یه XSS رو تیک‌تاک که باید ۲۵۰۰ دلار میدادن، با اکسپلویت شد ۷۵۰۰ دلار، تیپ:

- تا میتونین JS بخونین و DOM debug کنین، اینکه React یا VueJS معنیش این نیست برنامه‌نویس کد دستی نزده
- وقتی رسیدین به XSS حتما اکسپلویت کنین، اگه فقط یه alert نشون بدین قطعا کف بانتی رو می‌گیرین
- گزارش رو دقیق و واضح بنویسید، هیچ وقت severity رو overrate نکنین، چون تیم مقابل میره تو گارد و نتیجه برعکس میشه
- توی گزارش اصلا از عبارت «هکر می‌تونه» استفاده نکنین، واضح بگین خودتون چکار کردین
- دنبال ابزار خاصی برای کشف باگ‌های عمیق نباشید، یادتون باشه ابزارها هکر نمی‌سازن
- براتون مهم نباشه کی چند وقت روی یه برنامه کار کرده، اگه قبول ندارین صفحه تیک‌تاک رو توی هکروان ببینین، من ۱ ماه پیش اولین بار تیک‌تاک رو باز کردم
- از رو برنامه حرکت نکنین، عوض کردن مداوم برنامه کار قشنگی نیست در دراز مدت شما تبدیل میشین به هانتری که فقط low hanging fruits کشف می‌کنه
- به چک‌لیست‌ها تکیه نکنین، شما ماشین نیستین که مثل ربات برین یه چک‌لیست رو روی تارگت‌ها اجرا کنین، این کار در دراز مدت خلاقیتتون رو می‌کشه
- یه سری موارد دیگه هم هست بعدا میگم دمتون گرم

یه ویدیو گرفتم راجع به این قضیه توضیح دادم، اول اینکه این CVE توی هانت بدرد می‌خوره؟ دوم اینکه وقتی چنین CVEهایی میاد چظوری تحقیق کنیم و یادش بگیریم؟ دمتون گرم

https://youtu.be/fq_Q1iaB0iQ

Is there a way to get the admin password? (Source Code)

آقا مهدی (@mrshojaaeii) روی یه برنامه پابلیک و روی یکی از دامین‌هاش ۱۳ هزار دلار بانتی زده، واقعا بش افتخار می‌کنم، معلم شیمی ۲۵ ساله، سال قبل شاگردم بوده. ۲ هفته پیش ۱۳ هزار دلار بانتی زده و امروز تجربش رو با ما به اشتراک می‌ذاره. بم گفت حقوق ۵۰ ماهش رو در اورده، حتما بخونین و ایده بگیرین:
https://memoryleaks.ir/13k-bounty-in-a-public-program/

هانترا حواستون باشه NahamCon رو از دست ندین، فردا ساعت ۱۰:۳۰ شب CTFاش شروع میشه، شنبه ساعت ۷ عصر هم ارائه‌هاش. تیترهای ارائه‌ها رو دیدم از سری قبلی یه سر و گردن بالاترن. یحتمل یه خلاصه از ایونت توی یوتوب می‌ذارم برای بچه‌هایی که نمی‌رسن کلش رو ببینن

دیشب نزدیک ۹ ساعت لایو بودیم با بچه‌های کلاس، اولین تیم بودیم که میشن‌ها رو زدیم. واقعا چسبید و کلی چیز یاد گرفتیم، رایت‌اپ + ویدیو یوتوب به زودی
#nahamcon

ما توی دیسکورد لایویم برای ناهام‌سک دوست داشتین بیاین
https://discord.com/invite/wxRhh57d6z

بنازم «هکر»

با آرش یه پیکار real world طراحی کردیم. ۵ روز بالا میمونه و نفر اولی که توی سایت فلگ رو ثبت کنه هم یه کتاب جایزه می‌گیره. برید ببینم چکار می‌کنین، آدرس پیکار:
https://r.voorivex.academy

خب انقدر که گفتین یه ویدیو پر کردم رو این پیکار، البته توی ویدیو تمرکز روی هانت SPAها مخصوصا Reactعه، پیکارم در کنارش حل می‌کنم. رو قسمت JSاش بیشتر وقت گذاشتم و اون RCE رو فقط یه تکنیک گفتم که بکارتون میاد، امیدوارم که خوشتون بیاد
https://youtu.be/wOoZ1rAoDGQ

حس و حال اولین بانتی:
https://x.com/legend_of_bugs/status/1799200020551635459

سلام بچه‌ها ۳ تا از جعبه‌ها رو تا ظرفیت ۹ instance همزمان رایگان کردیم، یعنی نیازی نیست وچر تهیه کنین و می‌تونین استارت کنین و تمرین کنین، به زودی ظرفیت بیشتری برای جعبه‌های رایگاه در نظر می‌گیریم، دمتون گرم
جعبه‌های رایگان فعلی:

- SQLi Level 1 - String UNION
- DOM XSS 1
- Safe UUID

https://voorivex.academy/box-categories/

جزئیات دوره OWASP, New Zero در سایت گذاشته شد، ثبت‌نام ۱۲ مرداد ساعت ۹ شب، اطلاعات کامل + کلیپ معرفی دوره:
https://voorivex.academy/class/sign.html

بچه‌هایی که توی پلتفرم‌های خارجی کار می‌کنین حتما توییت رو بخونین (ویدیو گذاشتم) که اشتباه منو نکنین، حساب قبلیم خیلی خفن بود بسته شد ولی خب مهم نیست و ادامه میدیم، این حسابو کامل قانونی درست کردم و اشتباهات قبلی رو انجام ندادم، امیدوارم بدرد شما هم بخوره <3
https://x.com/voorivex/status/1808193498237088099

اینو یادتونه؟ مهدی از اون موقع سخت کار کرد، پیشرفت کرد، تلاش کرد، یادتون باشه حتی انگلیسی هم بلد نبود. ذره ذره دانشش اضافه شد، چاله‌هاشو پر کرد، مسیر سختی رو طی کرد، ولی کرد! خیلی مهمه، مهدی هم مثل بقیه ناامید میشده، قطعا روزایی عدم تمرکز داشته، قطعا کلی dup داشته، قطعا ۲ هفته (یا بیشتر) رو یه برنامه کار کرده و نتیحه نگرفته، خیلی اذیت شده، ولی تصمیم می‌گیره تو مسیر بمونه، این تو مسیر بودن جملش سادس، عملش خیلی سخته! اینارو کفتم چون معمولا ما فقط نتیجه رو میبینیم و انتظار داریم زود به اون نتیجه برسیم، بعد ۴ ماه کار روزی ۱۲ ساعت اگه به اون نتیجه نرسیم سست میشیم، مغزمون شروع می‌کنه بهونه اوردن و از زیر کار در میریم، آخرشم به خودمون می‌گیم: «نمی‌دونم چمه نمی‌تونم کار کنم»، این تازه خروجی باهوشاس، کم‌هوش‌تراش معمولا هیتر هانترای موفق یا کلا باگ‌بانتی میشن. خلاصه که، موفقیت هیچ راه جادویی نداره، هیچ مینبری نداره، هیچ «این راز منه و اگه بدونیش پول در میاری» نداره، فقط و فقط یه عامل داره: هدف و حرکت مداوم! حتما و حتما رشتو مهدی رو بخونین، براش آرزوی موفقیت می‌کنیم ❤️ (راستی مهدی تقریبا یک‌ماهه وارد تیم هانت voorivex شده، خوشحالیم که هم‌تیمی خوب دیگه داریم)

https://x.com/neotrony/status/1810020212483244235