Bug Bounty Cheat Sheet
https://github.com/EdOverflow/bugbounty-cheatsheet
#bugbounty
#pentest
#web
✅@SpadSec
https://github.com/EdOverflow/bugbounty-cheatsheet
#bugbounty
#pentest
#web
✅@SpadSec
#لینک_مفید
سایت malshare یک ریپازیتوری بزرگ از بدافزار ها را تهیه کرده و در اختیار علاقه مندان به تحلیل بدافزار قرار داده است.این سایت امکان جستجو و دانلود بدافزار هایی که از 7 سال پیش تا کنون شناسایی شده اند را به کاربران می دهد.
جهت مشاهده 🔻
➡️https://malshare.com
#malware #analysing
✅@SpadSec
سایت malshare یک ریپازیتوری بزرگ از بدافزار ها را تهیه کرده و در اختیار علاقه مندان به تحلیل بدافزار قرار داده است.این سایت امکان جستجو و دانلود بدافزار هایی که از 7 سال پیش تا کنون شناسایی شده اند را به کاربران می دهد.
جهت مشاهده 🔻
➡️https://malshare.com
#malware #analysing
✅@SpadSec
Microsoft Exchange 2003 - RCE
Date:
2019-07-05
https://www.exploit-db.com/exploits/47076
#pentest
#web
#Vulnerability
✅@SpadSec
Date:
2019-07-05
https://www.exploit-db.com/exploits/47076
#pentest
#web
#Vulnerability
✅@SpadSec
Exploit Database
Microsoft Exchange 2003 - base64-MIME Remote Code Execution
Microsoft Exchange 2003 - base64-MIME Remote Code Execution. CVE-2007-0213 . remote exploit for Windows platform
از بقالی محله وزیر ارتباطات تا توسعه اندروید ایرانی
«شهر سخت افزار»؛ محمد جواد آذری جهرمی وزیر ارتباطات صبح امروز با انتشار ویدئویی در اینستاگرام خبر از به اتمام رساندن طراحی نسخه داخلی اندروید داده و اعلام نمود این اقدام در جهت مقابله با تحریمهای احتمالی گوگل و ایجاد ممانعت از توسعه کسب و کارهای ایرانی است.
در این ویدئو اعلام شده گروهی دانشجویی از دانشگاه شریف برای مقابله با تحریمهای گوگل، سیستمعاملی طراحی کردهاند که کاملاً مستقل از آن عمل کرده و گوگل اجازه هیچ دخل و تصرفی در آن ندارد.
@SpadSec
«شهر سخت افزار»؛ محمد جواد آذری جهرمی وزیر ارتباطات صبح امروز با انتشار ویدئویی در اینستاگرام خبر از به اتمام رساندن طراحی نسخه داخلی اندروید داده و اعلام نمود این اقدام در جهت مقابله با تحریمهای احتمالی گوگل و ایجاد ممانعت از توسعه کسب و کارهای ایرانی است.
در این ویدئو اعلام شده گروهی دانشجویی از دانشگاه شریف برای مقابله با تحریمهای گوگل، سیستمعاملی طراحی کردهاند که کاملاً مستقل از آن عمل کرده و گوگل اجازه هیچ دخل و تصرفی در آن ندارد.
@SpadSec
مرکز امنیتی ایران سایبر | ICG
از بقالی محله وزیر ارتباطات تا توسعه اندروید ایرانی «شهر سخت افزار»؛ محمد جواد آذری جهرمی وزیر ارتباطات صبح امروز با انتشار ویدئویی در اینستاگرام خبر از به اتمام رساندن طراحی نسخه داخلی اندروید داده و اعلام نمود این اقدام در جهت مقابله با تحریمهای احتمالی…
خدا خودش ختم به خیر کنه 😐
همونطور که پیامرسان بومی و جستجوگر بومی و اینترنت ملی رو یادمون هنوز هست کافیه ...
به نقل از دوستان از این پس اثر انگشت هامون هم ذخیره می شه 😂
همونطور که پیامرسان بومی و جستجوگر بومی و اینترنت ملی رو یادمون هنوز هست کافیه ...
به نقل از دوستان از این پس اثر انگشت هامون هم ذخیره می شه 😂
"هیچ مجوزی برای تولید بیت کوین صادر نکردهایم"
وزیر صنعت، معدن و تجارت در خصوص انحراف فعالیت برخی واحدهای صنعتی از مجوزهای مربوطه به سمت تولید بیت کوین، تصریح کرد: مجوزی برای این موضوع صادر نشده است.
رضا رحمانی، وزیر نیرو گفت:
تولید بیت کوین از نظر قانونی مشکل دارد و تاکنون مجوزی از سوی دولت برای آن داده نشده است.
به گفته وی، دولت با تشکیل کمیسیونی در این زمینه در حال بررسی موضوع است تا ضوابط لازم و سازو کارهای مربوط به آن را فراهم کند، اما تاکنون هیچ مجوزی برای تولید آن صادر نشده است.
#news
#cyber
✅@SpadSec
وزیر صنعت، معدن و تجارت در خصوص انحراف فعالیت برخی واحدهای صنعتی از مجوزهای مربوطه به سمت تولید بیت کوین، تصریح کرد: مجوزی برای این موضوع صادر نشده است.
رضا رحمانی، وزیر نیرو گفت:
تولید بیت کوین از نظر قانونی مشکل دارد و تاکنون مجوزی از سوی دولت برای آن داده نشده است.
به گفته وی، دولت با تشکیل کمیسیونی در این زمینه در حال بررسی موضوع است تا ضوابط لازم و سازو کارهای مربوط به آن را فراهم کند، اما تاکنون هیچ مجوزی برای تولید آن صادر نشده است.
#news
#cyber
✅@SpadSec
داکرهای مختلف برای انجام عملیات تست نفوذ شامل :
tulpar
nmap / NSE / Vulscan / Vulners
sqlmap
dcrawl
v3n0m
golismero
sqliv
datasploit
gitminer
Cr3dOv3r
UFONet
Striker
EmailHarvester
BruteX
BlackWidow
https://github.com/khast3x/Offensive-Dockerfiles
#docker
#nmap
#sqlmap
#pentest
✅@SpadSec
tulpar
nmap / NSE / Vulscan / Vulners
sqlmap
dcrawl
v3n0m
golismero
sqliv
datasploit
gitminer
Cr3dOv3r
UFONet
Striker
EmailHarvester
BruteX
BlackWidow
https://github.com/khast3x/Offensive-Dockerfiles
#docker
#nmap
#sqlmap
#pentest
✅@SpadSec
GitHub
GitHub - khast3x/Offensive-Dockerfiles: Offensive tools as Dockerfiles. Lightweight & Ready to go
Offensive tools as Dockerfiles. Lightweight & Ready to go - GitHub - khast3x/Offensive-Dockerfiles: Offensive tools as Dockerfiles. Lightweight & Ready to go
روش جالب کوتاه کردن آدرس با حذف صفر ها و بایپس WAF
مثال :
https://1.0.0.1 → https://1.1
https://192.168.0.1 → https://192.168.1
این فیلترهای WAF برای SSRF، open-redirect و غیره جایی که هر IP به عنوان ورودی به لیست سیاه اضافه می شود را دور می زند
#infosec
#bugbounty
#bugbountytip
✅@SpadSec 👈🏻👈🏻👈🏻
مثال :
https://1.0.0.1 → https://1.1
https://192.168.0.1 → https://192.168.1
این فیلترهای WAF برای SSRF، open-redirect و غیره جایی که هر IP به عنوان ورودی به لیست سیاه اضافه می شود را دور می زند
#infosec
#bugbounty
#bugbountytip
✅@SpadSec 👈🏻👈🏻👈🏻
Tale of account takeover — Sensitive info Disclosure + Broken Access Control
https://t.co/aZe7EB0SYY
✅@SpadSec
https://t.co/aZe7EB0SYY
✅@SpadSec
Medium
Tale of account takeover — Sensitive info Disclosure + Broken Access Control
Hi Mates, Myself Md Saqib from India I'm new to this bug hunting community, hope you are doing good. Today I'm gonna share an interesting…
یک محقق امنیتی روش جالبی را برای بایپس WAF کلودفلر معرفی کرده، کافی است از {`1`alert} به جای (1)alert استفاده شود.همینطور تمامی وکتور های حملات XSS بجز <script> قابل استفاده است.
#infosec
#bugbounty
#bugbountytip
✅@SpadSec
#infosec
#bugbounty
#bugbountytip
✅@SpadSec
هکرها از بدافزاری به نام تریک بات برای هک کردن ۲۵۰ میلیون ایمیل استفاده کردهاند که بخشی از آنها متعلق به دولتهای آمریکا، انگلیس و کانادا هستند
مجموع ۲۵۰ میلیون ایمیل هک شده، ۲۵ میلیون مورد جیمیل، ۱۰ میلیون مورد مربوط به سایت یاهو و ۱۱ میلیون مورد مربوط به هات میل هستند. از جمله دیگر پلتفرمهای مورد سواستفاده میتوان به AOL، MSD، Yahoo.co.uk و غیره اشاره کرد. احتمال میرود تعداد حسابهای کاربری هک شده بیش از این رقم باشد.
#infosec
#news
#malware
✅@SpadSec
مجموع ۲۵۰ میلیون ایمیل هک شده، ۲۵ میلیون مورد جیمیل، ۱۰ میلیون مورد مربوط به سایت یاهو و ۱۱ میلیون مورد مربوط به هات میل هستند. از جمله دیگر پلتفرمهای مورد سواستفاده میتوان به AOL، MSD، Yahoo.co.uk و غیره اشاره کرد. احتمال میرود تعداد حسابهای کاربری هک شده بیش از این رقم باشد.
#infosec
#news
#malware
✅@SpadSec
دروغی به نام امنیت اینستاگرام: کلاه برداری در روز روشن
محمد✍🏻
با محبوبیت روز افزون اینستاگرام، "کسب و کار های خاکستری" نیز راه خود را به این شبکه اجتماعی محبوب باز کردند. "تامین امنیت اینستاگرام" و "هک اینستاگرام" عباراتی هستند که امروزه در هر گوشه و کنار فضای مجازی شنیده می شوند و افرادی با ادعای "تامین امنیت پیج های معروف در برابر تهدیدات رایج" و با دریافت مبالغ کلان به فعالیت در اینستاگرام می پردازند اما ادعای آن ها چقدر صحت دارد!!! . . اما بدتر از موارد ذکر شده، گرفتن رمز حساب های کاربری با مهندسی اجتماعی، تغییر ظاهر پیج و "پس دادن آن" به صاحب پیج است!
در روش اول، کلاه بردار با استفاده از روش هایی مثل افزایش فالوور و ... رمز پیج کاربر را دریافت و پس از مدتی آن را "دیفیس"(تغییر چهره در صفحه ی شما ایجاد) می کند. بعد با هویت حقیقی خود به صاحب پیج پیام داده و وعده بازگردانی و تضمین امنیت پیج را به او می دهد و پس از دریافت مبلغ، پیج را قهرمانانه به شخص باز میگرداند.
در روش دوم، کلاه بردار با پخش برنامه هایی با عناوین افزایش فالوور رمز تعداد بالایی از کاربران را بدست می آورد و از بعضی باجگیری و برای افراد مشهور بین قربانی های خود نقش قهرمان امنیتی را بازی میکند،
میل به دیده شدن در شبکه های اجتماعی در بسیاری از موارد سر افراد را به باد می دهد.
با تبدیل شدن پدیده تامین امنیت به یک نماد "لاکچری" و خودنمایی در اینستاگرام، افراد زیادی امنیت حساب خود را به خطر انداخته و افراد زیادی به قصد پول، شهرت و اخاذی با ادعاهایی دروغین دسته اول را فریب می دهند.
تامین امنیت حساب کاربری شما در هر کجای اینترنت کار پیچیده ای نیست.
تنها با فعال کردن احراز هویت دو مرحله ای (2FA)، انتخاب رمز مناسب و دسترسی همیشگی به ایمیلی که با آن حسابتان را می سازید راه را برای بیشتر تهدیدات متوجه حسابتان می بندید و هزینه های مالی هنگفت و خطر افشای اطلاعات را متوجه خود نمی سازید.
افراد سودجو و کلاه برداری که به قصد پول و شهرت دروغ می گویند و افراد را تهدید می کنند فقط با کمک و آگاهی شما از بین خواهند رفت و تا جهل هست، شیاد هم هست...
#کلاه_برداری
#افرادسودجو
✅@SpadSec
محمد✍🏻
با محبوبیت روز افزون اینستاگرام، "کسب و کار های خاکستری" نیز راه خود را به این شبکه اجتماعی محبوب باز کردند. "تامین امنیت اینستاگرام" و "هک اینستاگرام" عباراتی هستند که امروزه در هر گوشه و کنار فضای مجازی شنیده می شوند و افرادی با ادعای "تامین امنیت پیج های معروف در برابر تهدیدات رایج" و با دریافت مبالغ کلان به فعالیت در اینستاگرام می پردازند اما ادعای آن ها چقدر صحت دارد!!! . . اما بدتر از موارد ذکر شده، گرفتن رمز حساب های کاربری با مهندسی اجتماعی، تغییر ظاهر پیج و "پس دادن آن" به صاحب پیج است!
در روش اول، کلاه بردار با استفاده از روش هایی مثل افزایش فالوور و ... رمز پیج کاربر را دریافت و پس از مدتی آن را "دیفیس"(تغییر چهره در صفحه ی شما ایجاد) می کند. بعد با هویت حقیقی خود به صاحب پیج پیام داده و وعده بازگردانی و تضمین امنیت پیج را به او می دهد و پس از دریافت مبلغ، پیج را قهرمانانه به شخص باز میگرداند.
در روش دوم، کلاه بردار با پخش برنامه هایی با عناوین افزایش فالوور رمز تعداد بالایی از کاربران را بدست می آورد و از بعضی باجگیری و برای افراد مشهور بین قربانی های خود نقش قهرمان امنیتی را بازی میکند،
میل به دیده شدن در شبکه های اجتماعی در بسیاری از موارد سر افراد را به باد می دهد.
با تبدیل شدن پدیده تامین امنیت به یک نماد "لاکچری" و خودنمایی در اینستاگرام، افراد زیادی امنیت حساب خود را به خطر انداخته و افراد زیادی به قصد پول، شهرت و اخاذی با ادعاهایی دروغین دسته اول را فریب می دهند.
تامین امنیت حساب کاربری شما در هر کجای اینترنت کار پیچیده ای نیست.
تنها با فعال کردن احراز هویت دو مرحله ای (2FA)، انتخاب رمز مناسب و دسترسی همیشگی به ایمیلی که با آن حسابتان را می سازید راه را برای بیشتر تهدیدات متوجه حسابتان می بندید و هزینه های مالی هنگفت و خطر افشای اطلاعات را متوجه خود نمی سازید.
افراد سودجو و کلاه برداری که به قصد پول و شهرت دروغ می گویند و افراد را تهدید می کنند فقط با کمک و آگاهی شما از بین خواهند رفت و تا جهل هست، شیاد هم هست...
#کلاه_برداری
#افرادسودجو
✅@SpadSec
This media is not supported in your browser
VIEW IN TELEGRAM
ابزاری که بر اساس خروجی systeminfo آسیب پذیری های احتمالی موجود در سیستم های ویندوزی را لیست میکند. 👌🏻👌🏻
https://github.com/bitsadmin/wesng
#windows
#privesc
#exploit
✅@SpadSec
https://github.com/bitsadmin/wesng
#windows
#privesc
#exploit
✅@SpadSec
This media is not supported in your browser
VIEW IN TELEGRAM
Instagram 0day Vulnerability [PoC]
کشف حفره امنیتی در اینستاگرام توسط گروه امنیتی اسپاد
#vulnerability
#instagram
#exploit
✅@SpadSec
کشف حفره امنیتی در اینستاگرام توسط گروه امنیتی اسپاد
#vulnerability
#exploit
✅@SpadSec
کشف شدن آسیب پذیری بحرانی در Jira Server این آسیب پذیری از نوع Server-side Template Injection است که به سوء استفاده کننده این اجازه رو میده دستورات خودشه به صورت Remote اجرا کنه در تصویر قرار داده شده میتونید یه نمونه از سوء استفاده از این آسیب پذیری رو ببینید
همونطور که در تصویر میبینید ما برای اکسپلویت کردن باید از صفحه ی تماس با مدیر استفاده کنیم.
برای سوء استفاده از این آسیب پذیری باید به دو چیز توجه کنیم!
1- باید SMTP پیکربندی شده باشه
2- باید فرم تماس با مدیر فعال باشه
#vulnerability
#infosec
#exploit
✅@SpadSec
همونطور که در تصویر میبینید ما برای اکسپلویت کردن باید از صفحه ی تماس با مدیر استفاده کنیم.
برای سوء استفاده از این آسیب پذیری باید به دو چیز توجه کنیم!
1- باید SMTP پیکربندی شده باشه
2- باید فرم تماس با مدیر فعال باشه
#vulnerability
#infosec
#exploit
✅@SpadSec
سیسکو برای برخی از محصولات خود به روز رسانی امنیتی جدیدی را منتشر کرده است که یکی از آنها برای برطرف کردن یک آسیب پذیری سطح بالا از نوع "authentication bypass" است با کد CVE-2019-1917
#vulnerability
#Update
#Security
✅@SpadSec
#vulnerability
#Update
#Security
✅@SpadSec