Author: zarvan
Language: Persian
Telegram channel: @web_articles

https://medium.com/@panahifarah/ctf-write-up-breaking-a-simple-rsa-file-encryptor-in-c-5766af727ded

به عنوان اولین تجربه عالی بود🫧

🕹 مینی‌چالش آغاز شد

یک ربات شبیه‌سازی شده ساخته‌ایم که هدفش بررسی دیتابیس‌های لو رفته و اطلاع‌رسانی به کاربر در صورت وجود اطلاعاتش است.

ما می‌دونیم به نحوی شخصی به تمام اطلاعات دیتابیس ما دسترسی داره تمام پیام‌های دریافتی از سمت کاربر را امن کردیم اما همچنان می‌تواند اطلاعات موجود در دیتابیس ما را مشاهده کند.

در کل می‌تونید از این ربات استفاده کنید
@HML_Simulation2_Bot


📌 طبق روال، هر کسی که First Blood بشه، رایت‌آپش داخل کانال منتشر میشه!

#BugBounty #TelegramBot #Vulnrability #CTF #HackMeLocal

@HackMeLocal

مقاله زیرو کلیک ato من:
https://mey-d.github.io/posts/zero-click-ato-persian/

امیدوارم لذت ببرید


https://x.com/neotrony/status/1964141250686169414?s=46

سری مقالات رمزنگاری مقدماتی به زبان ساده از محمد حسن پزشکیان

🔸 1 بررسی مفاهیم اولیه رمزنگاری

🔸 2 بررسی Encoding and Encryption

🔸 3 بررسی Hash & HMAC

🔸 4 بررسی Password Storage, Salt & Pepper

🔸 5 رمزنگاری متقارن یا Symmetric Encryption

🔸6 رمزنگاری نامتقارن یا Asymmetric Encryption

🔸7 امضا و گواهینامه دیجیتال

🔸8 رمزنگاری سخت افزاری و خطرات دولت ها

🔸9 ریاضیات و شرح کارکرد الگریتم های نامتقارن

🔸10 رمزنگاری منحنی بیضوی یا Elliptic-Curve

🔸11 بررسی امنیت پروتوکول های شبکه

🔸12 بررسی حملات رمزنگاری

🔸13 مرور و جمع بندی

#crypto

The OWASP Top 10 is a community-driven list of the most critical web application security risks. It exists to raise awareness, guide developers and security teams, and serve as a baseline for testing and hardening applications. Organizations use it for threat modeling, training, and setting minimum security requirements; the list is updated periodically to reflect changing attack trends.

#owasp_stories
@hackhive_channel 🐝

The OWASP Top 10 list was updated in 2021 to reflect modern threats. Compared to 2017, some risks changed position, some were renamed, and new categories appeared. Broken Access Control rose to the top, Sensitive Data Exposure evolved into Cryptographic Failures, and Insecure Design, Software and Data Integrity Failures, and SSRF were introduced. This update highlights how web application risks evolve and why organizations must continuously adapt their security practices.

#owasp_stories
@hackhive_channel 🐝

#number1:
Broken Access Control

Broken Access Control happens when applications fail to properly enforce who can access what. As a result, users may read or modify data, escalate privileges, or reach hidden resources. It often shows up as IDOR, missing server-side checks, or misconfigured CORS. Preventing it requires strict server-side authorization, deny-by-default policies, and proper validation of ownership and roles.
Main Categories:

Insecure Direct Object References (IDOR)

Sensitive Data Exposure via weak access rules

Authentication & Authorization Issues

Metadata Manipulation (cookies, tokens, JWT)

Misconfiguration (CORS, forced browsing, open redirect)

Functional Level Access Control Issues

For more information:
https://m.youtube.com/watch?v=_jz5qFWhLcg&pp=ygUfI2Jlc3RidWdib3VudHlib29rc2ZvcmJlZ2lubmVycw%3D%3D


#owasp_stories
@hackhive_channel 🐝

#number1_1:
IDOR(Insecure Direct Object References)

For practice:
Easy level=
https://github.com/Laburity/vulnerable-IDOR-lab?utm_source=chatgpt.com

Medium level =
https://portswigger.net/web-security/all-labs#path-traversal
And
https://portswigger.net/web-security/all-labs#access-control-vulnerabilities
And
https://www.hackthebox.com/
And
https://tryhackme.com/challenges

Hard level =
https://pentesterlab.com/exercises/idor-to-shell?utm_source=chatgpt.com

#owasp_series
#idor
@hackhive_channel 🐝

#number1_2:
Exposure of sensitive information

For practice:
Essay level=
https://github.com/digininja/DVWA
And
https://tryhackme.com/room/owaspjuiceshop

Medium level=
https://pwning.owasp-juice.shop/companion-guide/latest/part2/sensitive-data-exposure.html
And
https://owasp.org/www-project-webgoat/
And
https://tryhackme.com/room/owasptop10

Hard level=
https://portswigger.net/web-security/information-disclosure
And
https://dev.to/hax/owasp-juice-shop-walkthrough-sensitive-data-exposure-login-amy-fph
And
https://academy.hackthebox.com/academy-lab-relations

#owasp_series
#sensitive_data_exposure
@hackhive_channel 🐝

این کتاب توصیه‌های ارزشمند و کاربردی از گروهی از هکرهای با تجربه در حوزه باگ‌بانتیه که برای موفقیت تو این عرصه جمع‌آوری شدن. این راهنمایی‌ها از تکنیک‌های عمیق تست و استفاده از اتومیشن گرفته تا تمرکز روی نقاط ضعف خاص و مدیریت زمان، بهت کمک می‌کنه مهارت‌هات رو تقویت کنی و باگ‌های با ارزشی پیدا کنی.

Author: zarvan
Language: Persian
Telegram channel: @web_articles

#number1_3:
Authentication and Authorization issues

For practice:
Easy level =
https://owasp.org/www-project-webgoat/
And https://portswigger.net/web-security/access-control/lab-insecure-direct-object-references

Medium level=
https://owasp.org/www-project-juice-shop/
And https://www.hackthebox.com/machines/access

Hard level=
https://www.hackthebox.com/machines/forest
And https://www.vulnhub.com/entry/kioptrix-level-4,105/

#owasp_series
#authentication_and_authorization_issues
@hackhive_channel 🐝

#number1_4:
Metadata manipulation

For practice and learning:
easy level=
https://bitcuratorconsortium.org/wp-content/uploads/2022/05/Exiftool-Exercise.pdf
And
https://github.com/frankwxu/digital-forensics-lab
And
https://codehs.com/tutorial/14571
https://www.youtube.com/watch?v=8gL-uCnbLn0

medium level=
https://iritt.medium.com/picoctf-information-forensicschallenge-challenge-walkthrough-0dac21f76105
And
https://dfrws.org/forensic-challenges
And
https://www.cliffsnotes.com/study-notes/21913211

hard level=
https://www.blackhat.com/docs/us-17/wednesday/us-17-Mazurov-Brown-Protecting-Visual-Assets-Digital-Image-Counter-Forensics.pdf
And
https://arxiv.org/abs/2308.04723
And
https://rohit12.medium.com/executed-anti-forensic-lab-using-steganography-e-mail-forensic-and-exif-metadata-techniques-all-d7b1bad61a32
And
https://dfrws.org/forensic-challenges

#owasp_series
#Metadata_manipulation
@hackhive_channel 🐝

More practise:

https://rohit12.medium.com/executed-anti-forensic-lab-using-steganography-e-mail-forensic-and-exif-metadata-techniques-all-d7b1bad61a32
And
https://portswigger.net/web-security/file-upload
And
https://www.hackthebox.com/machines/meta
And
https://forum.hackthebox.com/t/stego-image-processing-101/1940
And
https://tryhackme.com/room/easysteganography
And
https://www.root-me.org/en/Challenges/Steganography
And
https://tryhackme.com/room/introdigitalforensics
And
https://tryhackme.com/room/linuxfilesystemanalysis

#owasp_series
#Metadata_manipulation
@hackhive_channel 🐝

🚨 جدیدترین ویدیوی آموزشی HuntLearn منتشر شد!

🔍 موضوع: Linux Keylogger Using LD_PRELOAD — تکنیک ردتیمینگ
👨‍💻 مدرس: مهندس رضا رنجبر

در این ویدیو یاد می‌گیرید چطور میشه با استفاده از LD_PRELOAD در لینوکس یک Keylogger پیاده‌سازی کرد.
این محتوا مخصوص کارشناسان تیم قرمز و تیم آبی و علاقه‌مندان امنیت سایبریه.

📺 مشاهده کامل ویدیو در یوتیوب HuntLearn:
👉 https://youtu.be/e0q-7k1IBUo

اگه دوس داشتید دنبال کنندگان شما هم جزیی از این چالش باشند میتونید این پست رو به انتشار بزارید❤️🙏🏼


https://www.instagram.com/p/DPQrtnjjUS8/?igsh=MW9zejR5M2t3bGNyaw==

🕹 مینی‌چالش روی وردپرس!

همیشه لازم نیست از راه سخت دسترسی بگیریم!
بیشتر حمله‌هایی که صورت میگیره از یک دسترسی ساده شروع میشه که به خاطر یک اشتباه کوچیک اطلاعات اون دسترسی لو رفته. ( شب دارکی شد ... )

برای نشون دادن اهمیت این چالش طراحی شده ( لازم بگم با تغییرات جزئی مثل همین باگ روی یک پلتفرم باگ بانتی گزارش شده که بعد از کشف حتما داخل کانال توضیح میدیم ):

ما بروزترین نسخه وردپرس نصب کردیم، سپس یک WAF سر راه اون قرار دادیم اما در یک اقدامی عجیب بدون حتی یک خطا یک هکر وارد وبسایت ما شد.

⚠️ این حمله تقریبا چند دقیقه بعد از اینکه اولین ویدیو داخل وبسایت آپلود شد صورت گرفت نکته عجیب اینکه ما حتی این ویدیو را در پست‌هایمان استفاده نکردیم !!

🔗آدرس وبسایت ما:
https://wp1.hackmelocal.com


#BugBounty #Wordpress #Vulnrability #CTF #HackMeLocal #InformationLeak

@HackMeLocal