#tools
#WebApp_Security
#Offensive_security
DEF CON 33:
"The DOMino Effect:
Automated Detection and Exploitation of DOM Clobbering Vulnerability at Scale".

]-> dynamic analysis tool to detect/exploit DOMC vulns
]-> Dataset: DOMC Gadgets Collection
]-> Research (.pdf)

// .. first dynamic analysis framework to automatically detect and exploit DOM Clobbering gadgets. Key insight is to model attacker-controlled HTML markups as Symbolic DOM - a formalized representation to define and solve DOM-related constraints with in the gadgets - so that it can be used to generate exploit HTML markups

⭐️ @Zerosec_team

سلام بچه ها یکی از دوستاتون موفق به حل چالش شد فقط دقت کردم که تو vmware لینکشو باز کردم😂 چون انتظار داشتم از exploit web برسه به دسترسی
کلا از نگرش و رویکردش خیلی خوشم اومد 👌
واقعا چالش سختی نیست این بیسیک ترین راه برای گرفتن initial access هست

⭐️ @Zerosec_team

نفوذ، با یه کپی پیست! یکی از جذاب ترین روش ها برای نفوذ🔥

اول توضیحات اینستاگرام رو برا شروع قشنگ ببین که اماده بشی برا اتفاقی که قراره ببینی:

https://www.instagram.com/reel/DNTeOb2iKIO/?igsh=bm1wb253dzUwNDl5

در این ویدئو، به این موضوع پرداختیم که چجور مهاجمین در سایت های مختلف، تنها با کپی کردن یک متن از سمت شما میتونن از شما دسترسی بگیرن و بدافزار و کد مخرب خودشون رو تذریق کنن!


لینک مستقیم ویدئو: https://youtu.be/zBFAjBbLs2Y

چنل یوتیوب: @PentesterLand



#ردتیم #باگ_بانتی #امنیت #تست_نفوذ #شبکه

📊 Watcher Summary Report

🔹 BUGCROWD: 9 new items
🔹 HACKERONE: 13 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

🚀 JavaScript Snippet for Extracting JS File URLs from Any Webpage

Ever wanted to quickly extract all JS file URLs loaded on a page? Here's a neat bookmarklet you can use:

🔹 Paste it in your browser's address bar as a bookmark.
🔹 It scans the page and prints all JS file URLs.
🔹 Super handy for web research, bug bounty, or pentesting.


🚀 Snippet جاوااسکریپت برای استخراج آدرس تمام فایل‌های JS یک صفحه

تا حالا خواستی سریع همه لینک ‌های فایل‌ های جاوااسکریپت لود شده روی یک صفحه رو پیدا کنی؟ این کارت رو راه می ‌اندازه:

🔹 کافیه به ‌عنوان بوکمارک تو مرورگرت ذخیره کنی و اجراش کنی.
🔹 صفحه رو اسکن می‌کنه و همه آدرس‌ های فایل‌ های JS رو چاپ می‌کنه.
🔹 عالی برای باگ بانتی یا پنتست.

jjavanoscript:(function(){var noscripts=document.getElementsByTagName("noscript"),regex=/(?<=["'`])\/[a-zA-Z0-9?_=&\/\-#\.]*(?=["'`])/g;const results=new Set;for(var i=0;i<noscripts.length;i++){var t=noscripts[i].src;""!==t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred: ",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})();

⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 9 new items
🔹 HACKERONE: 57 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 58 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 58 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

https://www.vaadata.com/blog/graphql-api-vulnerabilities-common-attacks-and-security-tips/

⭐️ @Zerosec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 59 new items
🔹 INTIGRITI: 11 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 60 new items
🔹 INTIGRITI: 11 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 10 new items
🔹 HACKERONE: 60 new items
🔹 INTIGRITI: 11 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

بدون شرح ...
⭐️ @Zerosec_team

go to https://nexovir.ir -> read js files -> login-endpoint (with manipulate path) -> XSS from login page -> find admin email -> use webapp to send email to admin email (Becaus Admin just open Trusted Email) -> use HTML injection (Basic) for create phishing -> steal Cookie -> login admin panel to access /admin path (403 -> 200) -> FUZZ path -> FUZZ parameter -> RCE -> exfiltration  /etc/passwd (POC)

The challenge isn’t over yet go ahead, do this, and solve it.

⭐️ @Zerosec_team

Some tips I wanted to share for this challenge:

1 - Always read the JS files carefully and don’t skip, even if the JS files are obfuscated

2 - Always use your hacker mindset and don’t look for low-hanging fruit

3 - Recon is always your best Friend

4 - Don’t FUZZ blindly

5 - Most of the time, the answer is right in front of you, but you ignore it

6 - “Don’t overlook chaining vulnerabilities for maximum exploitation”🥇

7 - Pay attention to 500,403,… status codes too most hunters miss them

#BugBounty #RedTeam #XSS #RCE #Tip

⭐️ @Zerosec_team

حملهههههه

#Shodan #FreePlan

⭐️ @Zerosec_team

Challenge Time
سلام دوستان یه چالش اکانت تیک اور قشنگ آوردیم
هدف چالش اینه که یه لینک بفرستید به ادمین کلیک کنه و کوکی هاش فرستاده بشه به سایت اتکر
فاز نکنید کل چالش تو همین صفحه هستش

راه حل هاتونو پی وی بفرستید
@arlrouh

https://rouhbakhsh.xyz/index2.php

سطح چالش: سخت

طبق گزارش هایی که بهمون رسیده Bugcrowd شدیدا داره اسکم میکنه
به چالش تحریم Bugcrowd بپیوندید

#تحریم_باگکراد #باگ_بانتی #هکروان #هک #تحریم_باگکراد_مطالبه_ملی

⭐️ @ZeroSec_team

تهدید عجیب مدیرعامل ایرانسل: اگر اینترنت ۷۰ درصد گران نشود، روزی ۳ ساعت قطعی اینترنت خواهیم داشت.

همینطوری برق میره روزی سه ساعت بی اینترنتیم شما ها دیگه از کجا اومدید😡😡

⭐️ @ZeroSec_team

For Developers: How to Prevent Timing Attacks on Login

A common attack used by hackers is a timing attack or username enumeration:
By comparing server response times, they can figure out whether a username exists or not.

🔹 Why Response Time Differs

Invalid username → server responds quickly

Valid username but wrong password → server has to check the password → takes longer

🔹 Defense Strategies

1️⃣ Uniform Response Time

Even if the username doesn’t exist, perform a dummy password check so the response time is consistent.

2️⃣ Uniform Error Message

Always return: Invalid username or password

Don’t reveal whether it’s the username or password that’s wrong.

3️⃣ Rate Limiting / Brute-force Protection

After a few failed attempts, slow down requests (throttling) or block access.

Goal: prevent hackers from guessing passwords with thousands or millions of attempts.

💡 Important: To prevent attackers from bypassing limits (e.g., changing IP or spoofing X-Forwarded-For), developers should:

Apply rate limiting per username and per IP separately

Even if the attacker changes IP, the same username is still limited.

Use randomized throttling

Add a slight random delay on failed attempts so attackers can’t measure response time precisely.

Monitoring & Alerting

Log unusual attempts (many logins on one user or from multiple IPs) and send alerts.

✅ With these measures, even if a hacker tries brute-forcing, the server will block them effectively.

4️⃣ Use MFA

Even if username and password are leaked, the second factor (OTP/TOTP) prevents intrusion.

5️⃣ Monitoring & Alerting

Log suspicious activity and alert admins.

🔹 Example in code:

$stored_hash = get_password_hash_or_dummy($username); 
password_verify($password, $stored_hash);
return "Invalid username or password”;

💡 Even if the username doesn’t exist, the password is checked → response time remains uniform
____________________________

برای برنامه نویس ها :‌

چطور از حملات Timing Attack روی لاگین جلوگیری کنیم؟

حمله ‌ای که هکرها ازش استفاده می‌کنن، timing attack یا username enumeration هست:
یعنی با مقایسه زمان پاسخ سرور، تشخیص می‌دن یوزرنیم درست هست یا نه!

🔹 چرا زمان پاسخ فرق می‌کنه؟

یوزرنیم غلط → سرور سریع جواب می‌ده

یوزرنیم درست ولی پسورد غلط → سرور باید پسورد رو چک کنه → زمان بیشتری می ‌بره

🔹 راه‌ های دفاع:

1️⃣ زمان پاسخ یکنواخت

حتی اگه یوزرنیم وجود نداره، یک عملیات ساختگی روی پسورد انجام بده تا زمان پاسخ ثابت بمونه.

2️⃣ پیام خطای یکنواخت

همیشه بگو: Invalid username or password

نه «یوزرنیم اشتباهه» و نه «پسورد اشتباهه»

3️⃣ Rate limiting / Brute-force protection

بعد از چند تلاش ناموفق، سرور باید یا درخواست‌ها رو کند کنه (throttling) یا کل دسترسی رو بلاک کنه.

هدف اینه که هکر نتونه با چند هزار یا میلیون تلاش، پسورد رو حدس بزنه.

💡 اما توجه: برای اینکه هکر نتونه این محدودیت‌ها رو دور بزنه (مثلاً با تغییر IP یا اسپوف کردن X-Forwarded-For)، برنامه ‌نویس ‌ها باید:

Rate limit روی یوزرنیم و IP جداگانه اعمال کنن

حتی اگه هکر IP عوض کنه، بعد از چند تلاش روی همان یوزرنیم محدود می‌شه.

Throttling تصادفی

هر پاسخ ناموفق کمی زمانبر باشه و مقدار تاخیر کمی تصادفی باشه تا هکر نتونه زمانبندی حمله رو محاسبه کنه.

Monitoring و Alerting

تلاش‌های غی رمعمول (تعداد زیاد لاگین روی یک یوزر یا از چند IP مختلف) رو لاگ کن و هشدار بده.

✅ با این روش‌ها، حتی اگر هکر بخواد brute-force کنه، سرور جلوی اون رو می‌گیره و حمله بی‌اثر می‌شه.

4️⃣ استفاده از MFA

حتی اگه یوزرنیم و پسورد لو رفت، مرحله دوم (OTP یا TOTP) جلوی نفوذ رو می ‌گیره

5️⃣ Monitoring و Alerting

تلاش‌های مشکوک رو لاگ کن و هشدار بده

🔹 مثال عملی در کد:

$stored_hash = get_password_hash_or_dummy($username); 
password_verify($password, $stored_hash);
return "Invalid username or password”;

‍‍‍‍‍
💡 حتی اگه یوزرنیم وجود نداشته باشه، پسورد چک می‌شه → زمان پاسخ یکنواخت می‌ مونه

#DNS_Bruteforce #Authentication

⭐️ @ZeroSec_team

🔥 Common Mistakes Developers Make 🔥

1️⃣ Rate Limit Only on IP
Developers often limit only the IP, not the username.

💡 How to bypass: Change your IP (Tor) or use X-Forwarded-For spoofing to bypass the restriction.

2️⃣ Different Response Times
Wrong username → fast response
Correct username but wrong password → slower response

💡 How to use: Analyze response times to find valid usernames (timing attack).

3️⃣ Different Error Messages
For example: “Username not found” or “Wrong password”

💡 How to use: Perform username enumeration by observing error messages.

4️⃣ Fixed Throttling
Fixed delay after failed attempts

💡 How to bypass: Makes brute-force or timing attacks easier to calculate.

5️⃣ Rate Limit in Temporary Cache
After server restart, limits are reset

💡 How to use: Can attempt unlimited login tries without restriction.

6️⃣ No Monitoring
Suspicious login attempts are not logged

💡 How to use: Can brute-force or enumerate using multiple IPs or usernames without triggering alerts.

💡 Summary for Hackers:

Check response times

Analyze error messages

Bypass limits by changing IP or username

________________________________

🔥 اشتباهات رایج برنامه ‌نویس‌ها در پیاده سازی صفحه احراز هویت🔥

1️⃣ Rate Limit فقط روی IP

برنامه ‌نویس‌ها فقط IP رو محدود می‌کنن، نه username.

💡 چطور دور بزنیم: با تغییر (Tor) IP یا X-Forwarded-For spoofing، محدودیت رو دور میزنیم.

2️⃣ تایم پاسخ متفاوت

یوزرنیم غلط → سریع جواب

یوزرنیم درست ولی پسورد غلط → طولانی ‌تر

💡 چطور استفاده کنیم: از response time می‌تونیم valid username پیدا کنیم (timing attack).

3️⃣ پیام خطای متفاوت

مثلا میگه: “Username not found” یا “Wrong password”

💡 چطور استفاده کنیم: username enumeration با مشاهده پیام خطا.

4️⃣ Throttling ثابت

تاخیر ثابت بعد از تلاش ناموفق

💡 چطور دور بزنیم: حمله timing attack یا محاسبه سرعت brute-force راحت‌تر میشه.

5️⃣ Rate limit در کش موقت

بعد از ریستارت سرور محدودیت‌ها پاک میشن

💡 چطور استفاده کنیم: میشه بدون محدودیت تعداد زیادی تلاش کرد.

6️⃣ عدم مانیتورینگ

تلاش‌های مشکوک لاگ نمیشن

💡 چطور استفاده کنیم: میشه با چند IP یا چند یوزر، brute-force یا enumeration انجام داد بدون هشدار.

💡 جمع‌بندی برای هکرها:

به response time نگاه کنید

پیام خطاها رو تحلیل کنید

محدودیت‌ها رو با تغییر IP یا username دور بزنید

#Developer_Mistakes #IP #BruteForce #Bypass

⭐️ @ZeroSec_team