Forwarded from Code Review
تو این ویدیو میبینیم که چجوری با Code Review و Research ، یک ناهماهنگی بین رفتار MySQL و Domain Parser پیدا کردم و به Zero Click Account Takeover رسیدم.
https://www.youtube.com/watch?v=Y05pvgEms3Q
اگر خوشتون اومد ممنون میشم تو توییتر لایک و ریپوستش کنین ((:
https://x.com/Maverick_0o0/status/1842072104226672985
https://www.youtube.com/watch?v=Y05pvgEms3Q
اگر خوشتون اومد ممنون میشم تو توییتر لایک و ریپوستش کنین ((:
https://x.com/Maverick_0o0/status/1842072104226672985
YouTube
Zero-Click Account Takeover: Inconsistency between Domain Parsing and MySQL Collation behavior
🔎 توضیحات :
چجوری با Code Review و Research ، یک ناهماهنگی بین رفتار MySQL و Domain Parser پیدا کردم و به Zero Click Account Takeover رسیدم.
لینک نوشن :
https://heady-hat-c49.notion.site/PunyCode-Challenge-115db480342881aba8edfbdfccc98fba?pvs=4
لینک گیت…
چجوری با Code Review و Research ، یک ناهماهنگی بین رفتار MySQL و Domain Parser پیدا کردم و به Zero Click Account Takeover رسیدم.
لینک نوشن :
https://heady-hat-c49.notion.site/PunyCode-Challenge-115db480342881aba8edfbdfccc98fba?pvs=4
لینک گیت…
🔥9
Code Review
تو این ویدیو میبینیم که چجوری با Code Review و Research ، یک ناهماهنگی بین رفتار MySQL و Domain Parser پیدا کردم و به Zero Click Account Takeover رسیدم. https://www.youtube.com/watch?v=Y05pvgEms3Q اگر خوشتون اومد ممنون میشم تو توییتر لایک و ریپوستش کنین…
این ویدیو نکته خیلی قشنگی برای ATOداشت..
بچه ها رایتاپ امید و برنا جز ۱۰ رایتاپ وب هکینگ توی پورت سوییگر شده
حتما اگه خوشتون اومد حمایت کنین:
https://portswigger.net/polls/top-10-web-hacking-techniques-2024
حتما اگه خوشتون اومد حمایت کنین:
https://portswigger.net/polls/top-10-web-hacking-techniques-2024
portswigger.net
Top 10 web hacking techniques of 2024
Welcome to the community vote for the Top 10 Web Hacking Techniques of 2024.
🔥26👌2👍1
🚀 New Update Alert: ex-param v2.0 is Here!
What’s New?
✅ Enhanced Reflection Detection: Now checks for reflections in HTML attributes, JavaScript, and plain text for more accurate results.
✅ Custom Payloads: Test with your own payloads for advanced vulnerability discovery.
✅ Blacklist/Whitelist: Exclude or include specific parameters for targeted testing.
✅ Output Formats: Save results in TXT, JSON, or CSV for easy analysis.
✅ Multithreaded Performance: Faster crawling and testing with optimized multithreading.
✅ Subdomain Crawling: Optionally crawl subdomains for comprehensive coverage.
Key Features:
Domain Crawling: Automatically discovers pages and GET parameters.
Reflected Parameter Testing: Tests parameters for potential XSS vulnerabilities.
Real-Time Results: Displays results as soon as they’re found.
Save Crawled Data: Stores crawled URLs and reflected parameters for later review.
Customizable: Supports custom payloads, blacklists, and whitelists.
GitHub Repository:
🔗https://github.com/rootDR/ex-param
Join the Community:
Twitter: https://x.com/R00TDR
Telegram: https://news.1rj.ru/str/rootdr_research
What’s New?
✅ Enhanced Reflection Detection: Now checks for reflections in HTML attributes, JavaScript, and plain text for more accurate results.
✅ Custom Payloads: Test with your own payloads for advanced vulnerability discovery.
✅ Blacklist/Whitelist: Exclude or include specific parameters for targeted testing.
✅ Output Formats: Save results in TXT, JSON, or CSV for easy analysis.
✅ Multithreaded Performance: Faster crawling and testing with optimized multithreading.
✅ Subdomain Crawling: Optionally crawl subdomains for comprehensive coverage.
Key Features:
Domain Crawling: Automatically discovers pages and GET parameters.
Reflected Parameter Testing: Tests parameters for potential XSS vulnerabilities.
Real-Time Results: Displays results as soon as they’re found.
Save Crawled Data: Stores crawled URLs and reflected parameters for later review.
Customizable: Supports custom payloads, blacklists, and whitelists.
GitHub Repository:
🔗https://github.com/rootDR/ex-param
Join the Community:
Twitter: https://x.com/R00TDR
Telegram: https://news.1rj.ru/str/rootdr_research
❤13👍1
سلام و احترام
در وضعیتی که پرداخت های بخش دولتی به شدت به تاخیر افتاده و این موضوع بخش خصوصی به ویژه شرکت های حوزه فناوری اطلاعات را دچار مشکلاتی ساخته، کارزای با عنوان: "درخواست محاسبه دیرکرد مطالبات مالی شرکتها"
تهیه شده است. ممنون میشم امضا کنید.
https://www.karzar.net/179111
در وضعیتی که پرداخت های بخش دولتی به شدت به تاخیر افتاده و این موضوع بخش خصوصی به ویژه شرکت های حوزه فناوری اطلاعات را دچار مشکلاتی ساخته، کارزای با عنوان: "درخواست محاسبه دیرکرد مطالبات مالی شرکتها"
تهیه شده است. ممنون میشم امضا کنید.
https://www.karzar.net/179111
www.karzar.net
امضا کنید: کارزار درخواست محاسبه مطالبات مالی بخش خصوصی
تقاضا داریم تا با تصویب قانونی مناسب، مکانیزمی برای محاسبه دیرکرد فاکتورهای صادر شده توسط شرکتهای حوزه فناوری اطلاعات تعیین گردد
👍13
سلام رفقا
بعد از حدود ۳ سال فعالیت جدی ام در باگ بانتی میخوام اعتراف کنم ما هنوز در ایرانیم و از فعالیت در پلتفرم های داخلی خروجی مناسبی نگرفتم هرچند پاره وقت فعالیت داشتم ولی همچنان فعالیت در پلتفرم های بین الملی و دلاری ارزشی چندین برابر داره
امشب یک لایو فوق العاده با رضا @safe_mode01 داشتم که چشم منو باز کرد، میخوام این چالشو به خودم بدم و فعالیتمو در پلتفرمای داخلی با تعلیق حساب هام پایان بدم.
در پینوشت این کانال رو خیلی دلی ساختم که اطلاعات و تجربه هامو انتقال بدم با افرادی که مثل من علاقه مندن از انتشار دانش بی نسیب نشن، خیلی زود تعدامون زیاد شد و به هزار و ششصد نفر رسیدیم در ادامه من با انگیزه بیشتر مطالبی که بنظرم مفیدن رو اینجا میزارم و میخوام که خودمو به چالش بکشم..
Ex-param رو بیشتر توسعه میدم
و تجربیاتم و نکته هایی که در مسیر جدید قراره تجربشون کنم رو باهاتون در اشتراک میزارم اینجا
عشقید❤️
بعد از حدود ۳ سال فعالیت جدی ام در باگ بانتی میخوام اعتراف کنم ما هنوز در ایرانیم و از فعالیت در پلتفرم های داخلی خروجی مناسبی نگرفتم هرچند پاره وقت فعالیت داشتم ولی همچنان فعالیت در پلتفرم های بین الملی و دلاری ارزشی چندین برابر داره
امشب یک لایو فوق العاده با رضا @safe_mode01 داشتم که چشم منو باز کرد، میخوام این چالشو به خودم بدم و فعالیتمو در پلتفرمای داخلی با تعلیق حساب هام پایان بدم.
در پینوشت این کانال رو خیلی دلی ساختم که اطلاعات و تجربه هامو انتقال بدم با افرادی که مثل من علاقه مندن از انتشار دانش بی نسیب نشن، خیلی زود تعدامون زیاد شد و به هزار و ششصد نفر رسیدیم در ادامه من با انگیزه بیشتر مطالبی که بنظرم مفیدن رو اینجا میزارم و میخوام که خودمو به چالش بکشم..
Ex-param رو بیشتر توسعه میدم
و تجربیاتم و نکته هایی که در مسیر جدید قراره تجربشون کنم رو باهاتون در اشتراک میزارم اینجا
عشقید❤️
❤59👍10🔥6✍2
Pre-Account Take Over to Full Account Take Over
1-ثبت نام با ایمیل قربانی و شماره تماس هکر یا بلعکس(ایمیل هکر شماره تماس قربانی)
-2 تنظیمات پروفایل وفعالسازی متد های لاگین با هر دو مورد(email+phone number)
3-قربانی در صورت ثبت نام با پیغام قبلا ثبت نام کرده ایید مواجه میشود و درصورت ریست پسورد وی ما میتوانیم با شماره یا ایمیلی که ثبت نام کرده اییم حساب وی را تصاحب کنیم.
1-ثبت نام با ایمیل قربانی و شماره تماس هکر یا بلعکس(ایمیل هکر شماره تماس قربانی)
-2 تنظیمات پروفایل وفعالسازی متد های لاگین با هر دو مورد(email+phone number)
3-قربانی در صورت ثبت نام با پیغام قبلا ثبت نام کرده ایید مواجه میشود و درصورت ریست پسورد وی ما میتوانیم با شماره یا ایمیلی که ثبت نام کرده اییم حساب وی را تصاحب کنیم.
🔥28
https://pihunter.net/iranbugbounty/
این یک پست خوب برای دوستانیه دوست دارند روی برنامه های ایرانی فعالیت کنن
زحمت این پست رو مهدی کشیده
این یک پست خوب برای دوستانیه دوست دارند روی برنامه های ایرانی فعالیت کنن
زحمت این پست رو مهدی کشیده
پی هانتر
برنامه ها و پلتفرم های باگ بانتی ایرانی
سعی کرده ام در این بلاگ پست تمامی برنامه های باگ بانتی را ابتدا معرفی کنم سپس پلتفرم های فعال در این حوزه را معرفی و بررسی میکنیم
1🔥15👍4🙏4
Forwarded from Code Review
ریسرچ + استمرار = Blind spot
https://twitter.com/Maverick_0o0/status/1898071705001529609?t=ZRpbQjlwrsyQGPng02__AA&s=19
https://twitter.com/Maverick_0o0/status/1898071705001529609?t=ZRpbQjlwrsyQGPng02__AA&s=19
X (formerly Twitter)
Erfan Tavakoli (@Maverick_0o0) on X
0 Click Mass Account Takeover
همیشه سعی کنید باگهاتون رو به بالاترین ایمپکت ممکن برسونید
تو ایونت راورو, یکی از باگهای High ثبتشدهام رو به بالاترین ایمپکت رسوندم و به تنها باگ کریتیکال ثبتشده روی صرافی تبدیل کردم
البته برای گرفتن بانتی درست به مشکل خوردیم(:…
همیشه سعی کنید باگهاتون رو به بالاترین ایمپکت ممکن برسونید
تو ایونت راورو, یکی از باگهای High ثبتشدهام رو به بالاترین ایمپکت رسوندم و به تنها باگ کریتیکال ثبتشده روی صرافی تبدیل کردم
البته برای گرفتن بانتی درست به مشکل خوردیم(:…
❤14🔥4👍2
https://www.ompfinex.com/bug-bounty
سلام دوستان برنامه باگ بانتی صرافی ompfinex لانچ شد
میتونید با مشاهده قوانین در مسابقه شرکت کنین
رنج بانتی خیلی خوبی هم داره
سلام دوستان برنامه باگ بانتی صرافی ompfinex لانچ شد
میتونید با مشاهده قوانین در مسابقه شرکت کنین
رنج بانتی خیلی خوبی هم داره
👎17👍13❤5
Forwarded from GO-TO CVE (Ali Soltani)
CVE-2019-0604-week-42.docx
801.7 KB
سلام به همه عزیزان در هفته چهل و دوم از برنامه GO-TO CVE به اسیب پذیری RCE روی یکی محصولات معروف به نام SharePoint پرداخته ایم.
📱 Week: 42
🔍 CVE: CVE-2019-0604
💻 Type: 🏹Remote Code Execution
🛠 CMS: SharePoint
📱 Week: 42
🔍 CVE: CVE-2019-0604
💻 Type: 🏹Remote Code Execution
🛠 CMS: SharePoint
❤10👍2👎1🤣1