توییت یکی از بچه ها که رو soundcloud باگ زده:
https://x.com/alial1shan/status/1780982228656300145

یادمون باشه رشد و پیشرفت درد داره

این نفراتی که با وجود سن و مشغله برای زندگیشون تلاش می‌کنن خیلی برای من ارزشمندن. چون امثال این اشخاص این خط فکری رو دارن که نمیشه و از ما گذشته و وقت نداریم، واقعا هم سخته ولی با تلاش مستمر میشه به یجاهایی رسید و این خیلی قشنگه ❤️

یه XSS رو تیک‌تاک که باید ۲۵۰۰ دلار میدادن، با اکسپلویت شد ۷۵۰۰ دلار، تیپ:

- تا میتونین JS بخونین و DOM debug کنین، اینکه React یا VueJS معنیش این نیست برنامه‌نویس کد دستی نزده
- وقتی رسیدین به XSS حتما اکسپلویت کنین، اگه فقط یه alert نشون بدین قطعا کف بانتی رو می‌گیرین
- گزارش رو دقیق و واضح بنویسید، هیچ وقت severity رو overrate نکنین، چون تیم مقابل میره تو گارد و نتیجه برعکس میشه
- توی گزارش اصلا از عبارت «هکر می‌تونه» استفاده نکنین، واضح بگین خودتون چکار کردین
- دنبال ابزار خاصی برای کشف باگ‌های عمیق نباشید، یادتون باشه ابزارها هکر نمی‌سازن
- براتون مهم نباشه کی چند وقت روی یه برنامه کار کرده، اگه قبول ندارین صفحه تیک‌تاک رو توی هکروان ببینین، من ۱ ماه پیش اولین بار تیک‌تاک رو باز کردم
- از رو برنامه حرکت نکنین، عوض کردن مداوم برنامه کار قشنگی نیست در دراز مدت شما تبدیل میشین به هانتری که فقط low hanging fruits کشف می‌کنه
- به چک‌لیست‌ها تکیه نکنین، شما ماشین نیستین که مثل ربات برین یه چک‌لیست رو روی تارگت‌ها اجرا کنین، این کار در دراز مدت خلاقیتتون رو می‌کشه
- یه سری موارد دیگه هم هست بعدا میگم دمتون گرم

یه ویدیو گرفتم راجع به این قضیه توضیح دادم، اول اینکه این CVE توی هانت بدرد می‌خوره؟ دوم اینکه وقتی چنین CVEهایی میاد چظوری تحقیق کنیم و یادش بگیریم؟ دمتون گرم

https://youtu.be/fq_Q1iaB0iQ

Is there a way to get the admin password? (Source Code)

آقا مهدی (@mrshojaaeii) روی یه برنامه پابلیک و روی یکی از دامین‌هاش ۱۳ هزار دلار بانتی زده، واقعا بش افتخار می‌کنم، معلم شیمی ۲۵ ساله، سال قبل شاگردم بوده. ۲ هفته پیش ۱۳ هزار دلار بانتی زده و امروز تجربش رو با ما به اشتراک می‌ذاره. بم گفت حقوق ۵۰ ماهش رو در اورده، حتما بخونین و ایده بگیرین:
https://memoryleaks.ir/13k-bounty-in-a-public-program/

هانترا حواستون باشه NahamCon رو از دست ندین، فردا ساعت ۱۰:۳۰ شب CTFاش شروع میشه، شنبه ساعت ۷ عصر هم ارائه‌هاش. تیترهای ارائه‌ها رو دیدم از سری قبلی یه سر و گردن بالاترن. یحتمل یه خلاصه از ایونت توی یوتوب می‌ذارم برای بچه‌هایی که نمی‌رسن کلش رو ببینن

دیشب نزدیک ۹ ساعت لایو بودیم با بچه‌های کلاس، اولین تیم بودیم که میشن‌ها رو زدیم. واقعا چسبید و کلی چیز یاد گرفتیم، رایت‌اپ + ویدیو یوتوب به زودی
#nahamcon

ما توی دیسکورد لایویم برای ناهام‌سک دوست داشتین بیاین
https://discord.com/invite/wxRhh57d6z

بنازم «هکر»

با آرش یه پیکار real world طراحی کردیم. ۵ روز بالا میمونه و نفر اولی که توی سایت فلگ رو ثبت کنه هم یه کتاب جایزه می‌گیره. برید ببینم چکار می‌کنین، آدرس پیکار:
https://r.voorivex.academy

خب انقدر که گفتین یه ویدیو پر کردم رو این پیکار، البته توی ویدیو تمرکز روی هانت SPAها مخصوصا Reactعه، پیکارم در کنارش حل می‌کنم. رو قسمت JSاش بیشتر وقت گذاشتم و اون RCE رو فقط یه تکنیک گفتم که بکارتون میاد، امیدوارم که خوشتون بیاد
https://youtu.be/wOoZ1rAoDGQ

حس و حال اولین بانتی:
https://x.com/legend_of_bugs/status/1799200020551635459

سلام بچه‌ها ۳ تا از جعبه‌ها رو تا ظرفیت ۹ instance همزمان رایگان کردیم، یعنی نیازی نیست وچر تهیه کنین و می‌تونین استارت کنین و تمرین کنین، به زودی ظرفیت بیشتری برای جعبه‌های رایگاه در نظر می‌گیریم، دمتون گرم
جعبه‌های رایگان فعلی:

- SQLi Level 1 - String UNION
- DOM XSS 1
- Safe UUID

https://voorivex.academy/box-categories/