چک لیست مفیدی برای کشف آسیب پذیری و باگ بانتی
https://github.com/EdOverflow/bugbounty-cheatsheet
به همراه لیستی از پلتفرم های تمرین آسیب پذیری ها
https://github.com/EdOverflow/bugbounty-cheatsheet/blob/master/cheatsheets/practice-platforms.md
#bug_bounty
#tools
#lab
#pentest
@securation
https://github.com/EdOverflow/bugbounty-cheatsheet
به همراه لیستی از پلتفرم های تمرین آسیب پذیری ها
https://github.com/EdOverflow/bugbounty-cheatsheet/blob/master/cheatsheets/practice-platforms.md
#bug_bounty
#tools
#lab
#pentest
@securation
GitHub
GitHub - EdOverflow/bugbounty-cheatsheet: A list of interesting payloads, tips and tricks for bug bounty hunters.
A list of interesting payloads, tips and tricks for bug bounty hunters. - EdOverflow/bugbounty-cheatsheet
چند رایت آپ از چلنج های مسابقات Flare-on7 از علی امینی :
https://github.com/aleeamini/Flareon7-2020
#flareon #reverse #re #writeups
@securation
https://github.com/aleeamini/Flareon7-2020
#flareon #reverse #re #writeups
@securation
ARM64 Reversing and Exploitation
Part 1: http://highaltitudehacks.com/2020/09/05/arm64-reversing-and-exploitation-part-1-arm-instruction-set-heap-overflow/
Part 2: http://highaltitudehacks.com/2020/09/06/arm64-reversing-and-exploitation-part-2-use-after-free/
Part 3: http://highaltitudehacks.com/2020/09/06/arm64-reversing-and-exploitation-part-3-a-simple-rop-chain/
#reverse #binary #exploitation #arm64
@securation
Part 1: http://highaltitudehacks.com/2020/09/05/arm64-reversing-and-exploitation-part-1-arm-instruction-set-heap-overflow/
Part 2: http://highaltitudehacks.com/2020/09/06/arm64-reversing-and-exploitation-part-2-use-after-free/
Part 3: http://highaltitudehacks.com/2020/09/06/arm64-reversing-and-exploitation-part-3-a-simple-rop-chain/
#reverse #binary #exploitation #arm64
@securation
Prateekg147
ARM64 Reversing and Exploitation Part 1 - ARM Instruction Set + Simple Heap Overflow
Hi Everyone ! In this blog series, we will be understanding the ARM instruction set and using that to reverse ARM Binaries followed by writing exploits for them. So let’s start with the basics of ARM64.
اگه باگ هانتر هستید و از تجارب دیگران استفاده میکنید حتما این 25 ریپورت برتر در باگ بانتی از آسیب پذیری XXE بخونید :
https://corneacristian.medium.com/top-25-xxe-bug-bounty-reports-ab4ca662afad
#XXE #Bug_bounty
@securation
https://corneacristian.medium.com/top-25-xxe-bug-bounty-reports-ab4ca662afad
#XXE #Bug_bounty
@securation
Medium
Top 25 XXE Bug Bounty Reports
In this article, we will discuss XXE vulnerability, how to find one, and present 25 disclosed reports based on this issue.
کمپانی ها در سال 2020 نزدیک به 4.2 میلیون دلار بابت گزارش های آسیب پذیری XSS بانتی پرداخت کردن .
🧲در ایران فقط دو آسیب پذیری وجود داره:
1- هک شدیم یا نه(مسئول مربوطه کل دیتابیس و روت سرور رو ازت میخواد)؟
2- پول از حساب کاربرا کم میشه یا کاربرا رایگان حسابشون رو شارژ میکنند که پیگیر امنیت سامانه هامون بشیم ؟
https://securityaffairs.co/wordpress/110223/reports/xss-top-bug-bounty.html
#bug_bounty #xss_reports
@securation
🧲در ایران فقط دو آسیب پذیری وجود داره:
1- هک شدیم یا نه(مسئول مربوطه کل دیتابیس و روت سرور رو ازت میخواد)؟
2- پول از حساب کاربرا کم میشه یا کاربرا رایگان حسابشون رو شارژ میکنند که پیگیر امنیت سامانه هامون بشیم ؟
https://securityaffairs.co/wordpress/110223/reports/xss-top-bug-bounty.html
#bug_bounty #xss_reports
@securation
Security Affairs
Companies paid $4.2M bug bounties for XSS flaws in 2020
XSS issues are the most common vulnerabilities that received the highest amount of rewards on the HackerOne vulnerability reporting platform.
👍1
This media is not supported in your browser
VIEW IN TELEGRAM
این فیلم رو هکرهای دولتی ارمنستان منتشر کردن و گفتن ما به سامانه دولتی آذربایجان دسترسی پیدا کردیم و اطلاعات اون رو دامپ کردیم ، آدرس سامانه هک شده کشور آذربایجان اینه :
https://webmail.mail.gov.az
#cyberwar #data_breach #attack #webmail #az
@securation
https://webmail.mail.gov.az
#cyberwar #data_breach #attack #webmail #az
@securation
This media is not supported in your browser
VIEW IN TELEGRAM
آسیب پذیری اجرای کد از راه دور با تزریق کد جاوااسکریپت از طریق API نا امن در نرم افزار معروف
Foxit Reader 9.7.1
با شناسه ثبت شده ی : CVE-2020-14425
#CVE #NEW #foxit_reader #exploit
@securation
Foxit Reader 9.7.1
با شناسه ثبت شده ی : CVE-2020-14425
#CVE #NEW #foxit_reader #exploit
@securation
#DOM #XSS #DOMXSS #DOM_XSS
اگر قصد دارید با توابع آسیبپذیر نسبت به DOM XSS بیشتر آشنا بشید توصیه میکنم مقاله Acunetix که در این خصوص توضیحات مختصری را داده مطالعه کنید.
اگر قصد استفاده از توابعی مانند
- document.URL
- location.hash
- document.referrer
- eval
- ...
را دارید باید دقت لازم را در خصوص امنیت آن نیز داشته باشید. کشف این دسته از XSSها به مراتب سختتر از انواع دیگر آن میباشد.
https://www.acunetix.com/blog/articles/finding-source-dom-based-xss-vulnerability-acunetix-wvs
@securation
اگر قصد دارید با توابع آسیبپذیر نسبت به DOM XSS بیشتر آشنا بشید توصیه میکنم مقاله Acunetix که در این خصوص توضیحات مختصری را داده مطالعه کنید.
اگر قصد استفاده از توابعی مانند
- document.URL
- location.hash
- document.referrer
- eval
- ...
را دارید باید دقت لازم را در خصوص امنیت آن نیز داشته باشید. کشف این دسته از XSSها به مراتب سختتر از انواع دیگر آن میباشد.
https://www.acunetix.com/blog/articles/finding-source-dom-based-xss-vulnerability-acunetix-wvs
@securation
Acunetix
Finding the Source of a DOM-based XSS Vulnerability with Acunetix | Acunetix
This post covers the process of identifying the source of DOM-based XSS vulnerabilities discovered by Acunetix WVS through Acunetix DeepScan technology.
#Reverse_Engineering #RE #Decompilers #Disassembler #Radare2 #r2
احتمالا قابلیت Ghidra رو دیده باشید که یک شبه کد (Pseudo-Code) احتمالی از دیس-اسمبلی رو براتون نشون میده. خب حالا یه پلاگین هم برای Radare2 برای همچین قابلیتی وجود داره به اسم r2dec.
@securation
احتمالا قابلیت Ghidra رو دیده باشید که یک شبه کد (Pseudo-Code) احتمالی از دیس-اسمبلی رو براتون نشون میده. خب حالا یه پلاگین هم برای Radare2 برای همچین قابلیتی وجود داره به اسم r2dec.
@securation
GitHub
GitHub - wargio/r2dec-js: r2dec-js is a JavaScript-based decompiler that converts assembly code into pseudo-C. It aids users in…
r2dec-js is a JavaScript-based decompiler that converts assembly code into pseudo-C. It aids users in understanding assembly by providing readable high-level explanations, making low-level programm...
رت جدید Warzone با تکنیک دور زدن UAC برای اجرای ساده و شیک بدافزار روی سیستم قربانی :)
https://www.uptycs.com/blog/warzone-rat-comes-with-uac-bypass-technique
#malware #rat #uac_bypass_technique
@securation
https://www.uptycs.com/blog/warzone-rat-comes-with-uac-bypass-technique
#malware #rat #uac_bypass_technique
@securation
CVE-2020-25695 Privilege Escalation in Postgresql - Staaldraad
https://staaldraad.github.io/post/2020-12-15-cve-2020-25695-postgresql-privesc/
#db #pe #postgresql @securation
https://staaldraad.github.io/post/2020-12-15-cve-2020-25695-postgresql-privesc/
#db #pe #postgresql @securation
Staaldraad
CVE-2020-25695 Privilege Escalation in Postgresql
It has been quite a year, I hope everyone is well and staying safe. This is my first and probably only post for the year, and covers a fun privilege escalation vulnerability I found in Postgresql. This affects all supported versions of Postgresql going back…
خروجی که از کدهای مخرب در محصول SolarWinds گرفتن نشون میده، هکرها آدرسهای مایکروسافت رو بهعنوان نقطهای برنامهریزی کردهاند تا ادامه فعالیت بدافزار متوقف بشه.
@securation
@securation
مایکروسافت تکنیک بکار برده در حمله ی سایبری که از طریق SolarWinds انجام شده رو آنالیز و منتشر کرد :
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
@securation
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-defender-helps-protect/
@securation
Advance JSON Post Exploitation — CORS, CSRF, Broken Access Control
https://0xveera.medium.com/advance-json-post-exploitation-cors-csrf-broken-access-control-c18841b98a50
#CORS #CSRF @securation
https://0xveera.medium.com/advance-json-post-exploitation-cors-csrf-broken-access-control-c18841b98a50
#CORS #CSRF @securation
Medium
Advance JSON Post Exploitation — CORS, CSRF, Broken Access Control
Hey Folks, Let's start with how to exploit a JSON body which could lead to various vulnerabilities.
Code Injection: Windows Taskbar
https://x0r19x91.gitlab.io/post/code-injection-mstasklist/
#CodeInjection #Windows #CyberSecurity #Infosec
@securation
https://x0r19x91.gitlab.io/post/code-injection-mstasklist/
#CodeInjection #Windows #CyberSecurity #Infosec
@securation
براساس بررسی های HackerOne مبالغ پرداختشده برای باگبانتی به باگ هانترها در سال ۲۰۲۰ با ۲۶ درصد افزایش در کل به ۲۳.۵ میلیون دلار رسیده است.
بیشترین پرداختها نیز برای پیداکردن آسیبپذیریهای XSS بوده که در مجموع 4.2 میلیون دلار نصیب هکرا کرده است.
https://t.co/4JsZRYOTqE?amp=1
#hackerone #bug_bounty #bounty
@securation
بیشترین پرداختها نیز برای پیداکردن آسیبپذیریهای XSS بوده که در مجموع 4.2 میلیون دلار نصیب هکرا کرده است.
https://t.co/4JsZRYOTqE?amp=1
#hackerone #bug_bounty #bounty
@securation
Threat Post
Bug-Bounty Awards Spike 26% in 2020
The most-rewarded flaw is XSS, which is among those that are relatively cheap for organizations to identify.
🔺وزارت دادگستری آمریکا هم هک شده است
سخنگوی وزارت دادگستری آمریکا:
🔹 به نظر میرسد حدود ۳ درصد حسابهای ایمیل آژانس به خطر افتاده، گرچه به هیچ اطلاعات طبقهبندی شدهای دسترسی پیدا نشده است.
🔹 دفتر مدیر اطلاعات ارشد بعد از آگاهی از فعالیت خرابکارانه، روش شناسایی شده که عامل هک از طریق آن در حال دسترسی به محیط ایمیل بود را ابطال کرد.
🔹 وزارت دادگستری آمریکا روز قبل از کریسمس درباره هک ناشناس قبلی شبکههایش مطلع شده و تشخیص داده که آن یک حادثه امنیتی "مهم" بوده است.
#news #security #hacked
@securation
سخنگوی وزارت دادگستری آمریکا:
🔹 به نظر میرسد حدود ۳ درصد حسابهای ایمیل آژانس به خطر افتاده، گرچه به هیچ اطلاعات طبقهبندی شدهای دسترسی پیدا نشده است.
🔹 دفتر مدیر اطلاعات ارشد بعد از آگاهی از فعالیت خرابکارانه، روش شناسایی شده که عامل هک از طریق آن در حال دسترسی به محیط ایمیل بود را ابطال کرد.
🔹 وزارت دادگستری آمریکا روز قبل از کریسمس درباره هک ناشناس قبلی شبکههایش مطلع شده و تشخیص داده که آن یک حادثه امنیتی "مهم" بوده است.
#news #security #hacked
@securation
پست پویا دارابی رو بخونین درباره کشف آسیب پذیری جدیدی که از فیسبوک گرفته بود و 30 هزار دلار جایزه دریافت کرد
Create post on any Facebook page
https://www.darabi.me/2020/12/create-invisible-post-on-any-facebook.html
#bounty #facebook @securation
Create post on any Facebook page
https://www.darabi.me/2020/12/create-invisible-post-on-any-facebook.html
#bounty #facebook @securation
Dynamic World
Create post on any Facebook page
Create a post on any Facebook page Vulnerability