A quick way to find "all" paths for Next.js websites:
console.log(__BUILD_MANIFEST.sortedPages)
javanoscript:console.log(__BUILD_MANIFEST.sortedPages.join('\n'));
⭐️ @Zerosec_team
console.log(__BUILD_MANIFEST.sortedPages)
javanoscript:console.log(__BUILD_MANIFEST.sortedPages.join('\n'));
⭐️ @Zerosec_team
❤4
👍3
Forwarded from امنیت سایبری | Cyber Security
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1
In_Browser_LLM_Guided_Fuzzing.pdf
3.7 MB
"In-Browser LLM-Guided Fuzzing for Real-Time Prompt Injection Testing in Agentic AI Browsers", 2025.
]-> Complete fuzzing platform
// LLM based agents integrated into web browsers offer powerful automation of web tasks. However, they are vulnerable to indirect prompt injection attacks. We present a novel fuzzing framework that runs entirely in the browser and is guided by an LLM to automatically discover such prompt injection vulnerabilities in real time. We demonstrate that our in-browser LLM-guided fuzzer can effectively uncover prompt injection weaknesses in autonomous browsing agents while maintaining zero false positives in detection
#AIOps
#Fuzzing
#WebApp_Security
⭐️ @Zerosec_team
]-> Complete fuzzing platform
// LLM based agents integrated into web browsers offer powerful automation of web tasks. However, they are vulnerable to indirect prompt injection attacks. We present a novel fuzzing framework that runs entirely in the browser and is guided by an LLM to automatically discover such prompt injection vulnerabilities in real time. We demonstrate that our in-browser LLM-guided fuzzer can effectively uncover prompt injection weaknesses in autonomous browsing agents while maintaining zero false positives in detection
#AIOps
#Fuzzing
#WebApp_Security
⭐️ @Zerosec_team
❤2👍2
From Component to Compromised: XSS via React createElement
https://www.turb0.one/pages/From_Component_to_Compromised:_XSS_via_React_createElement.html
⭐️ @Zerosec_team
https://www.turb0.one/pages/From_Component_to_Compromised:_XSS_via_React_createElement.html
⭐️ @Zerosec_team
❤4
طبق گزارش رسمی Microsoft، کشورهایی مثل روسیه، چین، ایران و کره شمالی حالا از مدلهای پیشرفتهی هوش مصنوعی برای طراحی، اتوماسیون و اجرای حملات سایبری در سطح جهانی استفاده میکنن.
منظور فقط فیشینگ نیست…
حرف از Deepfake، جعل هویت دیجیتال، و حملات خودکار با دقت انسانیه!
🌐 واقعیت تکاندهنده:
📈 طبق گزارش جدید، فقط در یک سال گذشته، حملات روسیه علیه کشورهای عضو ناتو ۲۵٪ افزایش پیدا کرده.
هوش مصنوعی داره کاری میکنه که حتی متخصص های امنیت هم نتونن فرق بین ایمیل واقعی و حمله فیشینگ تشخیص بدن!
منبع: The Guardian - Oct 2025
⭐️ @Zerosec_team
منظور فقط فیشینگ نیست…
حرف از Deepfake، جعل هویت دیجیتال، و حملات خودکار با دقت انسانیه!
🌐 واقعیت تکاندهنده:
📈 طبق گزارش جدید، فقط در یک سال گذشته، حملات روسیه علیه کشورهای عضو ناتو ۲۵٪ افزایش پیدا کرده.
هوش مصنوعی داره کاری میکنه که حتی متخصص های امنیت هم نتونن فرق بین ایمیل واقعی و حمله فیشینگ تشخیص بدن!
منبع: The Guardian - Oct 2025
⭐️ @Zerosec_team
❤2🤔1
جدیدترین CVE های اعلام شده در آپدیت اکتبر ۲۰۲۵ :
CVE-2025-24990 — Agere modem driver (Windows)
نوع: افزایش دسترسی / درایور مودم (ltmdm64.sys)
وضعیت اکسپلویت: در حال بهره برداری در محیط واقعی (exploited in the wild).
NVD
CVE-2025-59230 — Windows Remote Access Connection Manager (RasMan)
نوع: Improper access control → Elevation of Privilege (EoP)
وضعیت اکسپلویت: شواهد بهره برداری در جهان واقعی مایکروسافت گزارش داده و پچ منتشر شده
Microsoft Security Response Center
CVE-2025-47827 — IGEL OS Secure Boot bypass
نوع: Secure Boot bypass (igel-flash-driver — استفاده از کلید منقضی شده)
وضعیت اکسپلویت: کد اکسپلویت عملکردی موجود است و در طبیعت مورد سوء استفاده قرار گرفته (نیاز به دسترسی فیزیکی، پیچیدگی پایین).
CrowdStrike
CVE-2025-49708 — Windows Graphics Component (Use-After-Free)
نوع: Use-After-Free → احتمال RCE / افزایش امتیاز پس از بهره برداری
وضعیت اکسپلویت: تا کنون گزارش عمومی از اکسپلویت گسترده در wild منتشر نشده؛ اما نمره و اثر بالا پَچ فوری لازم.
CVE-2025-55680 — Windows Cloud Files Mini Filter Driver (TOCTOU)
نوع: Time-of-check/Time-of-use (TOCTOU) → Elevation of Privilege.
وضعیت اکسپلویت: Microsoft / تحلیلگران «احتمال بهره برداری بالاتر» اعلام کردهاند؛ نمونه های اکسپلویت تشخیص در دیتابیس تهدیدها ثبت شدهاند. (در عمل قابل بهرهبرداری محلی)
CVE-2025-61882 — Oracle E-Business Suite (UiServlet / Concurrent Processing)
نوع: Remote Code Execution بدون نیاز به احراز هویت (HTTP).
وضعیت اکسپلویت: بهصورت فعال مورد سوء استفاده قرار گرفته ؛ exploit/chainهای عمومی و کمپینهای باجافزاری مرتبط گزارش شده PATCH فوری ضروری
⭐️ @Zerosec_team
CVE-2025-24990 — Agere modem driver (Windows)
نوع: افزایش دسترسی / درایور مودم (ltmdm64.sys)
وضعیت اکسپلویت: در حال بهره برداری در محیط واقعی (exploited in the wild).
NVD
CVE-2025-59230 — Windows Remote Access Connection Manager (RasMan)
نوع: Improper access control → Elevation of Privilege (EoP)
وضعیت اکسپلویت: شواهد بهره برداری در جهان واقعی مایکروسافت گزارش داده و پچ منتشر شده
Microsoft Security Response Center
CVE-2025-47827 — IGEL OS Secure Boot bypass
نوع: Secure Boot bypass (igel-flash-driver — استفاده از کلید منقضی شده)
وضعیت اکسپلویت: کد اکسپلویت عملکردی موجود است و در طبیعت مورد سوء استفاده قرار گرفته (نیاز به دسترسی فیزیکی، پیچیدگی پایین).
CrowdStrike
CVE-2025-49708 — Windows Graphics Component (Use-After-Free)
نوع: Use-After-Free → احتمال RCE / افزایش امتیاز پس از بهره برداری
وضعیت اکسپلویت: تا کنون گزارش عمومی از اکسپلویت گسترده در wild منتشر نشده؛ اما نمره و اثر بالا پَچ فوری لازم.
CVE-2025-55680 — Windows Cloud Files Mini Filter Driver (TOCTOU)
نوع: Time-of-check/Time-of-use (TOCTOU) → Elevation of Privilege.
وضعیت اکسپلویت: Microsoft / تحلیلگران «احتمال بهره برداری بالاتر» اعلام کردهاند؛ نمونه های اکسپلویت تشخیص در دیتابیس تهدیدها ثبت شدهاند. (در عمل قابل بهرهبرداری محلی)
CVE-2025-61882 — Oracle E-Business Suite (UiServlet / Concurrent Processing)
نوع: Remote Code Execution بدون نیاز به احراز هویت (HTTP).
وضعیت اکسپلویت: بهصورت فعال مورد سوء استفاده قرار گرفته ؛ exploit/chainهای عمومی و کمپینهای باجافزاری مرتبط گزارش شده PATCH فوری ضروری
⭐️ @Zerosec_team
❤3🔥1
Forwarded from PentesterLand Academy - Public
آنتی ویروس ها رو به چالش بکش
بخش اول:
https://www.instagram.com/reel/DP__cFnDco_/?igsh=Y2ViMzhlMTlxM2t3
بخش اول:
https://www.instagram.com/reel/DP__cFnDco_/?igsh=Y2ViMzhlMTlxM2t3
👍4👎1
سلام بچه ها ما همون ZeroSec هستیم ولی اسم کانال فقط تغییر پیدا کرد
واقعا بچه ها شرمنده بابت یک موضوعی مجبور به تغییر اسم شدیم که بعدا متوجه میشید❤️
واقعا بچه ها شرمنده بابت یک موضوعی مجبور به تغییر اسم شدیم که بعدا متوجه میشید❤️
🤬9❤8🤔2👎1😁1
👍3
شش روز پیش، سخنرانیها و ارائههای شرکتکنندگان در DEF CON 33 بزرگترین کنفرانس هکری جهان در یوتیوب منتشر شد.
حالا این فرصت به وجود آمده که همه سخنرانیها را تماشا کنید
https://www.youtube.com/playlist/DEFCON
⭐️ @RadvanSec
حالا این فرصت به وجود آمده که همه سخنرانیها را تماشا کنید
https://www.youtube.com/playlist/DEFCON
⭐️ @RadvanSec
👍5❤1