چنل برسه 20k رایتاپ با لهجه لری ضبط می کنم

حتی ما هم لبخند زدیم😆

#Fun

⭐️ @ZeroSec_team

یه جوری دلار داره میره بالا هر لحظه اشتیاق پیدا میکنم باگ هانتر بشم😐

⭐️ @ZeroSec_team

ببینید CEH به خودی خود شاید محتوای دوره ای لازمی نداشته باشه اما بنظر من کسی که میخواد از صفر شروع کنه و هیچ پیش زمینه و ذهنیتی درمورد امنیت نداره بنظرم خوبه و میتونه دید خوبی به امنیت بده و ذهنیت شمارو تو هک و امنیت به طرز قابل قبولی بالا ببره
پس زیادی سخت نگیرید و نسبت به هیچ دوره ای گارد نداشته باشید و دائم در حال یادگیری در مسیر درست باشید👌

📊 Watcher Summary Report

🔹 BUGCROWD: 0 new item
🔹 HACKERONE: 12 new items
🔹 INTIGRITI: 0 new item
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

وب اسمبلی (Wasm) چیه؟

یه فرمت باینریه که کدهای مثل C++ و Rust رو میشه داخل مرورگر یا سرور خیلی سریع اجرا کرد.

چرا برای Red Team جالبه؟

سریع و سبک → کارایی بیشتر از JS

سخت آنالیز میشه → برای مخفی‌سازی خوبه

زیر رادار میره → بیشتر ابزارهای امنیتی دنبال JS هستن، نه Wasm

کاربرد رد تیم:

اجرای payload سنگین داخل مرورگر

مخفی‌سازی بدافزار یا keylogger

دور زدن detection و signatureها

استفاده در فیشینگ یا dropper

⭐️ @ZeroSec_team

🕹 یک مینی‌چالش جدید داریم!

این مدت احتمالاً دیدین که بعضی دیتاهای یه ربات تلگرام لیک شده.
اما این یعنی تلگرام آسیب‌پذیره؟
(فکررررررر نکنمممم 😏)

برای همین یک شبیه‌سازی ساختیم تا خودتون ببینید دیتا‌هایی که از ربات‌ها لیک می‌شن به چه صورت به دست میان.

یک ربات مخصوص رای‌گیری ساختیم:

@HML_Simulation_BOT

تو این ربات سه شخصیت برای رأی‌گیری آماده هستن:

🦆 DuckMen
🐺 Wolfy
👴 Just a random old man

می‌تونید هر چند بار که بخواید رأی بدید.
ولی این همه ماجرا نیست…

⚠️ یه آسیب‌پذیری توی سیستم رأی‌گیری قایم شده که می‌تونه لیست ادمین‌ها رو لو می‌ده.
ما نمی‌دونیم دقیقاً چجوری ادمین‌هامون لو میرن، اما اولین نفری که آسیب‌پذیری رو پیدا کنه و گزارش بده، رایت‌آپش به اسم خودش داخل سایت و کانال منتشر .

@HackMeLocal

#BugBounty #TelegramBot #Vulnrability #CTF #HackMeLocal

#معرفی_ابزار

ابزار vulnerability scanning برای وبسایت‌ها (مثل پیدا کردن باگ‌های XSS SSRF و OWASP Top 10) که رایگان حرفه‌ای و با دقت باشن محدودن اما یکی از بهترین گزینه‌ها

Pentest-Tools.com Website
همینه

آدرس سایت ابزار:
https://pentest-tools.com/website-vulnerability-scanning/website-scanner

ثبت‌نام: به سایت برید و با ایمیل رایگان ثبت‌نام کنید (بدون نیاز به پرداخت برای اسکن light)
وارد کردن آدرس سایت: در داشبورد، گزینه "Website Scanner" رو انتخاب کنید آدرس سایت (مثل example.com) رو وارد کنید. می‌تونید authenticated scan (با لاگین) یا unauthenticated انتخاب کنید.
شروع اسکن: اسکن light رایگان رو بزنید ابزار سایت رو crawl می‌کنه پورت‌ها و APIها رو چک می‌کنه، و باگ‌ها رو با evidence اسکرین‌شات HTTP requests پیدا می‌کنه.
گزارش: بعد از اسکن (معمولاً ۱۰-۳۰ دقیقه) گزارش PDF/HTML با جزئیات باگ‌ها severity (CVSS)، و توصیه‌های remediation می‌گیرید. برای اسکن کامل‌تر (۷۵+ باگ)، می‌تونید trial ۱۴ روزه بگیرید.

نکات حرفه‌ای:
از ML classifier برای کاهش false positives استفاده کنید (جدید در ۲۰۲۵)
با CI/CD integrate کنید برای اسکن خودکار.

همیشه authenticated scan رو برای سایت‌های لاگین‌دار امتحان کنید تا باگ‌های عمیق‌تر پیدا بشه

بیش از ۱۰,۰۰۰ CVE رو هم پوشش می‌ده از جمله Log4Shell و Citrix Bleed. اگر سایت بزرگی داری، false positives رو دستی verify کن.

⭐️ @ZeroSec_team

برای مبتدی ها از صفر شروع می‌کنه و روی penetration testing وب تمرکز داره

"Ethical Hacking 101: Web App Penetration Testing"
و قدم به قدم توضیح
می‌ده چطور آسیب‌پذیری‌ها رو پیدا و تست کنی

اگر می‌خوای دوره کامل‌تری داشته باشی ویدیو "Ethical Hacking in 12 Hours - Full Course"
https://youtu.be/fNzpcB7ODxQ?si=LMjCuFdIqFIspSGG


⭐️ @ZeroSec_team

🔥 Red Team vs Bug Bounty: Clash or Collaboration?
⚡ 3-Min Quick Guide!

🔥 رد تیم یا باگ بانتی: رقابت یا همکاری؟
⚡ راهنمای سریع ۳ دقیقه‌ای!

https://www.youtube.com/watch?v=fDeRAzU8IE0

از پیج یوتیوب ما حمایت کنید 💥

#RedTeam #BugBounty #Cybersecurity

⭐️ @ZeroSec_team

سلام دوستان عزیزم امیدوارم حالتون خوب باشه ;
هدف از پر کردن این ویدیو این بود که بهتون بگم تعصبات تو هر رشته ای میتونه چقدر رویکرد نادرستی باشه
سعی کنید هیچوقت تک بعدی فکر نکنید تا ذهنتون رو بسته نگه ندارید خیلی موقع ها هدف از گفتن اینکه outofbox فکر کنید همین هست که شما سعی کنید چالش هایی که پیش روی شما میاد رو از راه هایی که شاید به نظر خیلی براتون خنده دار میاد رو انجام بدید اگر این رویکرد رو داشته باشید حتما نتایج خوبی خواهید گرفت
بگذریم همونطور که گفتم هدف از این ویدیو این بود که بگم خیلی اوقات ما از تکنیک های Red Team میتونیم در Bug Bounty استفاده کنیم و یا حتی از تکنیک های Bug Bounty در فرایند Red Team پس هر دو حوزه در جهت اهداف مشترکشون که ارتقاء امنیت سایبری هست بهم کمک میکنند ! در کل زیاد سخت نگیرید سعی کنید در حوزه ای که فعالیت میکنید از هم یادبگیرید و بهم بیاموزید …

ممنونم که وقت گذاشتید🙏

Linkedin : https://www.linkedin.com/feed/update/urn:li:activity:7367186170457341952/

Youtube : https://www.youtube.com/@nexovir

Twitter : https://x.com/nexovir

⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 2 new items
🔹 HACKERONE: 116 new items
🔹 INTIGRITI: 10 new items
🔹 YESWEHACK: 0 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

🎯 CVE-2024-12877 Review – GiveWP goes unserialize()… Hello RCE! ⚡️🔥
Hello hackers, bug hunters, and curious minds! Welcome to Episode 66 of the GO-TO CVE series! 🎙💻

This week we’re cracking open a classic PHP Object Injection inside GiveWP, one of the most popular WordPress donation plugins. 🕳🐘

🔹 Week: 66
🔹 CVE: CVE-2024-12877
🔹 Type: PHP Object Injection
🔹 Target: GiveWP (WordPress Plugin)

📌 What’s the story?
GiveWP uses PHP’s notorious unserialize() on user input. That means attackers can drop in a crafted serialized payload, and PHP will happily invoke magic methods like __wakeup() — executing attacker-controlled logic without warning.

👾 What’s the impact?

Remote Code Execution (RCE) 🚀
Sensitive data theft (donors, users, configs) 🕵️‍♂️
Privilege escalation across WordPress 🔑
Full server compromise ☠️

💡 Lesson learned: Regex checks won’t save you. The real fix? Never unserialize untrusted input.

📬 Stay tuned with GO-TO CVE for a fresh bug every week:
👉 https://news.1rj.ru/str/GOTOCVE

#week_66

Easy …

⭐️ @ZeroSec_team

شرکت اسرائیلیDream Security فعال در زمینه هوش مصنوعی (AI) گزارش داده که هکرهایی ایرانی به مذاکرات دیپلماتیک در قاهره نفوذ کرده‌اند و این مذاکرات که با حضور رسمی‌هایی از مصر، ایالات متحده و قطر در حال برگزاری بود، هدف یک حمله سایبری قرار گرفته است.


نقطه شروع: هکرها از حساب ایمیل واقعی یکی از کارکنان سفارت عمان در پاریس سوء‌استفاده کردند و از آن حساب ایمیل‌هایی شبیه نامه‌های رسمی ارسال کردند.

گستره ارسال: این ایمیل‌ها حدود ۲۰۰ دریافت‌کننده را هدف قرار دادند — از جمله مقام‌های مصری حاضر در قاهره (و پاریس)، میانجی‌های آمریکایی و قطری و برخی نهادهای بین‌المللی.

ترفند فنی: متن‌ها پیوست‌های Word داشتند که در صورت باز شدن، بدافزار اجرا می‌کرد — توانایی‌هایی مانند خواندن مکاتبات، ضبط مکالمات/صداها و ارسال اطلاعات به سرورهای کنترل کننده (C2) را داشتند. هدفِ ظاهری عملیات جاسوسی و رصد مذاکرات بوده، نه لزوماً نابودی زیرساخت.

⭐️ @ZeroSec_team

#Playlist #Oldmoney #Music

⭐️ @ZeroSec_team

📊 Watcher Summary Report

🔹 BUGCROWD: 0 new item
🔹 HACKERONE: 16 new items
🔹 INTIGRITI: 5 new items
🔹 YESWEHACK: 1 new item
🔹 FEDERACY: 0 new item

🔗 Details: Click here

#zerosec #bugbounty #watcher #summary_report


⭐️ @ZeroSec_team

https://github.com/0xC01DF00D/Collabfiltrator

Exfiltrate blind Remote Code Execution and SQL injection output over DNS via Burp Collaborator

⭐️ @Zerosec_team

کنکور اسکمه باگ بزنید 👎

لایک کنید برسه دست سنجش