HTTP STATUS CODES
دستهبندی اصلیStatus Codes:
1XX =>اطلاعات غیر قابل تاثیر در پردازش
2XX => موفقیت در درخواست
3XX => Redirect
4XX => Client Side Error
5XX => Server Side Error
وضعیتهای رایج و مهم:
1. 200 OK - همهچی عالیه
این یعنی درخواستت درست بوده و سرور جواب رو داده. اگه دنبال یه صفحه یا منبع خاص بودی و 200 گرفتی، یعنی همهچی درسته و صفحه موجوده.
مثال ساده:
وقتی یه صفحه از وبسایت رو میخوای ببینی، با GET درخواست میدی که اون صفحه رو برات بیاره. یا مثلاً وقتی میخوای توی یه فرم جستجو کنی، میتونی با GET پارامترهای جستجو رو توی URL بفرستی:
example.com/search?query=something
2. 201 Created - ساخته شد
وقتی یه درخواست POST میفرستی و 201 میگیری، یعنی چیزی توی سرور ساخته شده (مثلاً یه کاربر جدید یا یه فایل آپلود شده).
مثال ساده:
وقتی یه فرم ثبتنام رو پر میکنی و میخوای اطلاعاتت رو بفرستی، POST استفاده میشه و اگر 201 بگیری، یعنی ثبتنامت موفقیتآمیز بوده.
3. 204 No Content - هیچ محتوایی نیست
یعنی درخواستت درست بوده، ولی سرور هیچ محتوایی برای برگردوندن نداره. این وضعیت زمانی میاد که مثلاً یه چیزی رو حذف کردی یا تغییری ایجاد کردی که نیاز نیست سرور جوابی برگردونه.
مثال ساده:
وقتی تست حذف یا تغییر داده انجام میدی و 204 گرفتی، یعنی عملیات موفق بوده.
4. 301 Moved Permanently - تغییر مسیر دائمی
سرور میگه که صفحهای که دنبالش بودی، به یه URL دیگه منتقل شده. اگه دوباره هم این درخواست رو بفرستی، مرورگر به URL جدید هدایتت میکنه.
مثال ساده:
وقتی آدرس یه صفحه تغییر کرده و 301 میگیری، مرورگر به طور خودکار به آدرس جدید هدایت میشه.
5. 302 Found - تغییر مسیر موقتی
شبیه 301، ولی این یکی موقتیه. یعنی سرور میگه الان باید بری به یه URL دیگه، ولی ممکنه در آینده این URL دوباره کار کنه.
مثال ساده:
وقتی صفحهای موقتی جابجا شده و 302 میگیری، باید به URL جدید بری، اما این تغییر ممکنه دائم نباشه.
.
مثال ساده:
وقتی URL یا پارامترهای درخواستت اشتباه هستن و 400 میگیری، یعنی باید درخواستت رو اصلاح کنی.
7. 401 Unauthorized - احراز هویت نشد
سرور میگه که برای دسترسی به این منبع باید احراز هویت بشی. یعنی بدون ورود به سیستم (login) نمیتونی از این صفحه یا منبع استفاده کنی.
مثال ساده:
وقتی نیاز به ورود به حساب کاربری داری و 401 میگیری، یعنی باید نام کاربری و رمز عبور صحیح وارد کنی.
8. 403 Forbidden - دسترسی ممنوعه
این یعنی حتی اگه احراز هویت کرده باشی، اجازه دسترسی به این منبع یا صفحه رو نداری. سرور دسترسی رو به دلایلی رد کرده.
مثال ساده:
وقتی حتی با وارد کردن اطلاعات درست هم نمیتونی به صفحهای دسترسی پیدا کنی و 403 میگیری، یعنی دسترسی به اون منبع ممنوع شده.
9. 404 Not Found - پیدا نشد
یعنی صفحه یا فایلی که دنبالش هستی توی سرور نیست. شاید URL اشتباهه یا منبع حذف شده.
مثال ساده:
وقتی صفحهای که به دنبال اون بودی وجود نداره و 404 میگیری، یعنی یا URL اشتباهه یا صفحه حذف شده.
10. 405 Method Not Allowed - متد مجاز نیست
یعنی متدی که استفاده کردی (مثل POST، GET، DELETE) برای این منبع مجاز نیست.
مثال ساده:
وقتی درخواست DELETE برای منبعی که فقط GET پشتیبانی میکنه میفرستی و 405 میگیری، یعنی این متد برای این منبع مناسب نیست.
11. 500 Internal Server Error - خطای داخلی سرور
یعنی سرور یه مشکل داخلی داره و نمیتونه درخواستت رو انجام بده. معمولاً وقتی کد سرور خراب باشه یا مشکلی در پردازش درخواست پیش بیاد، این کد برمیگرده.
مثال ساده:
وقتی درخواستت بهدرستی پردازش نمیشه و 500 میگیری، یعنی یه مشکل داخلی در سرور وجود داره.
12. 502 Bad Gateway - درگاه نامناسب
یعنی سرور یه پاسخ نامناسب از یه سرور دیگه (که مثل یه واسطه عمل میکنه) دریافت کرده.
مثال ساده:
وقتی چندین سرور درگیر هستن و یکی از این سرورها به درستی کار نمیکنه و 502 میگیری، یعنی مشکلی در ارتباط بین سرورها وجود داره.
13. 503 Service Unavailable - سرویس در دسترس نیست
یعنی سرور بهخاطر شلوغی یا مشکلات دیگه نمیتونه درخواستت رو انجام بده. شاید هم سرور داره آپدیت میشه یا موقتاً خاموشه.
مثال ساده:
وقتی سرور به دلایل مختلف نمیتونه درخواستت رو انجام بده و 503 میگیری، یعنی ممکنه سرور موقتاً در دسترس نباشه یا تحت فشار باشه.
نکات مهم:
کدهای 4xx رو برای پیدا کردن نقاط ضعف دسترسی (authorization) و ورودیهای اشتباه تست کن.
کدهای 5xx میتونن سرنخهای خوبی از مشکلات داخلی سرور و احتمالاً آسیبپذیریها بدن.
ریدایرکتها (3xx) رو بررسی کن تا مطمئن شی که درست هدایت میشی یا ببینی آیا میتونی اونها رو دور بزنی.
#status_codes
دستهبندی اصلیStatus Codes:
1XX =>اطلاعات غیر قابل تاثیر در پردازش
2XX => موفقیت در درخواست
3XX => Redirect
4XX => Client Side Error
5XX => Server Side Error
وضعیتهای رایج و مهم:
1. 200 OK - همهچی عالیه
این یعنی درخواستت درست بوده و سرور جواب رو داده. اگه دنبال یه صفحه یا منبع خاص بودی و 200 گرفتی، یعنی همهچی درسته و صفحه موجوده.
مثال ساده:
وقتی یه صفحه از وبسایت رو میخوای ببینی، با GET درخواست میدی که اون صفحه رو برات بیاره. یا مثلاً وقتی میخوای توی یه فرم جستجو کنی، میتونی با GET پارامترهای جستجو رو توی URL بفرستی:
example.com/search?query=something
2. 201 Created - ساخته شد
وقتی یه درخواست POST میفرستی و 201 میگیری، یعنی چیزی توی سرور ساخته شده (مثلاً یه کاربر جدید یا یه فایل آپلود شده).
مثال ساده:
وقتی یه فرم ثبتنام رو پر میکنی و میخوای اطلاعاتت رو بفرستی، POST استفاده میشه و اگر 201 بگیری، یعنی ثبتنامت موفقیتآمیز بوده.
3. 204 No Content - هیچ محتوایی نیست
یعنی درخواستت درست بوده، ولی سرور هیچ محتوایی برای برگردوندن نداره. این وضعیت زمانی میاد که مثلاً یه چیزی رو حذف کردی یا تغییری ایجاد کردی که نیاز نیست سرور جوابی برگردونه.
مثال ساده:
وقتی تست حذف یا تغییر داده انجام میدی و 204 گرفتی، یعنی عملیات موفق بوده.
4. 301 Moved Permanently - تغییر مسیر دائمی
سرور میگه که صفحهای که دنبالش بودی، به یه URL دیگه منتقل شده. اگه دوباره هم این درخواست رو بفرستی، مرورگر به URL جدید هدایتت میکنه.
مثال ساده:
وقتی آدرس یه صفحه تغییر کرده و 301 میگیری، مرورگر به طور خودکار به آدرس جدید هدایت میشه.
5. 302 Found - تغییر مسیر موقتی
شبیه 301، ولی این یکی موقتیه. یعنی سرور میگه الان باید بری به یه URL دیگه، ولی ممکنه در آینده این URL دوباره کار کنه.
مثال ساده:
وقتی صفحهای موقتی جابجا شده و 302 میگیری، باید به URL جدید بری، اما این تغییر ممکنه دائم نباشه.
.
مثال ساده:
وقتی URL یا پارامترهای درخواستت اشتباه هستن و 400 میگیری، یعنی باید درخواستت رو اصلاح کنی.
7. 401 Unauthorized - احراز هویت نشد
سرور میگه که برای دسترسی به این منبع باید احراز هویت بشی. یعنی بدون ورود به سیستم (login) نمیتونی از این صفحه یا منبع استفاده کنی.
مثال ساده:
وقتی نیاز به ورود به حساب کاربری داری و 401 میگیری، یعنی باید نام کاربری و رمز عبور صحیح وارد کنی.
8. 403 Forbidden - دسترسی ممنوعه
این یعنی حتی اگه احراز هویت کرده باشی، اجازه دسترسی به این منبع یا صفحه رو نداری. سرور دسترسی رو به دلایلی رد کرده.
مثال ساده:
وقتی حتی با وارد کردن اطلاعات درست هم نمیتونی به صفحهای دسترسی پیدا کنی و 403 میگیری، یعنی دسترسی به اون منبع ممنوع شده.
9. 404 Not Found - پیدا نشد
یعنی صفحه یا فایلی که دنبالش هستی توی سرور نیست. شاید URL اشتباهه یا منبع حذف شده.
مثال ساده:
وقتی صفحهای که به دنبال اون بودی وجود نداره و 404 میگیری، یعنی یا URL اشتباهه یا صفحه حذف شده.
10. 405 Method Not Allowed - متد مجاز نیست
یعنی متدی که استفاده کردی (مثل POST، GET، DELETE) برای این منبع مجاز نیست.
مثال ساده:
وقتی درخواست DELETE برای منبعی که فقط GET پشتیبانی میکنه میفرستی و 405 میگیری، یعنی این متد برای این منبع مناسب نیست.
11. 500 Internal Server Error - خطای داخلی سرور
یعنی سرور یه مشکل داخلی داره و نمیتونه درخواستت رو انجام بده. معمولاً وقتی کد سرور خراب باشه یا مشکلی در پردازش درخواست پیش بیاد، این کد برمیگرده.
مثال ساده:
وقتی درخواستت بهدرستی پردازش نمیشه و 500 میگیری، یعنی یه مشکل داخلی در سرور وجود داره.
12. 502 Bad Gateway - درگاه نامناسب
یعنی سرور یه پاسخ نامناسب از یه سرور دیگه (که مثل یه واسطه عمل میکنه) دریافت کرده.
مثال ساده:
وقتی چندین سرور درگیر هستن و یکی از این سرورها به درستی کار نمیکنه و 502 میگیری، یعنی مشکلی در ارتباط بین سرورها وجود داره.
13. 503 Service Unavailable - سرویس در دسترس نیست
یعنی سرور بهخاطر شلوغی یا مشکلات دیگه نمیتونه درخواستت رو انجام بده. شاید هم سرور داره آپدیت میشه یا موقتاً خاموشه.
مثال ساده:
وقتی سرور به دلایل مختلف نمیتونه درخواستت رو انجام بده و 503 میگیری، یعنی ممکنه سرور موقتاً در دسترس نباشه یا تحت فشار باشه.
نکات مهم:
کدهای 4xx رو برای پیدا کردن نقاط ضعف دسترسی (authorization) و ورودیهای اشتباه تست کن.
کدهای 5xx میتونن سرنخهای خوبی از مشکلات داخلی سرور و احتمالاً آسیبپذیریها بدن.
ریدایرکتها (3xx) رو بررسی کن تا مطمئن شی که درست هدایت میشی یا ببینی آیا میتونی اونها رو دور بزنی.
#status_codes
SOP (Same Origin Policy)
⁉️حالا Origin چیه؟
در واقع Origin ترکیبی از سه بخش اصلی هستش:
protocol
port
host
پروتکل (مثل http یا https)
دامنه (مثل example.com)
پورت (مثل 80 یا 443)
مثالهای ساده:
Same Origin:
https://example.com:443/index.php
https://example.com/dashboard
این دو URL Same Origin هستند زیرا پروتکل، دامنه و پورت یکی است.
Cross Origin به خاطر دامنه متفاوت:
https://target.com/index.php
https://example.com/home
این دو URL Cross Origin هستند چون دامنهها متفاوت است.
Cross Origin به خاطر پروتکل متفاوت:
http://example.com/home
https://example.com/home
این دو URL Cross Origin هستند چون پروتکلها (http و https) متفاوت است.
Cross Origin به خاطر پورت متفاوت:
http://example.com:8080
http://example.com
این دو Cross Origin هستند چون پورتها متفاوت است.
Cross Origin به خاطر دامنه متفاوت:
https://www.example.com/home/index.php
https://example.com/dashboard
این دو URL Cross Origin هستند چون دامنهها متفاوت است.
#SOP@Now_Republic_of_Humanity
یک قاعده امنیتی در مرورگرها هستش که به این ترتیب عمل میکنه: اگر Origin یا منبع A بخواد به Origin یا منبع B درخواست ارسال کنه، مرورگر تنها میتونه دادههای Origin یا منبع B را دریافت کنه، اما اجازه نمیده که این دادهها رندر گرفته یا نمایش داده بشن. این قاعده برای جلوگیری از مشکلات امنیتی مثل دسترسی غیرمجاز به دادههای دیگر Originها طراحی شده است. که به اصلاح بهش میگن Cross-Origin
⁉️حالا Origin چیه؟
در واقع Origin ترکیبی از سه بخش اصلی هستش:
protocol
port
host
پروتکل (مثل http یا https)
دامنه (مثل example.com)
پورت (مثل 80 یا 443)
مثالهای ساده:
Same Origin:
https://example.com:443/index.php
https://example.com/dashboard
این دو URL Same Origin هستند زیرا پروتکل، دامنه و پورت یکی است.
Cross Origin به خاطر دامنه متفاوت:
https://target.com/index.php
https://example.com/home
این دو URL Cross Origin هستند چون دامنهها متفاوت است.
Cross Origin به خاطر پروتکل متفاوت:
http://example.com/home
https://example.com/home
این دو URL Cross Origin هستند چون پروتکلها (http و https) متفاوت است.
Cross Origin به خاطر پورت متفاوت:
http://example.com:8080
http://example.com
این دو Cross Origin هستند چون پورتها متفاوت است.
Cross Origin به خاطر دامنه متفاوت:
https://www.example.com/home/index.php
https://example.com/dashboard
این دو URL Cross Origin هستند چون دامنهها متفاوت است.
⁉️چطور SOP عمل میکند؟
فرض کن هکر دو تب باز کرده است:
یکی به سایت hacker.com مربوط میشود.
دیگری به سایت bank.com مربوط میشود.
اگر SOP وجود نداشت، هکر میتوانست از hacker.com درخواستهایی به bank.com ارسال کند و اطلاعات حساس کاربر را بخواند. اما SOP مانع این کار میشود. یعنی درخواست از hacker.com به bank.com ارسال میشود، اما مرورگر دادههای برگشتی از bank.com را به hacker.com نمیدهد.
⚠️محدودیتهای SOP:
عکس: SOP روی تصاویر و عکس ها اعمال نمیشه. میشه از هر سایتی تصویری را بارگیری کرد و در سایت خود نمایش داد.💡نکته مهم: SOP فقط برای درخواستهای HTTP و HTTPS کار میکند. اگر سایت از پروتکلهای دیگر مانند WebSocket استفاده کند، SOP به آن اعمال نمیشود.
فایلهای جاوااسکریپت: SOP روی فایلهای جاوااسکریپت نیز اعمال نمیشود. بنابراین، فایلهای جاوااسکریپت موجود در یک سایت میتوانند توسط دیگر سایتها خوانده شوند که ممکن است به آسیبپذیریهای امنیتی منجر شود.
#SOP@Now_Republic_of_Humanity
Web Structure
فایلهای استاتیک (Static Files)
فایلهای استاتیک همون فایلهای سادهای هستن که توی سرور ذخیره میشن و وقتی کاربر (کلاینت) درخواستشون رو از سرور میکنه، سرور بدون هیچ تغییری اونها رو مستقیم به کاربر میفرسته. مثلا وقتی کاربر میخواد یه فایل index.html رو باز کنه، سرور همون فایل رو همونطور که هست به مرورگر کاربر ارسال میکنه. فایلهایی مثل .html، .css، .js، یا تصاویر .png و .jpg جزو فایلهای استاتیک حساب میشن.
این فایلها رو سرور اجرا نمیکنه، بلکه مرورگر کاربر اونا رو دریافت میکنه و خودش اجراشون میکنه. به خاطر همین بهشون "استاتیک" یا "ثابت" میگن، چون سرور هیچ تغییری توی محتوای این فایلها نمیده.
فایلهای داینامیک (Dynamic Files)
فایلهای داینامیک با فایلهای استاتیک فرق دارن. وقتی یه کاربر درخواست یه فایل داینامیک مثل index.php رو از سرور میکنه، سرور اول اون فایل رو مستقیماً برای کاربر نمیفرسته. در عوض، سرور اون فایل رو به یه برنامه (مثل مفسر PHP) میفرسته تا پردازش بشه و نتیجهای که از اجرای اون فایل به دست میاد برای کاربر فرستاده میشه.
این یعنی محتواشون همیشه ثابت نیست و بسته به درخواست کاربر میتونه تغییر کنه. به همین دلیل به این نوع فایلها "داینامیک" یا "پویا" میگن، چون توی سرور قبل از فرستادن برای کاربر پردازش میشن.
#web_structure
فایلهای استاتیک (Static Files)
فایلهای استاتیک همون فایلهای سادهای هستن که توی سرور ذخیره میشن و وقتی کاربر (کلاینت) درخواستشون رو از سرور میکنه، سرور بدون هیچ تغییری اونها رو مستقیم به کاربر میفرسته. مثلا وقتی کاربر میخواد یه فایل index.html رو باز کنه، سرور همون فایل رو همونطور که هست به مرورگر کاربر ارسال میکنه. فایلهایی مثل .html، .css، .js، یا تصاویر .png و .jpg جزو فایلهای استاتیک حساب میشن.
این فایلها رو سرور اجرا نمیکنه، بلکه مرورگر کاربر اونا رو دریافت میکنه و خودش اجراشون میکنه. به خاطر همین بهشون "استاتیک" یا "ثابت" میگن، چون سرور هیچ تغییری توی محتوای این فایلها نمیده.
فایلهای داینامیک (Dynamic Files)
فایلهای داینامیک با فایلهای استاتیک فرق دارن. وقتی یه کاربر درخواست یه فایل داینامیک مثل index.php رو از سرور میکنه، سرور اول اون فایل رو مستقیماً برای کاربر نمیفرسته. در عوض، سرور اون فایل رو به یه برنامه (مثل مفسر PHP) میفرسته تا پردازش بشه و نتیجهای که از اجرای اون فایل به دست میاد برای کاربر فرستاده میشه.
این یعنی محتواشون همیشه ثابت نیست و بسته به درخواست کاربر میتونه تغییر کنه. به همین دلیل به این نوع فایلها "داینامیک" یا "پویا" میگن، چون توی سرور قبل از فرستادن برای کاربر پردازش میشن.
#web_structure
📓 Ansible: The Magic of Automation-Introduction & Installation
📌 به سادگی یاد بگیرید چطور میتوانید پیکربندی های پیچیده شبکه و سیستم عامل را اتوماتیک کنید و بر روی پروژههای بزرگتر تمرکز کنید. این فرصتی است که نباید از دست بدهید!
📌 Simply learn how to automate complex network and operating system configurations and focus on larger projects. This is an opportunity you should not miss!
🔗 https://medium.com/@abolfazl.vaziri/ansible-the-magic-of-automation-introduction-installation-2f51128b4fe7
📌 به سادگی یاد بگیرید چطور میتوانید پیکربندی های پیچیده شبکه و سیستم عامل را اتوماتیک کنید و بر روی پروژههای بزرگتر تمرکز کنید. این فرصتی است که نباید از دست بدهید!
📌 Simply learn how to automate complex network and operating system configurations and focus on larger projects. This is an opportunity you should not miss!
🔗 https://medium.com/@abolfazl.vaziri/ansible-the-magic-of-automation-introduction-installation-2f51128b4fe7
Medium
Ansible: The Magic of Automation-Introduction & Installation
Imagine a world where managing complex Network&OS configurations is as simple as writing a few lines of code. Ansible is a game-changer in…
یک آسیب پذیری Race Condition داخل یکی از سایت های ایرانی کشف کردم که رایت آپ به همراه ویدئو این آسیب پذیری رو قرار میدم توی کانال!
❌اجازه پخش ندادند حتی رایت آپ
@Now_Republic_of_Humanity
❌اجازه پخش ندادند حتی رایت آپ
@Now_Republic_of_Humanity
2 تا آسیب پذیری IDOR هم از یه سایت ایرانی زدم که میزارم رایت آپ هاشون رو نوشتم منتظر اجازشونم!
❌اجازه پخش ندادند حتی رایت آپ
@Now_Republic_of_Humanity
❌اجازه پخش ندادند حتی رایت آپ
@Now_Republic_of_Humanity
Forwarded from HiveNews | خبر کندو 🐝
This media is not supported in your browser
VIEW IN TELEGRAM
این حرکت از سمت پلیس استان گلستان دستمریزاد داره❤️
#پروکسی_جدید #پروکسی_اختصاصی
پروکسی 👉 پروکسی 👉 پروکسی 👉
پروکسی 👉 vpn اختصاصی 👉 دانلودچی
#پروکسی_جدید #پروکسی_اختصاصی
پروکسی 👉 پروکسی 👉 پروکسی 👉
پروکسی 👉 vpn اختصاصی 👉 دانلودچی
Forwarded from دانستی ها
This media is not supported in your browser
VIEW IN TELEGRAM
به صورت رندوم از بقیه پرسیده اگه همسرتون نیاز به کلیه داشته باشه تو کلیه خودتو بهش میدی ؟!
جواب مردها و زنها جالب بود :
@iounjam | آیاونجام
جواب مردها و زنها جالب بود :
@iounjam | آیاونجام
Forwarded from دانستی ها
Media is too big
VIEW IN TELEGRAM
مصاحبه ایلان ماسک و جردن پیترسون ( روانشناس مشهور ) با زیرنویس فارسی
گفتوگویی جذاب درباره هوش مصنوعی روانشناسی انسان چالش های اجتماعی و آینده بشریت
@iounjam | آیاونجام
گفتوگویی جذاب درباره هوش مصنوعی روانشناسی انسان چالش های اجتماعی و آینده بشریت
@iounjam | آیاونجام
یه چیزی درمورد آسیب پذیری های رایجی که روی وبسایت های ایرانی توی این چند وقته بهشون برخوردم بگم توی 30 روز گذشته من حدودا 15 وب سایت رو آسیب پذیری گزارش دادم و تا حدودی روشون کار کردم
و یه سری آسیب پذیری که توشون بوده رو گزارش کردم که لیست آسیب پذیری ها و رنکینگشون بدین گونه بوده :
- Open Redirect & Session hijacking
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Authentication OTP Brute Force
- CORS Misconfiguration
- business Logic Double Spending
- Payment Vulnerabilities (charge wallet)
- IDOR
این آسیب پذیری های شایعی بود که توی این چندین وبسایت که روشون کار کردم پیدا کردم و اینو توی این چند وقت متوجه شدم که توی ایران تمامی وبسایت ها این آسیب پذیری هارو دارن حداقل 90 درصدشون دارن و یا داشتند
حالا شاید بپرسین چرا؟ ازکجا فهمیدی که داشند؟
حالا چرا در این باره نوشتم؟ من توی دوستان و رفیقام میبینم که بعضیا نمیتونن از یه وبسایتی چیزی بزنن و یه هانتر دیگه دقیقا از همون وبسایت داره باگ میزنه!
توی این مورد میخواستم اول بگم که این آسیب پذیری هارو نسبت به تارگت تون توی اولویت تردمدلینگتون و تست کیستون قرار بدین چون خیلی شایع هستند
و دوم اینکه ریکان تون رو قوی کنین اکثر افرادی که آسیب پذیری نمیزنن تو دو چیز اشکال دارن
+ ریکان شون ضعیفه
+ آسیب پذیری های کمی رو بلدن
که من هردو هانترش رو دیدم که جدای از مسائل اخلاقی نظر من اینه دوره های یاشار کمکی خوبی بهتون میکنه حداقل توی ریکان
لطفا لطفا لطفا خودتونو به چار تا OR و XSS و..... محدود نکنین و باگ های منطقی رو یاد بگیرید چون که همیشه منطق آسیب پذیره چه توی انسان چه توی سیستم.
و کلام آخر این که مطالعه کنید و قانونی نون حلال دارید! 📖🇮🇷
https://news.1rj.ru/str/Now_Republic_of_Humanity
و یه سری آسیب پذیری که توشون بوده رو گزارش کردم که لیست آسیب پذیری ها و رنکینگشون بدین گونه بوده :
- Open Redirect & Session hijacking
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Authentication OTP Brute Force
- CORS Misconfiguration
- business Logic Double Spending
- Payment Vulnerabilities (charge wallet)
- IDOR
این آسیب پذیری های شایعی بود که توی این چندین وبسایت که روشون کار کردم پیدا کردم و اینو توی این چند وقت متوجه شدم که توی ایران تمامی وبسایت ها این آسیب پذیری هارو دارن حداقل 90 درصدشون دارن و یا داشتند
حالا شاید بپرسین چرا؟ ازکجا فهمیدی که داشند؟
ببینید وقتی توی قسمت تیکت ها یک ایدی میبینید و Sample IDOR رو روش تست میکنید و خروجی وبسایت میشه ارور 403 یا اکثرا 404 این یعنی دو حالته یا قبلا آسیب پذیری وجود داشته و گزارش شده و پچش کردن و الان با استفاده از کوکی دارن اهراز هویت میکنن برای دسترسی به کوکی یا که اون سازمان یا سامانه میدونسته که اینجا آسیب پذیری وجود داره و گفته که اینو پچش کنین!
حالا چرا در این باره نوشتم؟ من توی دوستان و رفیقام میبینم که بعضیا نمیتونن از یه وبسایتی چیزی بزنن و یه هانتر دیگه دقیقا از همون وبسایت داره باگ میزنه!
توی این مورد میخواستم اول بگم که این آسیب پذیری هارو نسبت به تارگت تون توی اولویت تردمدلینگتون و تست کیستون قرار بدین چون خیلی شایع هستند
و دوم اینکه ریکان تون رو قوی کنین اکثر افرادی که آسیب پذیری نمیزنن تو دو چیز اشکال دارن
+ ریکان شون ضعیفه
+ آسیب پذیری های کمی رو بلدن
که من هردو هانترش رو دیدم که جدای از مسائل اخلاقی نظر من اینه دوره های یاشار کمکی خوبی بهتون میکنه حداقل توی ریکان
لطفا لطفا لطفا خودتونو به چار تا OR و XSS و..... محدود نکنین و باگ های منطقی رو یاد بگیرید چون که همیشه منطق آسیب پذیره چه توی انسان چه توی سیستم.
و کلام آخر این که مطالعه کنید و قانونی نون حلال دارید! 📖🇮🇷
https://news.1rj.ru/str/Now_Republic_of_Humanity
از بین اساتیدی که میشناسم استاد مظفری رو بهتون پیشنهاد میدم که کانال شو دنبال کنید چون مطالب و رایتآپ هایی که میزاره جالبه و خودم از همین رایتآپ ها آسیب پذیری زدم و فلوی آسیب پذیری و اکسپلویتیشنش رو یاد گرفتم.
کانال استاد مظفری : https://news.1rj.ru/str/rmsup
کانال استاد مظفری : https://news.1rj.ru/str/rmsup
Telegram
A hacker
آموزش هک و امنیت به زبان ساده و کاربردی با هدف آگاهی بخشی و ارتقای مهارتهای سایبری به زبان فارسی
تبلیغاتی که توی کانال میبینید رو خود تلگرام میفرسته، من نقشی تو انتخاب یا حذفشون ندارم.
ارتباط با من:
@secbaz
تبلیغاتی که توی کانال میبینید رو خود تلگرام میفرسته، من نقشی تو انتخاب یا حذفشون ندارم.
ارتباط با من:
@secbaz
آقا بیزحمت برید به مقاله امید رای بدید، بیاد بالا و تایید بشه، دمتون گرم❤️
مقاله امید: OAuth Non-Happy Path to ATO
https://portswigger.net/polls/top-10-web-hacking-techniques-2024
مقاله امید: OAuth Non-Happy Path to ATO
https://portswigger.net/polls/top-10-web-hacking-techniques-2024
portswigger.net
Top 10 web hacking techniques of 2024
Welcome to the community vote for the Top 10 Web Hacking Techniques of 2024.
همیشه اولین آسیب پذیری شیرینه هرچقدرم که کوچیک باشه شیرینه حالا اگه اولیش از خارجی و به دلار باشه که شیرین تر😂❤️
https://x.com/afshari_shabnam/status/1880101363428008200
https://x.com/afshari_shabnam/status/1880101363428008200
Forwarded from Aynhe | آیینه - خبر فوری - خبر جنگ (Abner)
This media is not supported in your browser
VIEW IN TELEGRAM
همی خواهم از دادگر یک خدای ...
•حکیم ابوالقاسم فردوسی•
👑 امروز روز زادروز فردوسی بزرگه کسی که با شاهنامهاش ایران رو جاودانه کرد اون نه فقط یه شاعر بلکه نگهبان فرهنگ و زبان فارسی بود هرچی داریم از غیرت و هویت مدیون اون هستیم
فردوسی فقط یه اسم توی تاریخ نیست قلبی هست که برای ایران میتپه
زادروزت مبارک مرد بزرگ
@Aynhe
•حکیم ابوالقاسم فردوسی•
فردوسی فقط یه اسم توی تاریخ نیست قلبی هست که برای ایران میتپه
زادروزت مبارک مرد بزرگ
@Aynhe
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from OnHex
This media is not supported in your browser
VIEW IN TELEGRAM
🔴 سینا خیرخواه مقام اول Pwn2Own Automotive 2025
در این پست نگاهی به مسابقات Pwn2Own Automotive 2025 انداختیم، که از 3 تا 5 دی در کنار نمایشگاه Automotive World در توکیو برگزار شد.
🎉🎉 آقای سینا خیرخواه در مجموع با کسب 222.250 دلار جایزه نقدی و 30.5 امتیاز، مقام اول یا Master of Pwn این دوره از مسابقات رو بدست آوردن.
کسب این مقام رو به ایشون تبریک عرض میکنم و امیدوارم با سلامتی و تندرستی همچنان بدرخشن.
#Pwn2OwnAutomotive2025
#Pwn2Own
🆔 @onhex_ir
➡️ ALL Link
در این پست نگاهی به مسابقات Pwn2Own Automotive 2025 انداختیم، که از 3 تا 5 دی در کنار نمایشگاه Automotive World در توکیو برگزار شد.
🎉🎉 آقای سینا خیرخواه در مجموع با کسب 222.250 دلار جایزه نقدی و 30.5 امتیاز، مقام اول یا Master of Pwn این دوره از مسابقات رو بدست آوردن.
کسب این مقام رو به ایشون تبریک عرض میکنم و امیدوارم با سلامتی و تندرستی همچنان بدرخشن.
#Pwn2OwnAutomotive2025
#Pwn2Own
🆔 @onhex_ir
➡️ ALL Link
Forwarded from اینترنت آزاد،تکنولوژی،هوش مصنوعی،کامپیوتر
واکنش مدیر عامل تلگرام به موفقیت چین در زمینه هوش مصنوعی: موفقیت چین به سیستم آموزشی آن بر می گردد
🔻پاول دورف به مناسبت سال نو چینی در کانال خود نوشت: موفقیت چین در هوش مصنوعی به سیستم آموزشی به سبک شوروی آن برمیگردد، سیستمی که رقابت شدید را پرورش میدهد که برخلاف مدارس غربی که برای جلوگیری از فشار روانی و یا تمسخر دانشآموزان، نمرات را پنهان میکنند.
🔻اگر آمریکا سیستم آموزشی خود را اصلاح نکند، ممکن است رهبری فناوری را به چین واگذار کند.
🔻دانشآموزان چینی مدتهاست که در المپیادهای بینالمللی ریاضی و برنامهنویسی از دیگر کشورها پیشی گرفتهاند.
🔻در زمینه تربیت استعدادهای برتر در ریاضیات، سیستم آموزشی مقطع متوسطه چین از کشورهای غربی بهتر است. این سیستم رقابت شدیدی را میان دانشآموزان ایجاد میکند، اصلی که از مدل کارآمد شوروی اقتباس شده است.
✈️ @ITSecurityComputer
🤖 ربات دانلود از همه شبکه های اجتماعی
🧠 ربات هوش مصنوعی چت وعکس
🔻پاول دورف به مناسبت سال نو چینی در کانال خود نوشت: موفقیت چین در هوش مصنوعی به سیستم آموزشی به سبک شوروی آن برمیگردد، سیستمی که رقابت شدید را پرورش میدهد که برخلاف مدارس غربی که برای جلوگیری از فشار روانی و یا تمسخر دانشآموزان، نمرات را پنهان میکنند.
🔻اگر آمریکا سیستم آموزشی خود را اصلاح نکند، ممکن است رهبری فناوری را به چین واگذار کند.
🔻دانشآموزان چینی مدتهاست که در المپیادهای بینالمللی ریاضی و برنامهنویسی از دیگر کشورها پیشی گرفتهاند.
🔻در زمینه تربیت استعدادهای برتر در ریاضیات، سیستم آموزشی مقطع متوسطه چین از کشورهای غربی بهتر است. این سیستم رقابت شدیدی را میان دانشآموزان ایجاد میکند، اصلی که از مدل کارآمد شوروی اقتباس شده است.
Please open Telegram to view this post
VIEW IN TELEGRAM
به طور کلی بخام تجربه سه ماهه خودم رو روی وبسایت های داخلی بگم اینو میتونم بگم که وبسایت های ایرانی
+ آسیب پذیری دارن
+ هکر راحت تر چفت میشه با سایت
+ از نظر ارتباط گرفتن راحت تره
ولی از بدیای تارگت ایرانی میتونم به بزرگترینشون یعنی
- دریافت گزارش و انجام ندادن پیمنت و حق الزحمه هکر هستش
من حدودا 25 تا آسیب پذیری از اواسط ماه پیش تا الان زدم که از بین این 25 تا کلا 2 تاش تریاژ شده که پیمنت هم داشتن باقی تریاژ شده
فیکس شده
گفتن میریزن
نریختن! زنگ میزنی جواب نمیدن
پیام میدی جواب نمیدن
پیگیری زیاد هم میکنی میگن شکایت میکنیم ازت! ولی این بین وبسایت های خوبی هم هستند که با شرافت و حرفه ای کار میکنن و دمشون گرمه
و از این به بعد تجربه روی وبسایت های خارجی رو هم به اشتراک میزارم که تجربه ها و باگ هایی که پیدا میکنم رو راحت تر میتونم با شما به اشتراک بزارم چون دیگه استرس شکایت نیست
و در آخر صبر و امید لازمه زنده بودنه، باگ بزنید!
کانال
+ آسیب پذیری دارن
+ هکر راحت تر چفت میشه با سایت
+ از نظر ارتباط گرفتن راحت تره
ولی از بدیای تارگت ایرانی میتونم به بزرگترینشون یعنی
- دریافت گزارش و انجام ندادن پیمنت و حق الزحمه هکر هستش
من حدودا 25 تا آسیب پذیری از اواسط ماه پیش تا الان زدم که از بین این 25 تا کلا 2 تاش تریاژ شده که پیمنت هم داشتن باقی تریاژ شده
فیکس شده
گفتن میریزن
نریختن! زنگ میزنی جواب نمیدن
پیام میدی جواب نمیدن
پیگیری زیاد هم میکنی میگن شکایت میکنیم ازت! ولی این بین وبسایت های خوبی هم هستند که با شرافت و حرفه ای کار میکنن و دمشون گرمه
و از این به بعد تجربه روی وبسایت های خارجی رو هم به اشتراک میزارم که تجربه ها و باگ هایی که پیدا میکنم رو راحت تر میتونم با شما به اشتراک بزارم چون دیگه استرس شکایت نیست
و در آخر صبر و امید لازمه زنده بودنه، باگ بزنید!
کانال
خبر مهم :خب لیست نهایی منتشر شد، مقاله امید جز ۱۰ تای برتر انتخاب شد، تبریک با ذوق فراوان به امید بابت این دستاورد مهم، واقعا حقت بود چون میدونم چقدر زحمت کشیدی براش، روش خلاقانه و قشنگی رو پیدا کردی و کارت عالی بود. ایشالا همیشه بدرخشی ❤️
https://portswigger.net/research/top-10-web-hacking-techniques-of-2024
https://portswigger.net/research/top-10-web-hacking-techniques-of-2024
PortSwigger Research
Top 10 web hacking techniques of 2024
Welcome to the Top 10 Web Hacking Techniques of 2024, the 18th edition of our annual community-powered effort to identify the most innovative must-read web security research published in the last year
افراد در دنیای حقیقی
نه به اندازه Instagramشون خوشحال،
نه به اندازه Twitterشون فهمیده،
و نه به اندازه Linkedinشون موفق هستن!
زنگ زدیم به شرکت خصوصی جواب دادن حرف زدیم گفتن اوکیه بانتی میدیم گزارش کنید خیلی محترمانه
بعد ازشون چندین تا باگ زدیم از medium بگیر تا Critical گزارش کردیم تشکر کرده شماره کارت گرفته اسم گرفته، بعد زنگ میزنی جواب نمیده بعد از 20 روز 😐
باگ بانتی این مشکلات رو هم داره دوستان
#تجربه
بعد ازشون چندین تا باگ زدیم از medium بگیر تا Critical گزارش کردیم تشکر کرده شماره کارت گرفته اسم گرفته، بعد زنگ میزنی جواب نمیده بعد از 20 روز 😐
باگ بانتی این مشکلات رو هم داره دوستان
#تجربه