سلام من امیرعباسم و حدود 100 ساعت روی یدونه وب اپلیکیشن وقت گذاشتم و تونستم 7000 دلار بانتی بزنم، توی این بلاگ پست روش پیدا کردن باگ ها و ریکان و.. رو نوشتم امیدوارم که مفید باشه.🫶
https://blog.voorivex.team/7000-bounty-on-a-single-web-application
https://blog.voorivex.team/7000-bounty-on-a-single-web-application
Please open Telegram to view this post
VIEW IN TELEGRAM
مبین خیلی کارش درسته با امیررضا توی ۹ ماه ۲۷ هزار دلار بانتی زده، بعد کلی سوال راجع به کمالگرایی صحبت کردیم، اینکه مبین چطوری کنترلش کرده، در کل لایو جالبی بود پیشنهاد میشه 🔫
https://www.instagram.com/reel/CzJ1fCyiNcR/?igshid=MzRlODBiNWFlZA==
https://www.instagram.com/reel/CzJ1fCyiNcR/?igshid=MzRlODBiNWFlZA==
امشب رفتیم یکم JS خوندیم (خیلی مبتدی)، ضبط هم کردم گذاشتم برای بچههایی که تازه میخوان Pentester بشن امیدوارم مفید باشه
https://www.youtube.com/watch?v=ZAfzoxvrObU
https://www.youtube.com/watch?v=ZAfzoxvrObU
YouTube
بریم یکم جاوااسکریپت بخونیم
بریم یکم JS بخونیم با هم، منبع خوب: javanoscript.info
digMeMore
یه پیکار طراحی کردیم، بین نفراتی که بتونن پیکارو حل کنن قرعهکشی میکنیم و کتاب هدیه میدیم. فلگ رو توی سایت آکادمی میتونین ثبت کنین، آدرس پیکار توی عکس هست، آدرس آکادمی: voorivex.academy
پیکار قبلی خیلی فیدبک خوب داشتم، یکی دیگه طراحی کردم، بر اساس Real Attack طراحی شده. چقدر روی Reverse Proxyها کار کردیم؟ چقدر مقالات رو میخونیم و بروز هستیم؟ سعی کردم اینا رو به چالش بکشم. بین نفراتی که حل کنن = قرعهکشی و جایزه کتاب، گو گو گو
https://pgnix.voorivex.academy
https://pgnix.voorivex.academy
رایتآپ جدید مبین که چند تا آسیبپذیری رو با هم Chain کرده و رسیده به Acc Takeover پیشنهاد مطالعه:
https://memoryleaks.ir/combination-csrf-xss-jsonp-led-to-acc-takeover
https://memoryleaks.ir/combination-csrf-xss-jsonp-led-to-acc-takeover
مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
ترکیب آسیبپذیریهای CSRF, XSS, JSONP و در نهایت منجر شدن به Account Takeover - مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و…
خب اول از همه سلام مبین هستم، توی این بلاگ میخوام یکی از فلوهایی که طی کردم که ترکیب چندین آسیبپذیری باهم هستش و در نهایت منجر میشه به اون آسیبپذیری ای که من عاشقشم و اون چیزی نیست جز Account Takeover، در ادامه با من همراه باشید. از اون جایی که نمیتونم…
قسمت دوم «هر چی میخونم یادم میره»
https://youtu.be/MUjSTM_sACE?si=W3tftUsDSIb-n25Y
https://youtu.be/MUjSTM_sACE?si=W3tftUsDSIb-n25Y
بنظرم همه هانترا (مخصوصا تازه کارها) باید این رایتآپ جمال رو بخونن، چون فقط مطالب فنی رو نگفته، از چالشهاش گفته و اینکه چطوری یکی یکی هر کدوم رو پشت سر گذاشته، تجربههای جدیدش رو چطوری بدست اورده و در نهایت چطوری تونسته آسیبپذیری کشف کنه، شدیدا پیشنهاد میشه بخونین 👏🏻🔫
https://memoryleaks.ir/my-first-thousand/
https://memoryleaks.ir/my-first-thousand/
مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
اولین هزار دلارم رو تو هانت چطوری بدست اوردم؟ - مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
سلام, من جمالم و میخوام براتون مسیری که طی کردم تا به اولین هزار دلار توی باگ بانتی برسم بنویسم. توی این رایتاپ از اشتباهاتی که توی مسیر کردم و چالش هایی که داشتم مینویسم، و البته جزییات آسیبپذیریهایی که گزارش دادم رو به اشتراک میزارم. ابتدای مسیر شروع…
حل پیکار Pgnix، امیدوارم خوشتون بیاد
https://youtu.be/5j_09K2gtUs
https://youtu.be/5j_09K2gtUs
YouTube
Abusing Reverse Proxies, Pgnix Challenge
توی این ویدئو میریم با هم دیگه پیکار Pgnix رو حل میکنیم، برای اینکه متوجه حل بشید باید مباحث Reverse Proxy و Inconsistency رو بلد باشید، البته من سعی کردم اینا رو هم توضیح بدم، امیدوارم که خوشتون بیاد
لایو امین امشب با عنوان Single Packet Attack در یوتیوب گذاشته شد
https://youtube.com/live/GlF2INExZL8
https://youtube.com/live/GlF2INExZL8
رایتآپ جدیدم که در مورد chain کردن چند تا باگه که به اکانت تیک آور منجر میشه رو میتونید تو لینک زیر بخونید: (نسخه فارسیش قبلا مموری لیکس منتشر شده)
https://blog.voorivex.team/hijacking-oauth-code-via-reverse-proxy-for-account-takeover
https://blog.voorivex.team/hijacking-oauth-code-via-reverse-proxy-for-account-takeover
Voorivex's Team
Hijacking OAuth Code via Reverse Proxy for Account Takeover
Recon:
The target scope I had selected was fixed to the main application:
1377.targetstaging.app
In the first phase of my narrow recon approach, I utilized various services like Archive, Google, and Yahoo to extract endpoints and different paths.
Ho...
The target scope I had selected was fixed to the main application:
1377.targetstaging.app
In the first phase of my narrow recon approach, I utilized various services like Archive, Google, and Yahoo to extract endpoints and different paths.
Ho...
یه پیکار پازلطور چند مرحلهای طراحی کردیم که برای حل مراحلش به دانش عمومی وب نیاز دارید. مرحله آخر به جنگ Smith میرید و اگه شکستش بدین فلگ رو بدست میارید، هدف این پیکار یادگیریه و سعی کردیم مفاهیم رو به سادهترین شکل ممکن پیکار کنیم، برید تو کارش:
https://matrix.voorivex.academy
https://matrix.voorivex.academy
digMeMore
ثبتنام دوره جدید OWASP Zero در ۳ آذر، توضیحات تکمیلی در لینک زیر، هر سوالی داشتید هم بپرسید: https://voorivex.academy/map
ثبتنام کلاس اوسپ با ظرفیت تقریبا ۱۵۰ نفر تمام شد، استعدادیابی همچنان به قوت خودش باقیه، طی چند روز آینده ایمیل دستروالعمل برای افراد ارسال میشه، حل پیکار Escape the Matrix هم آخر هفته توی یوتوبم میذارم