یه عیدی کوچیک -> تشریح آسیبپذیری شارژ نامحدود حساب کاربری «تهران من» که باش میشد طرح ترافیک خرید. نحوه برخورد دوستان توی توئیت پین من هست. این آسیبپذیری رو چند جای دیگه تست کردم وجود داشت، امیدوارم اطلاعرسانی بشه و همه امنتر بشن. اینم جزئیات فنی:
https://memoryleaks.ir/unlimited-charge-of-mytehran-account/
https://memoryleaks.ir/unlimited-charge-of-mytehran-account/
مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
آسیبپذیری شارژ نامحدود حساب mytehran.ir - مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
خب این پست رو خیلی وقت بود تصمیم گرفته بودم بگذارم، دیگه موکول شد به شب عید. چند وقت پیش با همکاری یکی از دوستان گرامی، یک آسیبپذیری روی سامانه https://my.tehran.ir کشف شد که با استفاده از اون میشد یک حساب دلخواه رو بینهایت شارژ کرد. نکته جالب قضیه این…
Compilation of recon workflows
https://pentester.land/cheatsheets/2019/03/25/compilation-of-recon-workflows.html
#Recon
#BugBounty
#Cheatsheet
@digmemore
https://pentester.land/cheatsheets/2019/03/25/compilation-of-recon-workflows.html
#Recon
#BugBounty
#Cheatsheet
@digmemore
Wordpress xmlrpc.php -common vulnerabilites & how to exploit them
https://medium.com/@the.bilal.rizwan/wordpress-xmlrpc-php-common-vulnerabilites-how-to-exploit-them-d8d3c8600b32
#SSRF
#XMLRPC
#Wordpress
@digmemore
https://medium.com/@the.bilal.rizwan/wordpress-xmlrpc-php-common-vulnerabilites-how-to-exploit-them-d8d3c8600b32
#SSRF
#XMLRPC
#Wordpress
@digmemore
digMeMore
Wordpress xmlrpc.php -common vulnerabilites & how to exploit them https://medium.com/@the.bilal.rizwan/wordpress-xmlrpc-php-common-vulnerabilites-how-to-exploit-them-d8d3c8600b32 #SSRF #XMLRPC #Wordpress @digmemore
Small tool to automate SSRF wordpress and XMLRPC finder
https://github.com/t0gu/quickpress
#SSRF
#XMLRPC
#Wordpress
@digmemore
https://github.com/t0gu/quickpress
#SSRF
#XMLRPC
#Wordpress
@digmemore
GitHub
GitHub - incogbyte/quickpress: Small tool to automate SSRF wordpress and XMLRPC finder
Small tool to automate SSRF wordpress and XMLRPC finder - incogbyte/quickpress
مقاله ای از ZeroNights که ابتدا روش های جلوگیری از حملات CSRF رو شرح میده و بعد هم تکنیک های بایپس.
#CSRF
#Bypass
#Book
@digmemore
#CSRF
#Bypass
#Book
@digmemore
دوستانی که توی اکسپلویت کردن آسیبپذیری 2020-0688 مشکل داشتن، این پست جدید رو از دست ندید. مشکل اصلی خیلی از دوستان این بود که سرور Exchange اینترنت نداشت و RCE بهصورت blind بوده. توی این پست این مشکل حل میشه و شل گرفته میشه.
https://memoryleaks.ir/cve-2020-0688-analyis-and-exploit/
https://memoryleaks.ir/cve-2020-0688-analyis-and-exploit/
مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
بررسی و اکسپلویت آسیبپذیری CVE-2020-0688 در سرور Exchange - مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
ماه گذشته خبر کشف یک آسیبپذیری حیاتی (با شناسهی CVE-2020-0688) در سرور Microsoft Exchange در بسیاری از رسانههای مرتبط با فناوری منتشر شد. این آسیبپذیری که به نظر میرسد توسط یک محقق ناشناس کشف و اعلام شده، به مهاجم قابلیت اجرای کد از راه دور (RCE) را…
Microsoft Apache Solr RCE Velocity Template | Bug Bounty POC
https://blog.securitybreached.org/2020/03/31/microsoft-rce-bugbounty/
#RCE
#BugBounty
@digmemore
https://blog.securitybreached.org/2020/03/31/microsoft-rce-bugbounty/
#RCE
#BugBounty
@digmemore
Security Breached Blog
Microsoft Apache Solr RCE Velocity Template | Bug Bounty POC - Security Breached Blog
Hey guys so this blog post is about RCE issue reported to Microsoft bug bounty program, Remote Code execution issue existed in microsoft.com subdomain running Apache Solr.
در رابطه با افشای ۴۲ میلیونی کاربران تلگرام، بررسی صورت گرفت و نتایج به شرح زیر است
https://twitter.com/voorivex/status/1246102072979791872
https://twitter.com/voorivex/status/1246102072979791872
چون نسخههای متعددی از این دیتای ۴۲ میلیونی تلگرام الان کف بازار ریخته، براتون روش وریفای رو میذارم بفهمید طرف نسخه اصلی رو داره یا نه:
sha256(md5checksum(telegramfile)) = 280dc4c2a72fc4a998f42d672eb935825ce6ed071265628ce095aeee60c94ca4
sha256(md5checksum(telegramfile)) = 280dc4c2a72fc4a998f42d672eb935825ce6ed071265628ce095aeee60c94ca4
Forwarded from RavinAcademy
🎯 در دورهی Burp Suite، از سرویس Burp Collaborator هم برای اجرای حملاتی مثل XSS و SSRF استفاده میکنیم.
📌 اگر با این سرویس آشنایی ندارید، میتونید مطلب زیر رو بخونید:
https://bit.ly/2XkPN6q
🥁 این کارگاه عملی، در دو روز و به صورت آنلاین برگزار میشه و اگر هنوز ثبت نام نکردید فقط تا ساعت ۲۳ فردا شب (۱۹ فروردین) فرصت هست.
@RavinAcademy
📌 اگر با این سرویس آشنایی ندارید، میتونید مطلب زیر رو بخونید:
https://bit.ly/2XkPN6q
🥁 این کارگاه عملی، در دو روز و به صورت آنلاین برگزار میشه و اگر هنوز ثبت نام نکردید فقط تا ساعت ۲۳ فردا شب (۱۹ فروردین) فرصت هست.
@RavinAcademy