خیلی مواقع برای خیلی از هانترا پیش اومده که باکشون رو به حق داوری نمیکنن، برای خودم که زیاد، تیمم و شاگردام و خیلی از بچههای کامیونیتی دیدم براشون بارها این اتفاق افتاده. آخرین باگ خودم یه ATO کامل بود که بعد کلی Mediation و بحث گفتن By Design عه و کاریش نمیتونیم بکنیم. یعنی باگ هست ولی چون طراحی اینطوریه پولی نمیدن. خب این جور مواقع وقتی حقمون خورده میشه مذاکره خیلی سخت میشه و معمولا لحن و متن دیگه آارمش قبلو نداره و خیلی مواقع اصلا به دعوا کشیده میشه. منتها توی چنین مواقعی باید خشممون رو کنترل کنیم، یا به عبارتی تبدیلش کنیم به کلام سازنده چون هدفمون چیه؟ اینکه حقمون رو بگیریم نه اینکه ثابت کنیم طرف اشتباه کرده. دقیقا یه چنین اتفاقی چند روز پیش برای داداشم افتاد.دو تا مساله بود، یک اینکه میگفتن ۲ ماه دیگه پول میدیم الان پول نداریم (که این مورد بزرگی نیست چون پول دلاره خب اوکیه ولی داداشم پول لازم بود)، مورد بعد اینکه چند تا از باگها رو downgrade کرده بودن، بانتی که ما توقع داشتیم ۱۸ هزار بود، ولی اینطوری داشتن ۱۳ هزار میدادن و ما همش فکر میکردیم که بخاطر نبودن پول دارن اینطوری میگن (خودتون رو بذارین جا ما). تازه این وضعیتی بود که بعد کلی صحبت بش رسیده بودیم. اینجا شدیدا عصبانی بودیم،َ شروع کردیم ایمیل زدن و یه بحث منطقی کردن، سعی کردیم نگیم «شما مقصرین»، یا بلد نیستین یا هر چی، چون واقعا همینه نباید پیشداوری کنیم، حتی اگه درست باشه کمکی به ما نمیکنه و باعث میشه گفتارمون منصفانه نباشه. خلاصه با طرف طوری صحبت کنیم که قبول کردن حرف ما براش هزینه زیادی نداشته باشه (هزینه منظور پذیرش اشتباه). سرتون رو درد نیارم، شروع کردیم مذاکره و آخرین ایمیل رو دیروز زدیم، امروز دیدیم ۱۸ هزار دلار بانتی دادن!!! یعنی هم زود دادن، هم کل باگها رو اون چیزی دادن که ما دوست داشتیم (یکی رو ۴ هزار کمتر دادن که به مذاکره ادامه میدیم). متن ایمیل آخر توی توییت هست، گذاشتیم شاید آموزنده باشه برای مذاکره
https://twitter.com/voorivex/status/1767976142319886610
https://twitter.com/voorivex/status/1767976142319886610
X (formerly Twitter)
یاشو (@voorivex) on X
پرام داداشم شب تولدش ۱۹ هزار دلار بانتی گرفته!!! برنامه باگاشو downgrade کرده بود و پولشو نمیداد و واقعا داشت اذیت میشد. رفتیم تو مکاتبه با برنامه و کلی دلیل اوردیم، آخرین ایمیل رو زدیم و امروز کل بانتیا اومد یهو (۵ هزار اضافه دادن)، متن رو گذاشتیم شاید بدرد…
Is there a method to access the admin panel? (source code)
آقای آریا ۴۲ سالشه، کارمنده و ۳ تا فرزند داره، مشکلات شخصی هم داره برای همین زمانش برای هانت خیلی کمه، شبا تا دیروفت کار میکنه، ۲ ساله با امنیت آشنا شده (شاگرد خودم بوده)، از شهریور ۱۴۰۲ هانت رو شروع کرده، برای این باگم خیلی زحمت کشیده؟ تشویق نداره؟ ❤️
https://x.com/voorivex/status/1773399263793349094?s=46&t=t4dmnMSh7dUAGaohytE6mQ
https://x.com/voorivex/status/1773399263793349094?s=46&t=t4dmnMSh7dUAGaohytE6mQ
https://twitter.com/ArashShakery/status/1773984734520996097
رشتویی که خوندنش پیشنهاد میشه، چطوری از توی یه پیکار که خودش از دل یه آسیبپذیری واقعی اومده بیرون، یه شخص دیگه (آرش) میاد آسیبپذیری کشف میکنه (برای حل پیکار) و CVE ثبت میشه.
رشتویی که خوندنش پیشنهاد میشه، چطوری از توی یه پیکار که خودش از دل یه آسیبپذیری واقعی اومده بیرون، یه شخص دیگه (آرش) میاد آسیبپذیری کشف میکنه (برای حل پیکار) و CVE ثبت میشه.
یکی از بچههای کلاس گفته بود میخوام هانت رو شروع کنم، مثل بقیه بش گفتم برو VDP یه سری باگ تریاژ کن، رفت ۲ تا باگ زد مجموع ۵۴۰۰ دلار، قول گرفتم رایتآپش رو بنویسه مموریلیکس که بقیه هم مسیرش رو ببینن، همینجا میذارم به زودی ایشالا
https://twitter.com/ghost__rideer/status/1775931044606439717
https://twitter.com/ghost__rideer/status/1775931044606439717
باگ جدید داش ممد، حتما بش میگم رایتاپش رو توی بلاگ تیم هانت Voorivex منتشر کنه، نایس
https://twitter.com/NikoueiMohammad/status/1776318781192589776
https://twitter.com/NikoueiMohammad/status/1776318781192589776
X (formerly Twitter)
Mohammad Nikouei (@NikoueiMohammad) on X
Yay, I was awarded a $9,000 bounty on @Hacker0x01! #TogetherWeHitHarder
ایونت استانبول یه تجربه باحال بود، بچهها هم باگ زدن، هم پول دراوردن، هم خودگذروندن و هم جای دوستاشون رو خالی کردن. کلی فیلم گرفتیم، تیکه تیکه چسبوندم به هم یه کلیپ ساختیم بنظرم باحال شده:
https://youtu.be/q5lku5_0mBg
https://youtu.be/q5lku5_0mBg
توییت یکی از بچه ها که رو soundcloud باگ زده:
https://x.com/alial1shan/status/1780982228656300145
https://x.com/alial1shan/status/1780982228656300145
digMeMore
آقای آریا ۴۲ سالشه، کارمنده و ۳ تا فرزند داره، مشکلات شخصی هم داره برای همین زمانش برای هانت خیلی کمه، شبا تا دیروفت کار میکنه، ۲ ساله با امنیت آشنا شده (شاگرد خودم بوده)، از شهریور ۱۴۰۲ هانت رو شروع کرده، برای این باگم خیلی زحمت کشیده؟ تشویق نداره؟ ❤️ h…
این نفراتی که با وجود سن و مشغله برای زندگیشون تلاش میکنن خیلی برای من ارزشمندن. چون امثال این اشخاص این خط فکری رو دارن که نمیشه و از ما گذشته و وقت نداریم، واقعا هم سخته ولی با تلاش مستمر میشه به یجاهایی رسید و این خیلی قشنگه ❤️
یه XSS رو تیکتاک که باید ۲۵۰۰ دلار میدادن، با اکسپلویت شد ۷۵۰۰ دلار، تیپ:
- تا میتونین JS بخونین و DOM debug کنین، اینکه React یا VueJS معنیش این نیست برنامهنویس کد دستی نزده
- وقتی رسیدین به XSS حتما اکسپلویت کنین، اگه فقط یه alert نشون بدین قطعا کف بانتی رو میگیرین
- گزارش رو دقیق و واضح بنویسید، هیچ وقت severity رو overrate نکنین، چون تیم مقابل میره تو گارد و نتیجه برعکس میشه
- توی گزارش اصلا از عبارت «هکر میتونه» استفاده نکنین، واضح بگین خودتون چکار کردین
- دنبال ابزار خاصی برای کشف باگهای عمیق نباشید، یادتون باشه ابزارها هکر نمیسازن
- براتون مهم نباشه کی چند وقت روی یه برنامه کار کرده، اگه قبول ندارین صفحه تیکتاک رو توی هکروان ببینین، من ۱ ماه پیش اولین بار تیکتاک رو باز کردم
- از رو برنامه حرکت نکنین، عوض کردن مداوم برنامه کار قشنگی نیست در دراز مدت شما تبدیل میشین به هانتری که فقط low hanging fruits کشف میکنه
- به چکلیستها تکیه نکنین، شما ماشین نیستین که مثل ربات برین یه چکلیست رو روی تارگتها اجرا کنین، این کار در دراز مدت خلاقیتتون رو میکشه
- یه سری موارد دیگه هم هست بعدا میگم دمتون گرم
- تا میتونین JS بخونین و DOM debug کنین، اینکه React یا VueJS معنیش این نیست برنامهنویس کد دستی نزده
- وقتی رسیدین به XSS حتما اکسپلویت کنین، اگه فقط یه alert نشون بدین قطعا کف بانتی رو میگیرین
- گزارش رو دقیق و واضح بنویسید، هیچ وقت severity رو overrate نکنین، چون تیم مقابل میره تو گارد و نتیجه برعکس میشه
- توی گزارش اصلا از عبارت «هکر میتونه» استفاده نکنین، واضح بگین خودتون چکار کردین
- دنبال ابزار خاصی برای کشف باگهای عمیق نباشید، یادتون باشه ابزارها هکر نمیسازن
- براتون مهم نباشه کی چند وقت روی یه برنامه کار کرده، اگه قبول ندارین صفحه تیکتاک رو توی هکروان ببینین، من ۱ ماه پیش اولین بار تیکتاک رو باز کردم
- از رو برنامه حرکت نکنین، عوض کردن مداوم برنامه کار قشنگی نیست در دراز مدت شما تبدیل میشین به هانتری که فقط low hanging fruits کشف میکنه
- به چکلیستها تکیه نکنین، شما ماشین نیستین که مثل ربات برین یه چکلیست رو روی تارگتها اجرا کنین، این کار در دراز مدت خلاقیتتون رو میکشه
- یه سری موارد دیگه هم هست بعدا میگم دمتون گرم
یه ویدیو گرفتم راجع به این قضیه توضیح دادم، اول اینکه این CVE توی هانت بدرد میخوره؟ دوم اینکه وقتی چنین CVEهایی میاد چظوری تحقیق کنیم و یادش بگیریم؟ دمتون گرم
https://youtu.be/fq_Q1iaB0iQ
https://youtu.be/fq_Q1iaB0iQ
آقا مهدی (@mrshojaaeii) روی یه برنامه پابلیک و روی یکی از دامینهاش ۱۳ هزار دلار بانتی زده، واقعا بش افتخار میکنم، معلم شیمی ۲۵ ساله، سال قبل شاگردم بوده. ۲ هفته پیش ۱۳ هزار دلار بانتی زده و امروز تجربش رو با ما به اشتراک میذاره. بم گفت حقوق ۵۰ ماهش رو در اورده، حتما بخونین و ایده بگیرین:
https://memoryleaks.ir/13k-bounty-in-a-public-program/
https://memoryleaks.ir/13k-bounty-in-a-public-program/
digMeMore
هانترا حواستون باشه NahamCon رو از دست ندین، فردا ساعت ۱۰:۳۰ شب CTFاش شروع میشه، شنبه ساعت ۷ عصر هم ارائههاش. تیترهای ارائهها رو دیدم از سری قبلی یه سر و گردن بالاترن. یحتمل یه خلاصه از ایونت توی یوتوب میذارم برای بچههایی که نمیرسن کلش رو ببینن
ما توی دیسکورد لایویم برای ناهامسک دوست داشتین بیاین
https://discord.com/invite/wxRhh57d6z
https://discord.com/invite/wxRhh57d6z
Discord
Join the Voorivex Discord Server!
This is Voorivex Academy's official Discord server! Our main goal is to share knowledge in a friendly environment. | 4554 members
با آرش یه پیکار real world طراحی کردیم. ۵ روز بالا میمونه و نفر اولی که توی سایت فلگ رو ثبت کنه هم یه کتاب جایزه میگیره. برید ببینم چکار میکنین، آدرس پیکار:
https://r.voorivex.academy
https://r.voorivex.academy