آقای آریا ۴۲ سالشه، کارمنده و ۳ تا فرزند داره، مشکلات شخصی هم داره برای همین زمانش برای هانت خیلی کمه، شبا تا دیروفت کار میکنه، ۲ ساله با امنیت آشنا شده (شاگرد خودم بوده)، از شهریور ۱۴۰۲ هانت رو شروع کرده، برای این باگم خیلی زحمت کشیده؟ تشویق نداره؟ ❤️
https://x.com/voorivex/status/1773399263793349094?s=46&t=t4dmnMSh7dUAGaohytE6mQ
https://x.com/voorivex/status/1773399263793349094?s=46&t=t4dmnMSh7dUAGaohytE6mQ
https://twitter.com/ArashShakery/status/1773984734520996097
رشتویی که خوندنش پیشنهاد میشه، چطوری از توی یه پیکار که خودش از دل یه آسیبپذیری واقعی اومده بیرون، یه شخص دیگه (آرش) میاد آسیبپذیری کشف میکنه (برای حل پیکار) و CVE ثبت میشه.
رشتویی که خوندنش پیشنهاد میشه، چطوری از توی یه پیکار که خودش از دل یه آسیبپذیری واقعی اومده بیرون، یه شخص دیگه (آرش) میاد آسیبپذیری کشف میکنه (برای حل پیکار) و CVE ثبت میشه.
یکی از بچههای کلاس گفته بود میخوام هانت رو شروع کنم، مثل بقیه بش گفتم برو VDP یه سری باگ تریاژ کن، رفت ۲ تا باگ زد مجموع ۵۴۰۰ دلار، قول گرفتم رایتآپش رو بنویسه مموریلیکس که بقیه هم مسیرش رو ببینن، همینجا میذارم به زودی ایشالا
https://twitter.com/ghost__rideer/status/1775931044606439717
https://twitter.com/ghost__rideer/status/1775931044606439717
باگ جدید داش ممد، حتما بش میگم رایتاپش رو توی بلاگ تیم هانت Voorivex منتشر کنه، نایس
https://twitter.com/NikoueiMohammad/status/1776318781192589776
https://twitter.com/NikoueiMohammad/status/1776318781192589776
X (formerly Twitter)
Mohammad Nikouei (@NikoueiMohammad) on X
Yay, I was awarded a $9,000 bounty on @Hacker0x01! #TogetherWeHitHarder
ایونت استانبول یه تجربه باحال بود، بچهها هم باگ زدن، هم پول دراوردن، هم خودگذروندن و هم جای دوستاشون رو خالی کردن. کلی فیلم گرفتیم، تیکه تیکه چسبوندم به هم یه کلیپ ساختیم بنظرم باحال شده:
https://youtu.be/q5lku5_0mBg
https://youtu.be/q5lku5_0mBg
توییت یکی از بچه ها که رو soundcloud باگ زده:
https://x.com/alial1shan/status/1780982228656300145
https://x.com/alial1shan/status/1780982228656300145
digMeMore
آقای آریا ۴۲ سالشه، کارمنده و ۳ تا فرزند داره، مشکلات شخصی هم داره برای همین زمانش برای هانت خیلی کمه، شبا تا دیروفت کار میکنه، ۲ ساله با امنیت آشنا شده (شاگرد خودم بوده)، از شهریور ۱۴۰۲ هانت رو شروع کرده، برای این باگم خیلی زحمت کشیده؟ تشویق نداره؟ ❤️ h…
این نفراتی که با وجود سن و مشغله برای زندگیشون تلاش میکنن خیلی برای من ارزشمندن. چون امثال این اشخاص این خط فکری رو دارن که نمیشه و از ما گذشته و وقت نداریم، واقعا هم سخته ولی با تلاش مستمر میشه به یجاهایی رسید و این خیلی قشنگه ❤️
یه XSS رو تیکتاک که باید ۲۵۰۰ دلار میدادن، با اکسپلویت شد ۷۵۰۰ دلار، تیپ:
- تا میتونین JS بخونین و DOM debug کنین، اینکه React یا VueJS معنیش این نیست برنامهنویس کد دستی نزده
- وقتی رسیدین به XSS حتما اکسپلویت کنین، اگه فقط یه alert نشون بدین قطعا کف بانتی رو میگیرین
- گزارش رو دقیق و واضح بنویسید، هیچ وقت severity رو overrate نکنین، چون تیم مقابل میره تو گارد و نتیجه برعکس میشه
- توی گزارش اصلا از عبارت «هکر میتونه» استفاده نکنین، واضح بگین خودتون چکار کردین
- دنبال ابزار خاصی برای کشف باگهای عمیق نباشید، یادتون باشه ابزارها هکر نمیسازن
- براتون مهم نباشه کی چند وقت روی یه برنامه کار کرده، اگه قبول ندارین صفحه تیکتاک رو توی هکروان ببینین، من ۱ ماه پیش اولین بار تیکتاک رو باز کردم
- از رو برنامه حرکت نکنین، عوض کردن مداوم برنامه کار قشنگی نیست در دراز مدت شما تبدیل میشین به هانتری که فقط low hanging fruits کشف میکنه
- به چکلیستها تکیه نکنین، شما ماشین نیستین که مثل ربات برین یه چکلیست رو روی تارگتها اجرا کنین، این کار در دراز مدت خلاقیتتون رو میکشه
- یه سری موارد دیگه هم هست بعدا میگم دمتون گرم
- تا میتونین JS بخونین و DOM debug کنین، اینکه React یا VueJS معنیش این نیست برنامهنویس کد دستی نزده
- وقتی رسیدین به XSS حتما اکسپلویت کنین، اگه فقط یه alert نشون بدین قطعا کف بانتی رو میگیرین
- گزارش رو دقیق و واضح بنویسید، هیچ وقت severity رو overrate نکنین، چون تیم مقابل میره تو گارد و نتیجه برعکس میشه
- توی گزارش اصلا از عبارت «هکر میتونه» استفاده نکنین، واضح بگین خودتون چکار کردین
- دنبال ابزار خاصی برای کشف باگهای عمیق نباشید، یادتون باشه ابزارها هکر نمیسازن
- براتون مهم نباشه کی چند وقت روی یه برنامه کار کرده، اگه قبول ندارین صفحه تیکتاک رو توی هکروان ببینین، من ۱ ماه پیش اولین بار تیکتاک رو باز کردم
- از رو برنامه حرکت نکنین، عوض کردن مداوم برنامه کار قشنگی نیست در دراز مدت شما تبدیل میشین به هانتری که فقط low hanging fruits کشف میکنه
- به چکلیستها تکیه نکنین، شما ماشین نیستین که مثل ربات برین یه چکلیست رو روی تارگتها اجرا کنین، این کار در دراز مدت خلاقیتتون رو میکشه
- یه سری موارد دیگه هم هست بعدا میگم دمتون گرم
یه ویدیو گرفتم راجع به این قضیه توضیح دادم، اول اینکه این CVE توی هانت بدرد میخوره؟ دوم اینکه وقتی چنین CVEهایی میاد چظوری تحقیق کنیم و یادش بگیریم؟ دمتون گرم
https://youtu.be/fq_Q1iaB0iQ
https://youtu.be/fq_Q1iaB0iQ
آقا مهدی (@mrshojaaeii) روی یه برنامه پابلیک و روی یکی از دامینهاش ۱۳ هزار دلار بانتی زده، واقعا بش افتخار میکنم، معلم شیمی ۲۵ ساله، سال قبل شاگردم بوده. ۲ هفته پیش ۱۳ هزار دلار بانتی زده و امروز تجربش رو با ما به اشتراک میذاره. بم گفت حقوق ۵۰ ماهش رو در اورده، حتما بخونین و ایده بگیرین:
https://memoryleaks.ir/13k-bounty-in-a-public-program/
https://memoryleaks.ir/13k-bounty-in-a-public-program/
digMeMore
هانترا حواستون باشه NahamCon رو از دست ندین، فردا ساعت ۱۰:۳۰ شب CTFاش شروع میشه، شنبه ساعت ۷ عصر هم ارائههاش. تیترهای ارائهها رو دیدم از سری قبلی یه سر و گردن بالاترن. یحتمل یه خلاصه از ایونت توی یوتوب میذارم برای بچههایی که نمیرسن کلش رو ببینن
ما توی دیسکورد لایویم برای ناهامسک دوست داشتین بیاین
https://discord.com/invite/wxRhh57d6z
https://discord.com/invite/wxRhh57d6z
Discord
Join the Voorivex Discord Server!
This is Voorivex Academy's official Discord server! Our main goal is to share knowledge in a friendly environment. | 4554 members
با آرش یه پیکار real world طراحی کردیم. ۵ روز بالا میمونه و نفر اولی که توی سایت فلگ رو ثبت کنه هم یه کتاب جایزه میگیره. برید ببینم چکار میکنین، آدرس پیکار:
https://r.voorivex.academy
https://r.voorivex.academy
خب انقدر که گفتین یه ویدیو پر کردم رو این پیکار، البته توی ویدیو تمرکز روی هانت SPAها مخصوصا Reactعه، پیکارم در کنارش حل میکنم. رو قسمت JSاش بیشتر وقت گذاشتم و اون RCE رو فقط یه تکنیک گفتم که بکارتون میاد، امیدوارم که خوشتون بیاد
https://youtu.be/wOoZ1rAoDGQ
https://youtu.be/wOoZ1rAoDGQ