#WebApp_Security
1. Exploiting an ORM Injection to Steal Cryptocurrency from an Online Shooter
https://blog.p1.gs/writeup/2025/07/06/Hacking-a-crypto-game
2. Delivering PHP RCE to the Local Network Servers
https://github.com/ZeroMemoryEx/PHP-CGI-INTERNAL-RCE
3. XSS in Google IDX Workstation
https://sudistark.github.io/2025/07/02/idx.html

♦️@ZeroSec_team

ورود | XBOW جایگزین متخصصان امنیت سایبری شده؟ واقعیت پشت پرده هکر هوش مصنوعی که HackerOne را تصاحب کرد

نویسنده: غلام محی‌الدین
مدت مطالعه: ۳ دقیقه | تاریخ: ۲۵ جولای ۲۰۲۵
یک مدعی جدید در دنیای امنیت سایبری

اگر هنوز اسم XBOW را نشنیده‌اید، همین حالا از بقیه عقبید.

XBOW، ساخته‌ی Oege de Moor (خالق GitHub Copilot)، یک تستر نفوذ خودمختار با هوش مصنوعی است که پایه‌های امنیت سایبری را به لرزه انداخته. در ژوئن ۲۰۲۵، XBOW با پشت سر گذاشتن هزاران هکر حرفه‌ای، به رتبه‌ی اول لیست HackerOne در آمریکا رسید.

اما این فقط یک ابزار معمولی نیست. XBOW خودش باگ‌های واقعی را کشف می‌کند، آن‌ها را اعتبارسنجی می‌کند و گزارش می‌دهد آن‌هم بدون دخالت انسان.
یا واقعا این‌طور است؟

بیایید بین تبلیغات و واقعیت، مرز بگذاریم.
XBOW دقیقاً چه کاری انجام می‌دهد؟

XBOW یک سیستم هوش مصنوعی است که برای اجرای تست نفوذ تهاجمی خودکار طراحی شده. این سیستم webpapp ها را crwal و scan کرده و آسیب‌پذیری‌هایی مثل:

XSS, CSRF, SSRF, RCE
را کشف می ‌کند.

و فقط به کشف بسنده نمی‌کند. آن‌ها را تأیید می‌کند، Exploit می‌کند و گزارش‌های باگ معتبر ارسال می‌کند.

در آزمون‌هایی مثل PentesterLab و Web Security Academy، XBOW بین ۷۵ تا ۸۵٪ از چالش‌ها را حل کرد. کاری که برای انسان ۴۰ ساعت زمان می‌برد، XBOW در کمتر از ۳۰ دقیقه انجام داد.

شگفت‌انگیز؟ بله. اما داستان به همین‌جا ختم نمی‌شود.
نه‌ آن‌قدر هم خودکار…

سازندگان XBOW ادعا می‌کنند که این سیستم "کاملاً خودمختار" است.
اما متخصصان و افراد پشت‌صحنه، نظر دیگری دارند.

واقعیت چیست؟

انسان‌ها محدوده باگ بانتی را تعیین می‌کنند

مهندسان اهداف را اولویت‌بندی می‌کنند

یافته‌ها قبل از ارسال به‌صورت دستی اعتبارسنجی می‌شوند

اگر خطایی رخ دهد، اسکریپت‌های جایگزین یا بررسی LLM (مدل‌های زبانی بزرگ) فعال می‌شود

یعنی بله، بخش زیادی از کار خودکار است اما همچنان بخشی از یک خط لوله انسانی محسوب می‌شود.
XBOW چه چیزهایی را نمی‌تواند انجام دهد؟

اگرچه XBOW در کشف آسیب‌پذیری‌های رایج عملکردی خیره‌کننده دارد، اما در برابر نقایص منطقی پیچیده کاملاً کور است.

محدودیت‌های آن:

🧠 باگ‌های منطقی مرتبط با بیزینس (مثل بررسی اشتباه سطح دسترسی)

🔗 اکسپلویت‌های زنجیره‌ای چندمرحله‌ای

🔐 باگ‌هایی که وابسته به محیط خاصی هستند

🤝 مهندسی اجتماعی و حملات فیزیکی

🎯 اولویت‌بندی ریسک بر اساس زمینه واقعی کسب‌وکار

به زبان ساده: هوش مصنوعی هنوز شهود و خلاقیت ندارد — دو عنصر حیاتی در دنیای امنیت سایبری مدرن.
آیا جایگزین شغل‌های امنیتی خواهد شد؟

بیایید سر اصل مطلب برویم.

✅ بله… برای نقش‌های تکراری و سطح پایه.

اگر شغل‌تان فقط به اسکن XSS یا استفاده سطحی از Burp Suite محدود شده — قابل جایگزینی هستید. این دقیقاً همان نقطه قوت XBOW است.

❌ خیر… برای متخصصان باتجربه.

این صنعت همچنان به انسان‌هایی نیاز دارد که توانایی انجام موارد زیر را دارند:

تحلیل فرایندهای تجاری

تفکر مهاجمانه

زنجیره‌سازی آسیب‌پذیری‌ها

اجرای حملات Red/Purple Team

مدیریت ریسک در شرایط واقعی

درواقع، AI در حال ایجاد نقش‌های جدید در امنیت است:
نقش‌هایی مثل ناظر سیستم‌های هوش مصنوعی، تحلیل‌گر تهدیدات، ردتیم‌های ترکیبی با کمک AI و...

درحالت کلی این رایتاپ تا اخر امسال احتمالا درسته ولی بعدا میزنه همه هانترارو اوت میکنه این هوش مصنوعی

#RedTeam #XBOW #Hacke #BugBounty

⭐️ @ZeroSec_team

نترسید نترسید ما همه باهم هستیم✊

این رایتاپ هم بخونید براتون خیلی مفیده 🤣🤣

https://news.1rj.ru/str/Daily_Writeups/74533

📊 Watcher Summary Report

🔹 BUGCROWD: 6 new items
🔹 HACKERONE: 205 new items
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

Social Media-Based C2 Channels

در چندین عملیات APT از جمله حمله‌ی APT29 (HAMMERTOSS)، adversary از موارد زیر به‌عنوان C2 استفاده کرده:

Twitter – base64-encoded tasking in tweets
GitHub – hosting payloads or encoded commands
Imgur/Instagram – steganographic command embedding
Telegram Bots – encrypted 2-way comms
Slack/Discord – webhook-based communication
YouTube Comments – hidden indicators and instructions
Pastebin/Gist – staging encoded content

روش‌های معمول شامل:

Domain fronting

Covert channel via stego

DNS over HTTPS callbacks

Abuse of social APIs

مزیت‌ها:

Evasion از signature-based detection

Legitimate platform traffic

Persistence in hostile environments


#RedTeam #C2 #APT #MITRE #TTP #ThreatOps

⭐️ @ZeroSec_team

#reversing
#Kernel_Security
Debugging the Pixel 8 kernel via KGDB
https://xairy.io/articles/pixel-kgdb

// The instructions cover building and flashing a custom Pixel 8 kernel to enable KGDB, breaking into KGDB either via ADB by relying on /proc/sysrq-trigger or purely over a serial connection by sending the SysRq-G sequence, and attaching GDB to the Pixel 8 kernel

♦️@ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 1 new item
🔹 HACKERONE: 2 new items
🔹 INTIGRITI: 2 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

T-Mobile رسماً اسکم کرد

بعد از اینکه باگ P2 گزارش دادم، تارگت رو از اسکوپ خارج کردن. یعنی باگ رو رسما patch کردن و اما دیگه reward و یا acknowledgment ندادن حتی با اینکه حساب verify شده و report های حساب تقریبا خوبه ، این دقیقاً تعریف یه اسکم تمیزه 👌

#Scam #BugBounty

⭐️ @ZeroSec_team

برید XSS بزنید :

زیاد سخت نیست یکم فاز کنید ورد لیست معروف فاز کنید کلا اسونه😁

https://nexovir.ir

هرکس تونست بزنه دایرکت مسیج کانال اسکرین شات بده


⭐️ @ZeroSec_team

راه حل چالش :

۱- پیدا کردن path,parameter که با یه فاز ساده درمیومد و البته بهتون
گفته شد

۲- با ریکوست GET که زده میشد صفحه کانتنت عادی لود میکرد ولی وفتی verb رو عوض میکردی تبدیل به POST میکردید با متن زیر رو به رو میشدید:

invalid header or value 

داخل صفحه ظاهر میشد ولی پنهان بود هدف از انجام اینکار این بود که دقت شما سنجیده بشه و از جلوی باگ راحت نگذرید علاوه بر اون شما باید دائم content-length رو زیر نظر داشته باشید و تحلیل کنید جواب سرور

۳- از صفحه گیتهاب با یک osint ساده قسمت ریپازیتوری xss-challenge و در قسمت history commit یک header+token لو میرفت که اون باید تو درخواست هاتون میزاشتید هدف این قسمت اهمیت osint و ریکان رو بهتون یاد اور میشد خیلیا فاز هدر کورکورانه انجام میدادن درصورتیکه با یک فکر کردن out of box میتونستید اشتباه برنامه نویس رو متوجه بشید ❤️

⭐️ @ZeroSec_team

توی ctf و چلنجا اکثر کاری که اون اول باید انجام بدیم اینه که بریم اصلا ببینیم چه مسیر هایی داخل اون هستش بخونیمش چون هر بخشش میتونه مهم باشه . با یکم تست کردن دستی بخشای مختلف با توجه به اینکه چلنج کلا مربوط به xss بود تونستم دایرکتوری رو پیدا کنم یه بخش دیگه که مسیرش /admin بود که زیاد مربوط نمیشد. وقتی درخواست get به بخش /xss/lab ارسال میکردیم چیز خاصی به ما نشون نمیداد طبق عادت اومدم با انواع متودای http و تست کردم رسیدم به post که دیدم خب یه بخش جدید اضافه شده که نوشته Missing header or invalid token. اینجا اومدم هدرها و درخواستای مختلفی ارسال کردم از Authorization: و cookie و ... به چیزی نرسیدم و گفتم حداقل بیام یه سرچی تو گوگل بزنم nexovir که شاید چیزی پیدا کنم و بعد به این https://www.just-eat.dk.nexovir.ir رسیدم و از این هم چیزی نصیبم نشد اومدم تو جاهای مختلف سرچ زدم که تو تلگرام رسیدم به یه ادرس گیتهاب https://github.com/nexovir/ که رفتم اونو دیدم و تو https://github.com/nexovir/nexovir-xss-challenge/blob/main/follow-the-white-rabbit و تو نگاه اول شاید چیزی نباشه ولی وقتی بریم داخل بخش blame و بعد seccond commit رو بزنیم میرسیم به https://github.com/nexovir/nexovir-xss-challenge/commit/6381dffadfca1b9add1d863b401201206b4676f0
که داخلش یک هدر هست که توش username , password رو نوشته X-TOKEN: 1asdalmsdmk1123odfvasd@sdawqeqwe1
برمیگریدم به درخواست post که به بخش /xss/lab میفرستادیم و این هدر رو ست میکنیم و دیگه پیام Missing header or invalid token. دریافت نمیکنیم پارامتر magickey رو میزاریم و میبینیم هرچی میفرستیم تو سایت میشینه و پس /lab/xss/?magickey=<noscript>alert(1)</noscript>t بزاریم و اینجا xss رو میگیریم

حل چالش xss

همیشه موقع تست کردن وب اپلیکیشن ها ما black box تست میکنیم چون نمیدونیم با چی طرفیم توی این ctf هم یکجورایی این جوری بود درسته که xss هستش و هدف اصلی xss هست ولی خوب نه پارامتری و هیچی بهمون داده نشده هیچی به هیچی

اولین کاری که من میکنم یکمی با سایت ور میرم اولین کار ffuf رو ران کردم
ffuf -w /wordlist/words.txt -u https://nexovir.ir/fuzz

خیلی به جایی نرسیدم توی قدم اول ولی خوب نا امید نشدم رفتم سراغ خوده سایت یه دایرکتوری خاص رو تست کردم یه چیزی که قرار نبود جوابی بده و تو سر خودم این بود که اره این حتما 404 میده صرفا میخواستم رفتار اون وبسایت رو ببین که یهو رسیدم به یه بخش صفحه django error که داشت یکسری اطلاعات رو نشون میداد مثله مسیر های ( توی jango شما وقتی DEBUG رو روی TRUE بزارید میتونید لاگ ها و ارور های مختلف رو ببینید که کمک میکنه به دولوپر و البته ما😄):
/admin
/xss

ادمین یه صفحه لاگین دیفالت واسه جنگو هستش که خیلی مهم نیست اما توی xss صفحه 404 دیفالت خوده webserver میشد اینجا اومدم بعد xss/sjsjsj تست کردم و با خودم گفتم اینم باید مثله مسیر قبلی باشه دیگه و رسیدم به یه صفحه error دیگه که توش یه مسیر دیگه بود:
/lab name:Xss_name

و خب رفتم سراغ /lab اینجا تصمیم گرفتم که با param miner یکمی تست کنم ببینم جوابی دارم یا نه به جواب خاصی نرسیدم ولی بعدش هینت اومد که دیدم بله مسیری که من توش بودم هستش دقیقا و خب اینجا دیگه مطمعن شدم که مسیرم درسته یکمی با value ها کار کردم که دیدم نه توی dom رفلکت میشه نه توی page هینت دوم هم که اومد این بود که اوسینت کنم و با راهنمایی هایی هم که گرفتم تونستم برسم به یه github اونجا یه فایل بود که چیز خواصی نبود توش صرفا یه text معمولی اما وقتی توی commit ها رو نگاه میکنی یکسری texy هدر مانند میبینی مثله X-TOKEN اومدم و این رو ادد کردم توی برپ و تست کردم باز نتیجه ای نیومد اما رسیدم به verb tampering توی verb tampering ما میتونیم متود های درخواست رو عوض کنیم و بعضی مواقع وب اپلیکیشن یکسری رفتار ها نشون میده که اینجا اینجوری بود و ما میتونستین بدون هیچ دردسری و هیچ encoding ای xss کنیم به صورت post اما خب نمیشد که توی برپ چک کرد دیگه پس یه js مینویسیم تا بتونیم xss رو اجرا کنیم البته چون که توی درخواست باید حتما x-token باشه نمیتونیم توی وبسایت یا جای دیگه poc رو هاست کنیم پس مجبوریم توی خوده console مرورگر تستش کنیم

javanoscript:(function(){
  var w = window.open();
  fetch('/xss/lab/?magickey=hg%22%3Cimg%20src%3Dx%20onerror%3Dalert(origin)%3E',{
    method:'POST',
    credentials:'include',
    headers:{
      'Content-Type':'application/x-www-form-urlencoded',
      'X-TOKEN':'1asdalmsdmk1123odfvasd@sdawqeqwe1'
    },
    body:'magickey='+encodeURIComponent('hg"<img src=x onerror=alert(origin)>')
  })
  .then(r=>r.text())
  .then(t=>{
    w.document.open();
    w.document.write(t);
    w.document.close();
  })
  .catch(e=>w.document.write('Error: '+e));
})();

این کد یه popup باز میکنه و ما رو هدایت میکنه سمته xss


چه درس هایی میگیریم از این ctf?

همیشه github اون کمپانی رو بخونید بعضی از مواقع دولوپر ها یادشون میره اطلاعات مهمی رو که اونجا قرار دادن پاک کنن یا حتا پاک میکنن اما commit اون دیتا ها میمونه

Verb tampering
خیلی میتونه کمک بکنه توی مخصوصا xss و حتا باگ های دیگه چون باعث میشه که وب اپلیکیشن رفتاری رو نشون بده که واسش برنامه ریزی نشده باشه


هروقت که دیدیم cms یا تکنولوژی که اون اپلیکیشن داره چیزی مثله jango هستش که قابلیت debug داره حتما استفاده بکنیم یا میتونیم با درست کردن error توی برنامه یکسری debug هایی که خوده دولوپر درست کرده تا به خودش توی برنامه نویسی کمک کنه رو پیدا کنیم مثلا توی اپلودر ها با اضافه کردن:

Hiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii.pharrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrre

مقدار زیادی حروف بتونیم debug مود رو پیدا کنیم و مسر کامل اپلود رو فاش کنیم

اینا رو بچه هایی که حل کردند نوشتند حتما بخونید نکات خوبی داره

چالش های بعدی حتما با طعم Red Team خواهد بود شامل علوم ریورس ، رمزنگاری ، مهندسی اجتماعی ، اکسپلویت آسیب پذیری های وب و… خواهد بود و احتمالا باید گروهی از پسش بربیایید✌️

Black Hat USA 2025:

⭐️ @ZeroSec_team

https://github.com/yeyintminthuhtut/Awesome-Red-Teaming

⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 74 new items
🔹 HACKERONE: 22 new items
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

https://portswigger.net/research/http1-must-die

⭐️ @Zerosec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 74 new items
🔹 HACKERONE: 71 new items
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team