи (другой страны) и проходит без проблем, но на другом браузере просит ввести код. Может кто с подобным сталкивался, куда копать, есть ли варианты обхода?

Точно браузер а не остатки от прошлой сессии ?

кто-то при работе с библиотекой requests в питоне замечал, что он не правильно отображает коды респонса?!
при отправке запроса на admin.vk.com возвращает 200, хотя там редирект происходит на vk.com/login.

как это исправить можно, чтобы питон понимал когда его редиректит?

блин( действительно по прошлой сессии

эм