سلام شبتون بخیر ؛ بچه ها من تسلیت میگم بابت اتفاقاتی که افتاده امیدوارم خدا به مادرایی جوانهایی که برای وطنمون پر پر شدن صبر بده…
طبق تصمیم شخصی ای که گرفتم تا چند روز دیگه تا وقتی که چهلم این عزیزان نگذره و وضع اینترنت درست نشه به شخصه فعالیت علمی در کانال نخواهم داشت حتی دوتا چلنج دیگه هم درست شده بود ولی واقعا فعلا شرایط و شور و نشاط لازمه رو برای انجام دادن این کارها ندارم
صدای دوستانمون اقای سوزنگر و اقای صیرفی هم باشیم امیدوارم هر چه زودتر به آغوش خانواده هاشون برگردند🙏
طبق تصمیم شخصی ای که گرفتم تا چند روز دیگه تا وقتی که چهلم این عزیزان نگذره و وضع اینترنت درست نشه به شخصه فعالیت علمی در کانال نخواهم داشت حتی دوتا چلنج دیگه هم درست شده بود ولی واقعا فعلا شرایط و شور و نشاط لازمه رو برای انجام دادن این کارها ندارم
صدای دوستانمون اقای سوزنگر و اقای صیرفی هم باشیم امیدوارم هر چه زودتر به آغوش خانواده هاشون برگردند🙏
❤17❤🔥4
Reza Mohamadzade
سلام شبتون بخیر ؛ بچه ها من تسلیت میگم بابت اتفاقاتی که افتاده امیدوارم خدا به مادرایی جوانهایی که برای وطنمون پر پر شدن صبر بده… طبق تصمیم شخصی ای که گرفتم تا چند روز دیگه تا وقتی که چهلم این عزیزان نگذره و وضع اینترنت درست نشه به شخصه فعالیت علمی در کانال…
اون دوتا عزیزی که پیوی من دارند بی احترامی میکنن من جوابتونو اینجا میدم هیچ اشکالی نداره اگر فکر میکنید اینطوری تخلیه میشید و من مقصر هستم و مطابق میل شما صحبت نکردم من مشکلی ندارم به من بی احترامی کنید من حتی ازتون هم میگذرم و حتی ذره ای به دل نمیگیرم و امیدوارم خداوند هم به زودی دل هاتونو سراسر پر از نور و محبت کنه🙏
❤🔥22
این پروژه به زحمت بچه های فنی ایرانی بعد از 1401 و محدودیت هایی که با ورود فیلترینگ چینی شروع شد، آماده شده. میتونید کانفیگ های خودتون رو با IP های تمیز روی Cloudflare به صورت Camouflage بزنید و کانفیگ رو زنده کنید. شاید به دردتون بخوره.
https://cloudflare-v2ray.vercel.app
⭐️ @RadvanSec
https://cloudflare-v2ray.vercel.app
⭐️ @RadvanSec
🙏11👏2👍1
استخدام #frontend_developer
به یک فرانت اند دولوپر حرفه ای مسلط به ریکت و تایپ اسکریپت نیازمندیم که تجربه کافی در توسعه SPA معماری کامپوننت محور مدیریت state با ابزارهایی مانند Redux یا React Query و پیاده سازی رابط های کاربری مقیاس پذیر داشته باشد آشنایی با اصول performance optimization مفاهیم clean code تست نویسی کار با REST API و همکاری نزدیک با تیم بک اند از الزامات این موقعیت است توانایی تحلیل نیازمندی ها و مشارکت فنی در تصمیم گیری های محصول اهمیت بالایی دارد
ارسال رزومه :
r.mhmmdzde@gmail.com
@nexovir
به یک فرانت اند دولوپر حرفه ای مسلط به ریکت و تایپ اسکریپت نیازمندیم که تجربه کافی در توسعه SPA معماری کامپوننت محور مدیریت state با ابزارهایی مانند Redux یا React Query و پیاده سازی رابط های کاربری مقیاس پذیر داشته باشد آشنایی با اصول performance optimization مفاهیم clean code تست نویسی کار با REST API و همکاری نزدیک با تیم بک اند از الزامات این موقعیت است توانایی تحلیل نیازمندی ها و مشارکت فنی در تصمیم گیری های محصول اهمیت بالایی دارد
ارسال رزومه :
r.mhmmdzde@gmail.com
@nexovir
❤4
استخدام طراح UI UX
به یک طراح UI UX با نگاه محصول محور و درک عمیق از رفتار کاربر نیازمندیم که مسلط به فرآیندهای user research طراحی wireframe prototype و design system باشد آشنایی کامل با اصول usability accessibility و طراحی تجربه کاربری یکپارچه الزامی است تسلط به ابزارهایی مانند Figma و توانایی مستندسازی و تعامل مؤثر با تیم فنی برای تبدیل طراحی به محصول نهایی مورد انتظار است
ارسال رزومه :
r.mhmmdzde@gmail.com
@nexovir
به یک طراح UI UX با نگاه محصول محور و درک عمیق از رفتار کاربر نیازمندیم که مسلط به فرآیندهای user research طراحی wireframe prototype و design system باشد آشنایی کامل با اصول usability accessibility و طراحی تجربه کاربری یکپارچه الزامی است تسلط به ابزارهایی مانند Figma و توانایی مستندسازی و تعامل مؤثر با تیم فنی برای تبدیل طراحی به محصول نهایی مورد انتظار است
ارسال رزومه :
r.mhmmdzde@gmail.com
@nexovir
❤5
سلام بچه های dns پایدار چیزی دارین بفرستین بزاریم کانال بقیه استفاده کنن
❤1👍1
پاسخ وزارت ارتباطات به درخواست افشای اطلاعات مافیای فیلترشکن: اسرار دولتی است!
خبرنگار پایگاه خبری «رویداد ۲۴»، در سامانه دسترسی آزاد به اطلاعات، درخواستی به این شرح از وزارت ارتباطات ثبت کرده بود: «معرفی فروشندگان عمده فیلترشکن، شفافسازی درباره نحوه درگاههای پرداخت این شبکه و مشخص کردن گردش مالی این افراد». ثبت درخواست اما منجر به افشای این اطلاعات نشد.
«امیر خسروی»، رئیس مرکز بازرسی وزارت ارتباطات در پاسخ به این درخواست، نوشت: «امور مربوط به فیلترینگ و سیمکارت سفید مربوط به کارگروه مصادیق محتوای مجرمانه است و وزارت ارتباطات یکی از اعضای کارگروه است. ضمن اینکه به دلایل امنیتی مطابق ماده ۱۳ قانون انتشار آزاد اطلاعات افشای اسرار دولتی ممنوع است.»
⭐️ @RadvanSec
خبرنگار پایگاه خبری «رویداد ۲۴»، در سامانه دسترسی آزاد به اطلاعات، درخواستی به این شرح از وزارت ارتباطات ثبت کرده بود: «معرفی فروشندگان عمده فیلترشکن، شفافسازی درباره نحوه درگاههای پرداخت این شبکه و مشخص کردن گردش مالی این افراد». ثبت درخواست اما منجر به افشای این اطلاعات نشد.
«امیر خسروی»، رئیس مرکز بازرسی وزارت ارتباطات در پاسخ به این درخواست، نوشت: «امور مربوط به فیلترینگ و سیمکارت سفید مربوط به کارگروه مصادیق محتوای مجرمانه است و وزارت ارتباطات یکی از اعضای کارگروه است. ضمن اینکه به دلایل امنیتی مطابق ماده ۱۳ قانون انتشار آزاد اطلاعات افشای اسرار دولتی ممنوع است.»
⭐️ @RadvanSec
🤣8❤3
HTTP_Processing_Discrepancy_Attacks.pdf
1 MB
#Research
#WebApp_Security
#Red_Team_Tactics
"HTTP Request Synchronization Defeats Discrepancy Attacks", 2025.
]-> Repo
See also:
]-> HTTP Request Smuggling: The Silent Protocol Desync Attack
⭐️ @RadvanSec
#WebApp_Security
#Red_Team_Tactics
"HTTP Request Synchronization Defeats Discrepancy Attacks", 2025.
]-> Repo
See also:
]-> HTTP Request Smuggling: The Silent Protocol Desync Attack
⭐️ @RadvanSec
❤6
اینترنت ازاد
این کانفیگ که امشب میزارم خفن ترین کانفیگی که تو چنل بوده پخت پز سنگین
سلام از بچه هایی که تو کانال من هستن یا شاگردم بودن حداقل انتظار دارم از کانفیگ های الوده این کانال استفاده نکنن و بتونن خودشون درست کنن دیگه خود دانید!!!
هیچ چیز خوبی رو مجانی به شما نمیدن خیالتون راحت
هیچ چیز خوبی رو مجانی به شما نمیدن خیالتون راحت
❤4👍3
Forwarded from Cloudbaaz
devops.pdf
819.4 KB
سلام رفقا👋
یک سری سوالات مصاحبه ای استخدامی devops که میتونه نکات خوبی رو بهتون در خصوص job denoscription و مواردی که نیاز به تمرین بیشتری روشون دارید رو ارائه بده👌
از طرفی به نظرم چلنج خوبیم هست فرصت کردید بررسیش کنید❤️
#devops
یک سری سوالات مصاحبه ای استخدامی devops که میتونه نکات خوبی رو بهتون در خصوص job denoscription و مواردی که نیاز به تمرین بیشتری روشون دارید رو ارائه بده👌
از طرفی به نظرم چلنج خوبیم هست فرصت کردید بررسیش کنید❤️
#devops
❤4
سلام و عرض ادب خدمت دوستان و همراهان گرامی
چنانچه در این ایام فعالیت جدی یا مستمری در کانال مشاهده نمیکنید، به این دلیل است که در حال سپری کردن روزهای منتهی به چهلم عزیزان از دسترفته مان هستیم و طبیعتاً در این شرایط، تمرکز و امکان فعالیت مانند گذشته فراهم نیست
از صبوری، همراهی و درک عمیق شما صمیمانه سپاسگزاریم و قدردان حضورتان در کنار ما هستیم. به امیدخدا پس از این ایام، فعالیت ها با نظم و جدیت بیشتری از سر گرفته خواهد شد.
با احترام و آرزوی سلامتی برای همه شما
چنانچه در این ایام فعالیت جدی یا مستمری در کانال مشاهده نمیکنید، به این دلیل است که در حال سپری کردن روزهای منتهی به چهلم عزیزان از دسترفته مان هستیم و طبیعتاً در این شرایط، تمرکز و امکان فعالیت مانند گذشته فراهم نیست
از صبوری، همراهی و درک عمیق شما صمیمانه سپاسگزاریم و قدردان حضورتان در کنار ما هستیم. به امیدخدا پس از این ایام، فعالیت ها با نظم و جدیت بیشتری از سر گرفته خواهد شد.
با احترام و آرزوی سلامتی برای همه شما
❤11👍2
Forwarded from Hack Hive
رایج ترین آسیب روی ldap میتونه ldap injection باشه که حسابی میشه راجبش بحث کنیم👀
به چه دردی میخوره؟
از یه سمت میتونید سیستم احراز هویت رو دور بزنید و سطح دسترسی خودتون رو ارتقا بدید یعنی یه جورایی بتونید توی ad خودتون رو ادمین کنید🤷🏻♀️
دیگه تهشه!
نحوه اجراش عین همون sqli با این تفاوت که اونجا دستور رو وارد sql میکنیم و میتونیم درخواست های به سمت پایگاه داده رو دستکاری کرد اما اینجا دیگه هدف پایگاه داده نیست و هدف ما اینجا دایرکتوری ها هست!
حالا یه پرس و جوی عادی شبیه شکل زیر:
حالا علائم مهمش چیاست؟
پرانتز برای گروه بندی ها
علامت * به عنوان wildcard
علامت & به عنوان and
علامت | به عنوان or
علامت ! به عنوان not یا منفی کننده
علامت = برای مقایسه
استفاده می شن👀
حالا مهم ترین مکانیزم رو میخوایم اینجا دور بزنیم اونم احراز هویت هستش مثلا فرض کنید:
اگر admin)(& مقدار رو به عنوان اسم وارد کنیم رمز عبور اهمیت نداره و میتونیم این مورد رو دور بزنیم🔪
سرور LDAP فقط اولین فیلتر کامل (&(uid=admin) (&) رو پردازش میکنه که همیشه به دلیل وجود کاربر "admin-min" مقدار درست رو میده. بررسی رمز عبور کاملاً دور زده میشه و به مهاجم دسترسی غیرمجاز و بدون اعتبارنامه معتبر میده
حالا چطوری دسترسی خودمون رو بالا تر ببریم؟
یا میتونیم خودمون رو عضو گروهی کنیم که دسترسی بالا تر داره
یا حتی تو بخش تنظیم مجدد رمز عبور این کارو انجام بدیم و این آسیب حتی میتونیم بسیاری از ساختار های ad رو خوب درک کنیم و پیدا کنیم👾
اگر دوست داشتید بیشتر راجب این آسیب پذیری بخونید این لینک کمکتون میکنه و برای تمرین اگر عمری باشه ویدئو براتون ضبط میکنم تا درکش براتون ساده تر باشه:)
@hackhive_channel🐝
به چه دردی میخوره؟
از یه سمت میتونید سیستم احراز هویت رو دور بزنید و سطح دسترسی خودتون رو ارتقا بدید یعنی یه جورایی بتونید توی ad خودتون رو ادمین کنید🤷🏻♀️
دیگه تهشه!
نحوه اجراش عین همون sqli با این تفاوت که اونجا دستور رو وارد sql میکنیم و میتونیم درخواست های به سمت پایگاه داده رو دستکاری کرد اما اینجا دیگه هدف پایگاه داده نیست و هدف ما اینجا دایرکتوری ها هست!
حالا یه پرس و جوی عادی شبیه شکل زیر:
(&(uid=username)(password=userpassword))
حالا علائم مهمش چیاست؟
پرانتز برای گروه بندی ها
علامت * به عنوان wildcard
علامت & به عنوان and
علامت | به عنوان or
علامت ! به عنوان not یا منفی کننده
علامت = برای مقایسه
استفاده می شن👀
حالا مهم ترین مکانیزم رو میخوایم اینجا دور بزنیم اونم احراز هویت هستش مثلا فرض کنید:
String filter = "(&(uid="+ username + ")(password="+password + "))";
اگر admin)(& مقدار رو به عنوان اسم وارد کنیم رمز عبور اهمیت نداره و میتونیم این مورد رو دور بزنیم🔪
سرور LDAP فقط اولین فیلتر کامل (&(uid=admin) (&) رو پردازش میکنه که همیشه به دلیل وجود کاربر "admin-min" مقدار درست رو میده. بررسی رمز عبور کاملاً دور زده میشه و به مهاجم دسترسی غیرمجاز و بدون اعتبارنامه معتبر میده
حالا چطوری دسترسی خودمون رو بالا تر ببریم؟
یا میتونیم خودمون رو عضو گروهی کنیم که دسترسی بالا تر داره
یا حتی تو بخش تنظیم مجدد رمز عبور این کارو انجام بدیم و این آسیب حتی میتونیم بسیاری از ساختار های ad رو خوب درک کنیم و پیدا کنیم👾
اگر دوست داشتید بیشتر راجب این آسیب پذیری بخونید این لینک کمکتون میکنه و برای تمرین اگر عمری باشه ویدئو براتون ضبط میکنم تا درکش براتون ساده تر باشه:)
@hackhive_channel🐝
Medium
LDAP Injection: The Forgotten Injection Attack on Enterprise Authentication 🏢
IT
❤5🤣4👍1
high severity vulnerability 🔥
Low-priv got 401 on versioned endpoint. Removing v2 bypassed auth and exposed sensitive identity images.
Normal: /omni/get/images/v2 (401)
Bypass: /omni/get/images (succeeds)
#bugbountytips #BugBounty #RadvanSec
⭐️ @RadvanSec
Low-priv got 401 on versioned endpoint. Removing v2 bypassed auth and exposed sensitive identity images.
Normal: /omni/get/images/v2 (401)
Bypass: /omni/get/images (succeeds)
#bugbountytips #BugBounty #RadvanSec
⭐️ @RadvanSec
❤3👍2🔥1
Sin0x001
high severity vulnerability 🔥 Low-priv got 401 on versioned endpoint. Removing v2 bypassed auth and exposed sensitive identity images. Normal: /omni/get/images/v2 (401) Bypass: /omni/get/images (succeeds) #bugbountytips #BugBounty #RadvanSec ⭐️ @RadvanSec
this issue may stem from inconsitencies between the web server and the application layer in many architectures , versioned endpoints are routed through different middlewares , upsream services, or security policies compared to legacy or unversioned routes
if AUTHENTICATION or AUTHORIZATION controls are applied only to the newer versioned endpoint but not CONSISTENTLY enforced at a centralized layer , OLDER ROUTES MAY REMAIN EXPOSED
if AUTHENTICATION or AUTHORIZATION controls are applied only to the newer versioned endpoint but not CONSISTENTLY enforced at a centralized layer , OLDER ROUTES MAY REMAIN EXPOSED
❤3👍1
Sin0x001
CVE-2026-25639 Axios Trigger DoS and Crash Node.js Servers. ⭐️ @RadvanSec
this vulnerability in the axios library is caused by improper handling of the special
Proof of Concept (PoC) :
https://github.com/axios/axios/security/advisories/GHSA-43fc-jf86-j433
proto key inside the mergeConfig function if user controlled input contains this key and is passed directly to axios , an incorrect merg function is selected during configuration processing instead of valid function, a regular object is returned whne the code attempts to call that object as a function a TypeError is thrown this result in a SERVER CRASH, allowing a remote attacker to trigger as Denial of Service (DoS)Proof of Concept (PoC) :
https://github.com/axios/axios/security/advisories/GHSA-43fc-jf86-j433
GitHub
Denial of Service via __proto__ Key in mergeConfig
# Denial of Service via **proto** Key in mergeConfig
### Summary
The `mergeConfig` function in axios crashes with a TypeError when processing configuration objects containing `__proto__` as a...
### Summary
The `mergeConfig` function in axios crashes with a TypeError when processing configuration objects containing `__proto__` as a...
❤2👍1🔥1