بازار کار همه خوابیده
جنگ آبادانی رو میبره از کشور ولی بعد از پیروزی همه رو میشه درست کرد انشالله به امید #پیروزی_ایران

در هیچ کجای دنیا در جنگ مراکز خبری را هدف قرار نمیدهند ولی این ملت و قوم قاتل و جنایتکار امروز صدا و سیمای جمهوری اسلامی ایران یعنی کشورمون رو مورد هدف قرار داد و واقعا افتخار میکنم که همچین مردمی داریم که حتی در زمانی که موشک خورده بود هم باز هم کم نیاوردن
به زودی داریم تحقیق هایی رو انجام میدیم هرچند کوچک ولی یه حرکتی در دنیای سایبری باید انجام بدیم حتی یه دیداس کوچک

اگر کشور ما زمین بخوره توی این جنگ همه ما زمین میخوریم ناموس ما زمین میخوره خاک ما زمین میخوره و اون موقع هیچ علمی به کارمون نمیاد نه امنیت شبکه نه امنیت وب اپلیکیشن نه امنیت اینترنت اشیا
پس الان هرچی رو که میدونی استفاده کنید از هرچیزی که بلدید استفاده کنید
بعضی وقتا با یه xss ساده میتونی یه سرور رو در دست بگیری با یه سناریو و استراتژی قدرتمند


مراقب خودتون باشید و موفق باشید!

در حال حاضر با اینترنت ملی اکثر فیلترشکن ها قطع هستن و فقط بعضی از SSH تونل ها کار میکنن که تعداد خیلی خیلی زیادشون هم بسیار کند هستن

بهترین راه استفاده از پلتفرم های ایرانیه فعلا تا اینترنت ها برگرده
#پیروزی_ایران

اینترنت ها برگشته ولی زیر ساخت ها تا دوباره جون تازه بگیرن طول میکشه

دوباره روال عادی زندگی و باگ بانتی رو شروع میکنیم!

ببینید تجربه من توی این یکی دو سال نشون داده که واقعا توی ایران کار کردن بانتی به مراتب راحت تر از خارج از کشوره ولی یه ایرادی داره اینه که پاسخگو نیستن!
ببینید من الان حدودا 2 ماهه که دارم دنبال یه سایت معروف (آموزش برنامه نویسی میده حرفه ای) و بزرگ میدوم که یکی پاسخگو باشه که 3 تا باگ کریتیکالی که ازشون زدم رو پچ کنن
ولی درعوض بعضی سایتا هم هستن که واقعا خوب برخورد میکنن و پیگیر کار میشن

در کل تارگت خوب انتخاب کنید و خودتونو سریع جمع و جور کنید که بازار کار داره برمیگرده

باگ بزنید! ❤️🙏

فعلا روی هر وبسایتی که میری باگ میزنی یا میگه بخاطر جنگ درآمدمون قطع شده یا جوابتو نمیده یام کلا گزارش رو میگیرن و جوابتو نمیدن

مراقب باشید و با مزاکره درست برین جلو!

محمد عزیز یکی از دانشجویان کاربلد منتورینگ که تو این یکی دو سال نشون داده که پتانسیل بالا و فوق العاده ای داره
یک ابزار خیلی خوب و اصولی نوشته برا بحث باگ بانتی و مس هانت در زمینه ریکان که میتوانید ازش استفاده کنید :

https://github.com/MrMohammad81/watchtower

برنامه رسمی باگ بانتی که وابسته به دولت هم هست و توش Reflected XSS به عنوان N/A یا آسیب پذریری غیر قابل قبول شناخته بشه واقعا کنسل و خنده داره😑کلا بعضی از این 24 دارا رو باید بزاری کنار و توی برنامه های باگ بانتیشون کار نکرد
انشالله که اوضاع بهتر شه

#تجربه

یکی از تجربه های تلخی که یادمه داشتم این بود که اوایل کارم بود، و یه تارگت خوب خورده بود بهم و اولین باگ های عمرم رو روی تارگت واقعی زده بودم
Race condition
3 idor lead Pii leak
Reflected Xss

بعد یادمه پیام دادیم و همه کارا داشت توب پیش می‌رفت باگ Race رو رو قبول کردن که بانتی بدن مبلغ 2.5 منم خوشحال که اولین بانتی عمرمه
بعد گفت که خب شماره کارت و اطلاعات بده دادم بعد رفتیم برا ادامه کار
Idor هارو دادم گفتن که تیم پنتست خودمون درآورده اینارو

بعد می‌شناختم پنتست کارشون رو یکی از اساتید بود گفت که با تاخیر 12 ساعت من زود تر از تیم پنتست شون باگ رو زدن
صحبت کردیم قبول نکردن که باگ مال منه و بانتیش هم متعلق به منه بعد به این نتیجه رسیدم که توی ایران اتفاق های غیر منتظره زیاد میوفته
نمونش همین دیروز که Stored Xss روی وبسایت خوبی که بانتی های خوبی هم میده و اولش گ داره قبول نکرد و هنوزم قبول نمیکنه که این باگه! خودتونو تو ایران برای این اتفاقات آماده کنید

#تجربه

دوستان وقتی شما شروع به کار میکنید روی تارگت های ایرانی باید اماده هرچیزی باشید
طبق تجربه و آخرین تجربه عجیب و غریب من تا این لحضه این بود که از یه صرافی این باگ هارو زدیم
Race Condition on Payment
2 Stored XSS Lead To Full ATO Admins & Normal Users
IDor to Leak DATA
Rate Limit Bypass
Broken Authentication Lead to Full Account Take Over
Stored XSS Lead To Account Take Over Admins
و مبلغ پیشنهادی به 20 میلیون تومان هم نمیرسه !

ببینید واقعا بعضی وقتا چیز هایی میبینید که هوش از سرت میپرونه ولی تو باید قبول کنی چون که قوانین خاصی وجود نداره (البته که ممکنه همین مبلغ رو هم بعد که دریافت کردن گزارش هارو واریز نکنن) شاید بگین خب همه باگ هارو نده ولی کور خوندین موقعیت طوریه بین آبروی کاری و پول باید یکی رو انتخاب کنی

با ما باشین تا از تجربیات علمی تخیلی ما استفاده کنید و براتون انشالله همچین مشکلات عجیب غریبی از قبیل (فوت تریاژر ، پدر شدن تریاژر ، جنگ ، قعطی اینترنت ، هوم لس بودن شرکت ها ، و ....)پیش نیاد😂

#تجربه

network engineers

اختلال شدید روی اینترنت های ایران داریم که دو دلیل میتونه داشته باشه یکیش این میتونه باشه که ملی شده باشه (احتمالش کمه چون پروکسی ها کار میکنن) و این که DDOS ها زیاد شده روی زیر ساخت ها و باعث کندی اینترنت شده!
اینترنت مخابرات (ADSL) پریده
اینترنت همراه اول اختلال شدید داره
اینترنت ایرانسل هم اینترنت هم اختلال شدید داره

احتمال اینکه به دلیل عذاداری باشه هم هست!

فعلا این پروکسی کار میده روی ایرانسل 512 پینگشه

پروکسی

دوستان ببینین فقط من تنها نیست اکثرا به این طور مشکلات بر میخورن!

باید مراقب باشید و با سیاست برین جلو.

یادی از گذشته😂😂😂
مصاحبه جرجندی با فاندر یکی ازین پروژه های مشکوک به پانزی هر بار میبنمش جر میخورم 😂😂

@MojaV3r | چنل برنامه نویسی و امنیت

نمیدونم بخندم به ریکشن اقای جرجندی یا که گریه کنم واسه اهمیت نداشتن اطلاعات ملت و اینکه اینقدر بی مسئولیتن مسئولین بعضی از شرکت ها

یه باگ زدم هولو یعنی خود منم شانسی بهش رسیدم ( یهویی شد) انشالله شرکت اجازه بده بتونم بزارم گزارش رو بعد از پچ کردن تو کانال

باگ سطح مدیوم داره
و Broken access control هستش
از یه سایت معتبر و خوب که چندین ساله باگ بانتی داره و خود منم بار ها و بار ها تستش کرده بودم ولی خب به ذهنم نرسیده بود همچین کاری کنم

#تجربه #باگ_بانتی

پستی از آقای مجاور!

اسکریپتی که با زبان جاوا اسکریپت نوشته شده و اولین بار یاشار شاهین زاده معرفی کرد که به این گونه کار میکنه که تمام اندپوینت ها و مسیر هایی که با اسلش (/) شروع میشن رو میاره!

من طبق تجربم کارکرد خیلی خفنی نداره ولی دربعضی جاها به درد خورده استفاده کردن ازش بی فایده هم نیست!

javanoscript:(function(){var noscript=document.getElementsByTagName("noscript"),regex=/(?<=(\"|\'|\))\/[a-zA-Z0-9_?&=\/\-\#\.]*(?=(\"|\'|\))/g;const results=new Set; for(var i=0;i<noscript.length;i++){var t=noscript[i].src;""!=t&&fetch(t).then(function(t){return t.text()}).then(function(t){var e=t.matchAll(regex);for(let r of e)results.add(r[0])}).catch(function(t){console.log("An error occurred:",t)})}var pageContent=document.documentElement.outerHTML,matches=pageContent.matchAll(regex);for(const match of matches)results.add(match[0]);function writeResults(){results.forEach(function(t){document.write(t+"<br>")})}setTimeout(writeResults,3e3);})()

اینو توی کنسول قسمت اینسپکت سایت بزنید.

#امنیت #باگ_بانتی #ابزار

رایتآپ آمادس + ویدیو توضیح اسیب پذیری فقط باید شرکت اجازه رو بده باهاشون دارم صحبت میکنم درمورد اینکه باگ رو زودتر پچ کنن و من مقاله رو منتشر کنم!

دوستان یه سری از کانال ها دوره ای تحت عنوان هک دوربین مداربسته و گوشی و اینا میزارن!

ببینید واقعا همچین چیزی وجود نداره و همش از طریق جمع آوری اطلاعات و یه سری علوم پایه هستش.
توی اکثر دوره ها با استفاده از ابزار ها اسکن میکنن ایپی هارو که هی پورت خاصی روشون باز باشه بعد میان پسورد دیفالت میزنن ببینن اگر باز بود اون دوربین میشه هک شده!


یا یه روش دیگه هم داره که از طریق دورک و چرخیدن توی اینترنت به دست میاد! پس پولتون حروم این چیزای بیسیک و به درد نخور نکنید.


نکته : من کردم شما نکنید تجربه شه براتون!

#دوربین_مداربسته
#امنیت

خیلی عالی داره پیش میره 11 روش و شیوه دسترسی به دوربین های مداربسته رو ثبت کردم که یکی یکی انجام میدیم و توضیحاتش رو شرح میدیم یه ابزاری هم خودم نوشته بودم خیلی سال پیش (مربوط به رزومه خیلی سال پیش من میشه ) رو هم توضیح میدم توی ویدیو برقا بیاد بریم برای رکورد!

#دوربین_مداربسته
#امنیت