اگه میخوای بیشتر XSS هات P2,P1 بشن از نکته زیر استفاده کن
۹۹ درصد باگ هانترا (صرفا باگ هانترا) راجب این تکنیک چیزی نمیدونن ولی وقتی ترکیبش میکنی تو گزارشت تریاژر خوف میکنه رسما
سعی کن هکر باشی ❤️‍🔥😉


https://x.com/pentesterlanden/status/1994795913488077214?s=46

یکبار برای شوخی از همین تکنیک برای دسترسی گرفتن از سیستم یکی از دوستان استفاده شد (هکر هستن ایشون)
گفتیم فلان سایت باگ بانتی پرایویت گذاشته
به کمک این تکنیک یه فایل سمتش دانلود شد با اسمی جذاب که جذب شد نکنه این فایله مال ادمینی چیزی بوده و بله مورد نفوذ قرار گرفت
هانترای عزیز مراقب باشید هرچی سمتتون رو سیستم نشست خوشحال نشید بگی به به یه فایل بدرد بخور پیدا شد خیلی وقتا اون فایله خوراکه اینه که خودتون مورد نفوذ ریز قرار بگیرید😁❤️‍🔥

کلا در دنیای هک از یک جایی به بعد دوتا رویکرد وجود داره
اینکه بخوای با یه علم محدود صرفا یک سری کار تکراری رو انجام بدی یا گستره علم رو بیشتر کنی و کارای تکراری گذشتت رو هم متفاوت کنی و این تفاوت در همه چیز خودش رو نشون میده:
درامد
دانش
خلاقیت
و …

وقتی یک هکر از یک جا دسترسی میگیره و میخواد خودشو معرفی کنه 🤣🤣

https://www.instagram.com/reel/DRrDDOoDXsN/?igsh=bWM3N2F0cm1yYmxs

وقتی کمپانی قراره بهت پول بانتی رو بده ته دلش این حس رو داره🤣

https://www.instagram.com/reel/DRwItMJDS6O/?igsh=MWpldTlwYm5vNGRoOA==

برا همینه میگم دسترسیتون رو پرسیست کنید همیشه
که اگه مثل پست بالا پول ندادن حالتون بد نشه 😁
خوندن کپشن الزامیست

https://www.instagram.com/reel/DRwU2WEDYjg/?igsh=Y3R0OTVrcWh5ZDgz

بیشتر از اینا بدرخشی رضا جان
کارت عالی بود ❤️‍🔥🤌🏼

⚠️آسیب پذیری بحرانی React و Next.js با CVE-2025-55182 با شدت ۱۰ منتشر شد!

مهاجم با استفاده از RSC میتواند کد دلخواه را بر روی سرور اجرا کند.
نسخه های Patch شده به شرح زیر است :
16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5


PoC: const maliciousInput =

 `x:expression(alert(1))`;
<div style={maliciousInput} />
<div style="x:expression(alert(1))">

لطفا سریعا به روز رسانی کنید و دوستان خود را مطلع کنید.

برای دریافت به‌روزرسانی‌های امنیتی روزانه، و اخبار امنیت سایبری مارو به عنوان منبع مورد نظر خود دنبال کنید ->❤️💻
GROUP ™️
@mandegar_sec | channel

Cve میاد حواستون باشه اینکارو کنید
بانتی رو نسوزونید

به دلیل اشتباهات زیادی که در اکسپلویت مربوط به CVE-2025-55182
یه کد پایتون ساده مولتی ترد اماده کردم که به راحتی خروجی whoami رو میفرسته به سرور مهاجم

فقط هم این سه تا کتابخونه ایمورت شده که دوتاش برا درخواست و عدم نشون دادن خطاست (ریکویست و یو ار ال لیب) و ترد برا سرعت بالا
ادرس دی ان اس تون رو بدید (برپ کولب یا وب هوک دی ان اس هم اوکیه)
لیست تارگت ها

خروجی whoami میاد برا دی ان اگه اسیب پذیر باشه
درصد جواب دهی ؟ 100% تست شده روی بیش از n ادرس ازمایشگاهی (لابراتوار بوده : D )
تمامی این کد صرفا جهت موارد اموزشی و هکر قانون مند نوشته شده و انجام هرگونه عملیات مخرب روی ادرس هایی که مجوز ندارید خلاف قوانین و نیت این ابزار هست
نکته :‌ترکیبش کنید با api shodan ببینید چی میده

Shodan cli command 😁️️
shodan search --fields ip_str,port --limit 1000 'http.component:"react"' | awk '{print "https://"$1":"$2}' > test.txt

باز هم برای مصارف اموزشی این رو فقط رو ای پی هایی که اجازه دارید بزنید
قانون مند باشید

این پست توضیحات اسیب پذیری ترسناک و جدیدی هست که روی React o nextjs یا دقیق تر بگم RSC اومده، و منجر به دسترسی به سرور میشه و خلاصه مهاجم میتونه بیاد تو(و همه چیز از تو اومدن شروع میشه)😁:

https://www.instagram.com/reel/DR37lC-jSZs/?igsh=MWg4MWplN2o0bXhrNw==


خیلی دوست دارم اون روزی بیاد که پستا تخصصی بیشتر محتوا زرد و طنز دیده بشه 😁❤️‍🔥