اقا روی یه سایتی امروز کار کردم که باگ های خوبی زدم (+15) نظرتونه بعد از پچ شدنش لیست باگ هارو با توضیحات بهتون بگم انرژیتو بکشه بالا؟
👍35❤2
Forwarded from OnHex
🔴 آسیب پذیری بحرانی در جنگو
آسیب پذیری بحرانی با شناسه ی CVE-2025-64459 و با امتیاز 9.1 و از نوع SQLi در جنگو (Django) گزارش و اصلاح شده.
نسخه های در حال پشتیبانی که تحت تاثیر هستن (نسخه های قدیمی و فاقد پشتیبانی هم احتمالا تحت تاثیر هستن):
نسخه های اصلاح شده:
توضیحات فنی آسیب پذیری رو میتونید از اینجا مطالعه کنید.
#آسیب_پذیری_امنیتی #جنگو
#CVE #Django #SQLI
🆔 @onhex_ir
➡️ ALL Link
آسیب پذیری بحرانی با شناسه ی CVE-2025-64459 و با امتیاز 9.1 و از نوع SQLi در جنگو (Django) گزارش و اصلاح شده.
نسخه های در حال پشتیبانی که تحت تاثیر هستن (نسخه های قدیمی و فاقد پشتیبانی هم احتمالا تحت تاثیر هستن):
6.0 (currently at beta status)
5.2, 5.1
4.2
نسخه های اصلاح شده:
Django 5.2.8
Django 5.1.14
Django 4.2.26
توضیحات فنی آسیب پذیری رو میتونید از اینجا مطالعه کنید.
#آسیب_پذیری_امنیتی #جنگو
#CVE #Django #SQLI
🆔 @onhex_ir
➡️ ALL Link
Endorlabs
Critical SQL Injection Vulnerability in Django (CVE-2025-64459) | Blog | Endor Labs
Critical SQL Injection Vulnerability in Django (CVE-2025-64459). Learn what happened, root cause, impact, and how to mitigate.
❤4
Visual Studio 2026 is here
Keys:
Keys:
Professional: NVTDK-QB8J9-M28GR-92BPC-BTHXK
Enterprise: VYGRN-WPR22-HG4X3-692BF-QGT2V
Microsoft News
Visual Studio 2026 is here: faster, smarter, and a hit with early adopters
Dear developers, We’re thrilled to announce that Visual Studio 2026 is now generally available! This is a moment we’ve built side by side with you. Your feedback has helped shape this release more than any before. Since the introduction of the Insiders Channel…
Life and Learning🎭
Visual Studio 2026 is here Keys: Professional: NVTDK-QB8J9-M28GR-92BPC-BTHXK Enterprise: VYGRN-WPR22-HG4X3-692BF-QGT2V
لایسنس کوتاه مدته تا اکسپایرش کنن
❤6
یه سناریو بگیم؟
یک از بهترین راه ها برای پیدا کردن reflected xss اینه که شما دونه به دونه درخواسن هارو بررسی کنید.
من دفعات زیادی شده که این باگ رو فقط بخاطر بررسی دقیق هر درخواست پیدا کردم
خیلی از مواقع در فرایند پرداخت یه سری پارامتر معلوم میشن که رفلکشن دارن!
و چون توی فلوی سایت استفاده میشن خیلیا شاید نبیننشون!
اونارو میتونید تست کنید. و البته اگر نخورد تسلیم نشید و انکد های مختلف رو نسبت به درک و فهم معماری سایت استفاده کنید!
در ریدایرکشن ها!
در فلوی اتنتیکیشن
در فلوی پرداخت ها
در فلوی سبد خرید
در قسمت تیکت ها
و......
میتونید این آسیب پذیری رو پیدا کنید!
خیلی وقت ها شما به مشکلاتی میخورید که اولین باره که با اون مشکل مواجه میشید و وقتی که از اون مشکل موفق و سر بلند با اتکا به خلاقیتتون بیرون میاید اون موقع یه قدم به سمت متخصص شدن جلو تر میرید!
چون اوپراتور کشف باگ که خیلی داریم
مهم متخصص بودنه که کار هرکسی نیست
باگ بزنید! کارمندی هم بد نیست در کنار باگ زدن ❤️😂
#باگ_بانتی | #رایتآپ
یک از بهترین راه ها برای پیدا کردن reflected xss اینه که شما دونه به دونه درخواسن هارو بررسی کنید.
من دفعات زیادی شده که این باگ رو فقط بخاطر بررسی دقیق هر درخواست پیدا کردم
خیلی از مواقع در فرایند پرداخت یه سری پارامتر معلوم میشن که رفلکشن دارن!
و چون توی فلوی سایت استفاده میشن خیلیا شاید نبیننشون!
اونارو میتونید تست کنید. و البته اگر نخورد تسلیم نشید و انکد های مختلف رو نسبت به درک و فهم معماری سایت استفاده کنید!
در ریدایرکشن ها!
در فلوی اتنتیکیشن
در فلوی پرداخت ها
در فلوی سبد خرید
در قسمت تیکت ها
و......
میتونید این آسیب پذیری رو پیدا کنید!
خیلی وقت ها شما به مشکلاتی میخورید که اولین باره که با اون مشکل مواجه میشید و وقتی که از اون مشکل موفق و سر بلند با اتکا به خلاقیتتون بیرون میاید اون موقع یه قدم به سمت متخصص شدن جلو تر میرید!
چون اوپراتور کشف باگ که خیلی داریم
مهم متخصص بودنه که کار هرکسی نیست
باگ بزنید! کارمندی هم بد نیست در کنار باگ زدن ❤️😂
#باگ_بانتی | #رایتآپ
❤6😁2
انشالله اگر خدا بخاد روز دو شنبه به بعد با سایت حرف میزنم، چون جلسه داریم که راضیشون کنم گزارش رو پابلیک کنم
یه باگی زدم که خودم اولین بارم بود که کشفش کردم و خیلی جالب بود برام
یه باگی زدم که خودم اولین بارم بود که کشفش کردم و خیلی جالب بود برام
👏6
یه سری آسیب پذیری ها هستش که دیگه خیلی کم پیدا میشه و خیلی از اساتید معتقدند که دیگه منقضی شدن ولی در اصل اونها آپگرید شدن ! اینبار اومدیم به یکی دیگه از همین آسیب پذیری ها بپردازیم!
آسیب پذیری SQL Injection که بسیار خطرناک هستش ، شما در این آسیب پذیری از طریق ورودی کاربر مستقیما وارد کوعری میشی و میری توی کوعری و با ویرایش درست کوعری به دیتایی دسترسی پیدا میکنی ، ولی الان هم این روش ساده کار میده ؟ خیر
الان چیز هایی اومده به نام ORM که از اونها برای کوعری زدن استفاده میشه ، ولی آیا سیفن ؟ خیر به صورت کلی ORM ها سیف هستن ولی بعضی از وقت ها کتابخانه هایی که استفاده میشن خطایی میدن و نحوه پیاده سازیشون ممکنه اشتباه باشه( چیزی که ما دوست داریم) به این سبک از آسیب پذیری ORM Injection میگن ، ولی نهایتا ایمپکتش SQL injection هستش ، یکی از بهترین مقالاتی که خوندم در این باره این مقاله ها هستش
https://afine.com/sql-injection-in-the-age-of-orm-risks-mitigations-and-best-practices/
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05.7-Testing_for_ORM_Injection
این مقالات رو بخونین به کارتون میاد ، چون جدید ترین 0day هایی که ایمپکت SQLI دارن با این مدل ها ممکنه خورده باشن ، پس قدم بردارین به سوی سبک جدید آسیب پذیری ها و رو به قله سعود کنید!
#رایتاپ | #امنیت
آسیب پذیری SQL Injection که بسیار خطرناک هستش ، شما در این آسیب پذیری از طریق ورودی کاربر مستقیما وارد کوعری میشی و میری توی کوعری و با ویرایش درست کوعری به دیتایی دسترسی پیدا میکنی ، ولی الان هم این روش ساده کار میده ؟ خیر
الان چیز هایی اومده به نام ORM که از اونها برای کوعری زدن استفاده میشه ، ولی آیا سیفن ؟ خیر به صورت کلی ORM ها سیف هستن ولی بعضی از وقت ها کتابخانه هایی که استفاده میشن خطایی میدن و نحوه پیاده سازیشون ممکنه اشتباه باشه( چیزی که ما دوست داریم) به این سبک از آسیب پذیری ORM Injection میگن ، ولی نهایتا ایمپکتش SQL injection هستش ، یکی از بهترین مقالاتی که خوندم در این باره این مقاله ها هستش
https://afine.com/sql-injection-in-the-age-of-orm-risks-mitigations-and-best-practices/
https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05.7-Testing_for_ORM_Injection
این مقالات رو بخونین به کارتون میاد ، چون جدید ترین 0day هایی که ایمپکت SQLI دارن با این مدل ها ممکنه خورده باشن ، پس قدم بردارین به سوی سبک جدید آسیب پذیری ها و رو به قله سعود کنید!
#رایتاپ | #امنیت
AFINE - digitally secure
SQL Injection in the Age of ORM: Risks, Mitigations, and Best Practices - AFINE - digitally secure
This article shows how SQL injection vulnerabilities can still occur in apps using modern ORM frameworks. Learn how to spot insecure patterns and write safer code.
❤3
Dagen (security)
درسته ؟! @Dagen_security
https://news.1rj.ru/str/dagen_security
بچه ها قوی کار میکننا یه نگاه بندازین به اینجا هم ، باریکلا
بچه ها قوی کار میکننا یه نگاه بندازین به اینجا هم ، باریکلا
Telegram
Dagen (security)
هر سیستمی یک نقطه ضعف دارد و هر نقطه ضعف فرصتی است برای تولد یک افسانه.
persian books channel : @persian_b_sec
Writups channel : @pocofBugs
persian books channel : @persian_b_sec
Writups channel : @pocofBugs
Life and Learning🎭
یه سری آسیب پذیری ها هستش که دیگه خیلی کم پیدا میشه و خیلی از اساتید معتقدند که دیگه منقضی شدن ولی در اصل اونها آپگرید شدن ! اینبار اومدیم به یکی دیگه از همین آسیب پذیری ها بپردازیم! آسیب پذیری SQL Injection که بسیار خطرناک هستش ، شما در این آسیب پذیری از…
Medium
ORM HQL Injection
Hello, security researchers! I hope you’re all doing well. 😊
داشتم توی اینترنت دنبال یه سری از تفاوت ها میگشتم که درک بهتری پیدا کنم از AUthentication Vulnerabilities رسیدم به یه مقاله که به مسئله Stateful & Stateless بسیار خوب پرداخته که میخام با شما به اشتراکش بزارم
https://www.redhat.com/en/topics/cloud-native-apps/stateful-vs-stateless
هم روان نوشته شده و هم قابل درک وفهمه!
#مقالات | #امنیت
https://www.redhat.com/en/topics/cloud-native-apps/stateful-vs-stateless
هم روان نوشته شده و هم قابل درک وفهمه!
#مقالات | #امنیت
Redhat
Stateful vs stateless applications
The difference between stateful and stateless applications is that stateful applications save past and present information while stateless applications don’t.
❤5👍1🔥1
میگن که خیلی مهمه بدونی سایت token Based هستش یا session based (cookie based) ولی چرا؟
ببینید بر اساس تجربه شخصی ، من بیشتری باگ های تصاحب اکانتی که زدم روی سایت های session based بوده ، مثلا یه XSS بوده که از به دلیل اینکه جاوا اسکریپت به سشن دسترسی داشته تونستم تصاحب اکانت رو ولیدیت کنم!
ولی بیاین بررسی کنیم !
به طور کلی فلوی سایت های توکن بیس اینطوریه که :
1. شما با اطلاعاتتون لاگین میکنید
2. سایت توکن جنریت میکنه براتون
3. شمارو اونو وریفای میکنی ( ذخیره میکنی توی لوکال استوریج برای مثال)
4. هرجا که درخواست بزنی اون توکن توی درخواستی میاد که سایت دسترسی به اون صفحه رو بده
حالا بیاید درمورد امنیتش صحبت کنیم : سایت میاد توکن رو بر اساس یه سیگنیچر میسازه و رمزنگاریش میکنه ، مثل JWT که اگر برنامه نویس توی نحوه پیاده سازی این روند گافی داده باشه ، هکر ممکنه بتونه توکن رو ریجنریت کنه و تصاحب اکانت کنه ، اکانت سایر کاربران رو!
حالا آیا این فلو روی سشن هم انجام میشه؟ نه فلوی اون متفاوته
به طور کلی فلوی سایت های کوکی بیس یا سشن بیس اینطوریه که :
1. اطلاعاتت رو وارد میکنی و لاگین میکنی
2. سایت یه سشن میسازه ، و ذخیره میکنه توی خودش
3. و به کاربر میده تا وریفای کنه کاربر خودشو ( ذخیره کنه توی هدر کوکی یا سشن)
4. سایت از این به بعد هرجا این سشن رو ببینه میگه که فلانی اومده و هویتت تایید میشه
حالا تا اینجا یکم تخصصی حرف زدم ، بیاید یه مثال بسیار ساده بزنم براتون
فکر کنید رفتید به یه استخر! و اون مامور اونجا شمارو از روی چهره نمیشناسه ( یعنی از قبل با شما اشنایی نداره = یعنی قبلا سشنی از شما ذخیره نشده) ولی بهتون یه دستبند میده که میتونید کمدتون رو باز کنید و هویتتون رو تایید کنید ، این دستبند حکم توکن شمارو داره ، چون توکن در لحضه ساخته میشه و نیاز به اطلاعات قبلی نیست یعنی سایت stateless هستش و نیاز به ذخیره دیتا یا توکن نداره ، نهایتا برای امنیت بیشتر رمزنگاری بهتر + یه انقضا ست میکنه
حالا فکر کنید دفع دوم رفتید استخر رفیقتون ، اونجا شمارو میشناسن ، یعنی شما رو قبلا دیدن ( یعنی شما چهرتون اشناس = قبلا سشن ایجاد کردید توی سایت ) و به شما میگن به به اقای X برو کمد فلان برات بازه بزارا ونجا این دقیقا مدل سشن بیسه ، اطلاعات ذخیره میشه ، و شما از طریق اطلاعات قبلی شناسایی میشید که در اینطور موارد سایت Stateful هستش چرا؟ چون که دیتا هارو داره ذخیره میکنه و نیاز داره که برای احراز هویت به دیتا های قبلی مراجعه کنه
و اینجا به مسئله stateless و stateful میرسیم که میتونید از طریق مقاله بالا بخونین درموردش !
و اگر خواستین بیشتر درمورد Token Base VS Session Base Authentications بخونید میتونید به مقاله زیر مراجعه کنید ، من خوندم راضی بودم!
https://supertokens.com/blog/token-based-authentication-vs-session-based-authentication
#امنیت | #مقالات
ببینید بر اساس تجربه شخصی ، من بیشتری باگ های تصاحب اکانتی که زدم روی سایت های session based بوده ، مثلا یه XSS بوده که از به دلیل اینکه جاوا اسکریپت به سشن دسترسی داشته تونستم تصاحب اکانت رو ولیدیت کنم!
ولی بیاین بررسی کنیم !
به طور کلی فلوی سایت های توکن بیس اینطوریه که :
1. شما با اطلاعاتتون لاگین میکنید
2. سایت توکن جنریت میکنه براتون
3. شمارو اونو وریفای میکنی ( ذخیره میکنی توی لوکال استوریج برای مثال)
4. هرجا که درخواست بزنی اون توکن توی درخواستی میاد که سایت دسترسی به اون صفحه رو بده
حالا بیاید درمورد امنیتش صحبت کنیم : سایت میاد توکن رو بر اساس یه سیگنیچر میسازه و رمزنگاریش میکنه ، مثل JWT که اگر برنامه نویس توی نحوه پیاده سازی این روند گافی داده باشه ، هکر ممکنه بتونه توکن رو ریجنریت کنه و تصاحب اکانت کنه ، اکانت سایر کاربران رو!
حالا آیا این فلو روی سشن هم انجام میشه؟ نه فلوی اون متفاوته
به طور کلی فلوی سایت های کوکی بیس یا سشن بیس اینطوریه که :
1. اطلاعاتت رو وارد میکنی و لاگین میکنی
2. سایت یه سشن میسازه ، و ذخیره میکنه توی خودش
3. و به کاربر میده تا وریفای کنه کاربر خودشو ( ذخیره کنه توی هدر کوکی یا سشن)
4. سایت از این به بعد هرجا این سشن رو ببینه میگه که فلانی اومده و هویتت تایید میشه
حالا تا اینجا یکم تخصصی حرف زدم ، بیاید یه مثال بسیار ساده بزنم براتون
فکر کنید رفتید به یه استخر! و اون مامور اونجا شمارو از روی چهره نمیشناسه ( یعنی از قبل با شما اشنایی نداره = یعنی قبلا سشنی از شما ذخیره نشده) ولی بهتون یه دستبند میده که میتونید کمدتون رو باز کنید و هویتتون رو تایید کنید ، این دستبند حکم توکن شمارو داره ، چون توکن در لحضه ساخته میشه و نیاز به اطلاعات قبلی نیست یعنی سایت stateless هستش و نیاز به ذخیره دیتا یا توکن نداره ، نهایتا برای امنیت بیشتر رمزنگاری بهتر + یه انقضا ست میکنه
حالا فکر کنید دفع دوم رفتید استخر رفیقتون ، اونجا شمارو میشناسن ، یعنی شما رو قبلا دیدن ( یعنی شما چهرتون اشناس = قبلا سشن ایجاد کردید توی سایت ) و به شما میگن به به اقای X برو کمد فلان برات بازه بزارا ونجا این دقیقا مدل سشن بیسه ، اطلاعات ذخیره میشه ، و شما از طریق اطلاعات قبلی شناسایی میشید که در اینطور موارد سایت Stateful هستش چرا؟ چون که دیتا هارو داره ذخیره میکنه و نیاز داره که برای احراز هویت به دیتا های قبلی مراجعه کنه
و اینجا به مسئله stateless و stateful میرسیم که میتونید از طریق مقاله بالا بخونین درموردش !
و اگر خواستین بیشتر درمورد Token Base VS Session Base Authentications بخونید میتونید به مقاله زیر مراجعه کنید ، من خوندم راضی بودم!
https://supertokens.com/blog/token-based-authentication-vs-session-based-authentication
#امنیت | #مقالات
Supertokens
Token Based Authentication vs Session Based Authentication
Sessions vs. Tokens: Understanding the Differences in Authentication
🔥4❤1👍1
یه نمونه سناریو بزارم براتون از OAuth Bypass!
Tittle : OAuth Scopes Misuse → Excessive Access / ACL Bypass
Severity : Critical
Denoscription : - If the site only accepts the wrong scope:
- For example:
- The hacker gets a token from another OAuth provider with the same scope but:
Related to himself
With a valid signature
But different audience
If the server does not verify the audience → successful login.
یه نمونه خفنش اینه ، این یه نمونشه
#رایتاپ | #امنیت
Tittle : OAuth Scopes Misuse → Excessive Access / ACL Bypass
Severity : Critical
Denoscription : - If the site only accepts the wrong scope:
- For example:
openid email- The hacker gets a token from another OAuth provider with the same scope but:
Related to himself
With a valid signature
But different audience
If the server does not verify the audience → successful login.
یه نمونه خفنش اینه ، این یه نمونشه
#رایتاپ | #امنیت
❤2
یه سری از مشکلاتی که از باگ بانتی نصیبتون میشه و مراحلی که طی میکنید رو میخام توضیح بدم براتون
👍5❤1🔥1
Forwarded from DexBlood
XSS to RCE in Google IDX Workstation: A Technical Deep Dive $22,500 Bounty
https://nullsecurityx.codes/xss-to-rce-google-idx-workstation
NullSecurityX
XSS to RCE in Google IDX Workstation: A Technical Deep Dive $22,500 Bounty Earned 💰
Life and Learning🎭
یه سری از مشکلاتی که از باگ بانتی نصیبتون میشه و مراحلی که طی میکنید رو میخام توضیح بدم براتون
اولین مشکلی که وقتی توی ورود توی امنیت داشتم این بود که دنبال یه راه سریع بودم! همیش فکر میکزدم یه راهی هست که زودتر تورو موفق میکنه 😂 بعدا فهمیدا نه بابا از این خبرا نیست باید خوب یادش بگیری
دومین مشکل اینه که اوایل هرچی باگ میزنم روی ایرانیا تریاژ نمیشد یا اگرم میشد بانتی نمیدادن یا اگرم بانتی تعیین میکردم واریز نمیکردن! منم ناامید میرفتم جلو بدتر و بد تر میشد تا اینکه یه سری رفیق پیدا کردم که از طریق اونها تونستم باگ اولم رو بزنم و بانتیشم بگیرم
بعد اومدم روی خارج از کشور! بد ترین و عجیب ترین مشکلات رو تجربه کردم از اینکه OAuth misc lead to ato روی دیزنی بگیر تااااااا rxss و otp bypass lead to pre ato همرو گزارش زدم
هرچی میتونستم میزدم و گزارش میکردم
ولی هرکدوم به یه نحوی خراب میشد
و هیچ بانتی بهم نمیرسید از خارج، در همین حین هم میدیدم رفیقام که حالا خوش شانس تر بودن داشتن خوب باگ میزدن
اینجا دقیقا به قول یاشار ربیت هولیه که نباید توش گیر کنی خیلی اینجا دقیقا جاییه که معلوم میکنه تو به درامد برسی یا نرسی، برا بعضیا خیلی طول میکشه برا بعضیا با یه گزارش دوپلیکیت رفع میشه، شانسیه دست خود ادمم نیست
من کلا میخاستم همین ربیت هوله رو اخطار بدم بهتون
چون نهایت امنیت و کسب درامد ازش اینه که علمت بالا باشه ولی اگر حواست به این مشکلات نباشه و اطلاع نداشته باشی وسط راه پشیمون میشی و همون علم رو هم کسب نمیکنی
پس تلاش، تلاش، تلاش بدون نگاه کردن به نتیجه یهو میبینی یه باگ زدی بهت 2500 دلار رسیده اونجا خستگی همه چی از تنت در میاد!
#تجربه | #امنیت
دومین مشکل اینه که اوایل هرچی باگ میزنم روی ایرانیا تریاژ نمیشد یا اگرم میشد بانتی نمیدادن یا اگرم بانتی تعیین میکردم واریز نمیکردن! منم ناامید میرفتم جلو بدتر و بد تر میشد تا اینکه یه سری رفیق پیدا کردم که از طریق اونها تونستم باگ اولم رو بزنم و بانتیشم بگیرم
بعد اومدم روی خارج از کشور! بد ترین و عجیب ترین مشکلات رو تجربه کردم از اینکه OAuth misc lead to ato روی دیزنی بگیر تااااااا rxss و otp bypass lead to pre ato همرو گزارش زدم
هرچی میتونستم میزدم و گزارش میکردم
ولی هرکدوم به یه نحوی خراب میشد
و هیچ بانتی بهم نمیرسید از خارج، در همین حین هم میدیدم رفیقام که حالا خوش شانس تر بودن داشتن خوب باگ میزدن
اینجا دقیقا به قول یاشار ربیت هولیه که نباید توش گیر کنی خیلی اینجا دقیقا جاییه که معلوم میکنه تو به درامد برسی یا نرسی، برا بعضیا خیلی طول میکشه برا بعضیا با یه گزارش دوپلیکیت رفع میشه، شانسیه دست خود ادمم نیست
من کلا میخاستم همین ربیت هوله رو اخطار بدم بهتون
چون نهایت امنیت و کسب درامد ازش اینه که علمت بالا باشه ولی اگر حواست به این مشکلات نباشه و اطلاع نداشته باشی وسط راه پشیمون میشی و همون علم رو هم کسب نمیکنی
پس تلاش، تلاش، تلاش بدون نگاه کردن به نتیجه یهو میبینی یه باگ زدی بهت 2500 دلار رسیده اونجا خستگی همه چی از تنت در میاد!
#تجربه | #امنیت
❤7👍3
Life and Learning🎭
اولین مشکلی که وقتی توی ورود توی امنیت داشتم این بود که دنبال یه راه سریع بودم! همیش فکر میکزدم یه راهی هست که زودتر تورو موفق میکنه 😂 بعدا فهمیدا نه بابا از این خبرا نیست باید خوب یادش بگیری دومین مشکل اینه که اوایل هرچی باگ میزنم روی ایرانیا تریاژ نمیشد…
نکته : نترسید از کار کردن بودع من لبتابم 5 روز خاموش نشده بوده نهایتا لاک کردن صفحه رو تا برسم به یه مکان دیگه
استفاده کنید از امکاناتتون به نحو احسنت ❤️
استفاده کنید از امکاناتتون به نحو احسنت ❤️
🔥7👍2