Forwarded from PentesterLand
New Video: Broken Access Control (New Pattern)
For the first time, a Broken Access Control scenario that hasn’t been discussed anywhere before.
Not a recycled bug. Not a typical misconfiguration.
A new logic flaw that changes how access control issues can be analyzed and chained. 🔥
This video explains the idea and mindset behind it.
🎥 Watch on YouTube:
https://youtu.be/X3oj-nx6580
For the first time, a Broken Access Control scenario that hasn’t been discussed anywhere before.
Not a recycled bug. Not a typical misconfiguration.
A new logic flaw that changes how access control issues can be analyzed and chained. 🔥
This video explains the idea and mindset behind it.
🎥 Watch on YouTube:
https://youtu.be/X3oj-nx6580
❤8
Forwarded from PentesterLand Academy - Public
خبر بد برای دوستانی که از مونگو استفاده میکنند 😁
https://www.instagram.com/reel/DSy7sicCBg4/?igsh=YmF5ajZsYWk4MGI4
https://www.instagram.com/reel/DSy7sicCBg4/?igsh=YmF5ajZsYWk4MGI4
Instagram
@pentesterland
این آسیب پذیری هرکمپانی رو زمین میزنه!
توضیحات کامل در ویدیو ارسال شده و در دایرکت تکمیل تر براتون فرستاده میشه
فقط سو استفاده نشه ازش در راستای نیک استفاده کنید
بفرستید برای دوستان نفو.ذگر یا برنامه نویسیتون که استفاده کنند شدید 😉😁❤️
توضیحات کامل در ویدیو ارسال شده و در دایرکت تکمیل تر براتون فرستاده میشه
فقط سو استفاده نشه ازش در راستای نیک استفاده کنید
بفرستید برای دوستان نفو.ذگر یا برنامه نویسیتون که استفاده کنند شدید 😉😁❤️
❤9
Hack Haven
بسم الله شامه هکری تون راه بندازید یه آسیب پذیری ریل ورد سناریوش رو ریل ورد خودم زدم ولی مثل این نبود منجر به rce بشه سناریوش یکی بود پ.ن: کد رو از جای دیگه برداشتم سورسشم میدم ولی اول جواب بدید
X (formerly Twitter)
chux (@chux13786509) on X
Hackers 🔥
Spot the vulnerability 🪲🔍
Can you solve this one? 🤔
It's been a while since I stumbled upon such a code review... 💥😋
Spot the vulnerability 🪲🔍
Can you solve this one? 🤔
It's been a while since I stumbled upon such a code review... 💥😋
❤6
<!DOCTYPE html>
<html>
<head><noscript>JSECURITY.ir</noscript></head>
<body onbeforematch="alert(document.domain)" hidden=until-found>
<div>jsecurity.ir</div>
</body>
</html>
توی firefox ران کنید بعدش هم توی url اینو اضافه کنید
#:~:text=jsecurity
سازنده: @catzfather
سایت حاج حسین : jsecurity.ir
حتما هفته نامه حاج حسین رو بخونید حاجی دنیت هم بکنید اگه در توانتون بود❤️❤️❤️
❤11
Forwarded from PentesterLand Academy - Public
از صبح افتادم رو پلی کردن این و کار کردن
اهنگ خوب تاثیر داره
https://www.instagram.com/reel/DS1lHg7iC-8/?igsh=MTgwZDhjZWVjN2pndA==
اهنگ خوب تاثیر داره
https://www.instagram.com/reel/DS1lHg7iC-8/?igsh=MTgwZDhjZWVjN2pndA==
Instagram
@pentesterland
حس هرباری که کمپانی ها اسیب پذیری ها خودم رو یا حتی بهتر اسیب پذیری ها دانشجوها رو تایید میکنند
حال دلتون عالی باشه ❤️🔥🙏🏼
اگه به محتوای ه.ک و امنیت به صورت حرفه ای علاقه داری پیج پنتسترلند رو از دست ندید
@pentesterland @pentesterland
@pentesterland
حال دلتون عالی باشه ❤️🔥🙏🏼
اگه به محتوای ه.ک و امنیت به صورت حرفه ای علاقه داری پیج پنتسترلند رو از دست ندید
@pentesterland @pentesterland
@pentesterland
🔥6❤1
https://github.com/pranshuparmar/witr
برداشته شده از این کانال : https://news.1rj.ru/str/reconcore
ابزار خوبیه برای اینکه ببینید که چه چیزهایی توی سیستمتون داره ران میشه از کجا داره ران میشه
برداشته شده از این کانال : https://news.1rj.ru/str/reconcore
ابزار خوبیه برای اینکه ببینید که چه چیزهایی توی سیستمتون داره ران میشه از کجا داره ران میشه
GitHub
GitHub - pranshuparmar/witr: Why is this running?
Why is this running? Contribute to pranshuparmar/witr development by creating an account on GitHub.
❤6
XS-Leak چیست؟
XS-Leak (Cross-Site Leak) یعنی نشت اطلاعات کاربر از یک سایت،
بدون اینکه Same-Origin Policy مستقیماً شکسته شود.
مثلا
https://hackerone.com/reports/2244229
یک فایل داینامیک (JS / CSS / Image)
وابسته به کوکی یا وضعیت لاگین کاربر
از یک دامنه خارجی لود میشود (مثلاً با noscript src)
نکته مهم:
مرورگر قربانی فایل را با کوکی خودش درخواست میدهد،
پس دادهای که برمیگردد مربوط به خود قربانی است، نه اتکر.
Impact:
افشای هویت (Deanonymization)
Cross-Site Tracking
فیشینگ هدفمند
نقض حریم خصوصی
نکته طلایی:
Same-Origin Policy شکسته نمیشود،
دور زده میشود.
نامهای دیگر:
-XS-Leak
-XSSI
-Side-Channel Leak
ریپورتهای HackerOne رو توی کامنت میذارم
📌 @hackhaven_new
XS-Leak (Cross-Site Leak) یعنی نشت اطلاعات کاربر از یک سایت،
بدون اینکه Same-Origin Policy مستقیماً شکسته شود.
مثلا
https://hackerone.com/reports/2244229
یک فایل داینامیک (JS / CSS / Image)
وابسته به کوکی یا وضعیت لاگین کاربر
از یک دامنه خارجی لود میشود (مثلاً با noscript src)
نکته مهم:
مرورگر قربانی فایل را با کوکی خودش درخواست میدهد،
پس دادهای که برمیگردد مربوط به خود قربانی است، نه اتکر.
Impact:
افشای هویت (Deanonymization)
Cross-Site Tracking
فیشینگ هدفمند
نقض حریم خصوصی
نکته طلایی:
Same-Origin Policy شکسته نمیشود،
دور زده میشود.
نامهای دیگر:
-XS-Leak
-XSSI
-Side-Channel Leak
ریپورتهای HackerOne رو توی کامنت میذارم
📌 @hackhaven_new
HackerOne
X / xAI disclosed on HackerOne: Cross-Domain Leakage of X Username...
Because the Same-Origin Policy does not apply to JavaScript imports, a malicious website could deanonymize users by retrieving their user ID from https://twitter.com/sw.js.
❤9
https://aszx87410.github.io/beyond-xss/en/
اگه حمله های کلاینت سایدی رو دوست دارید این مقاله رو بخونید
📌@hackhaven_new
اگه حمله های کلاینت سایدی رو دوست دارید این مقاله رو بخونید
📌@hackhaven_new
aszx87410.github.io
About This Series | Beyond XSS
As a software engineer, you must be familiar with information security. In your work projects, you may have gone through security audits, including static code scanning, vulnerability scanning, or penetration testing. You may have even done more comprehensive…
❤12🥰1