یه ویدیو ضبط کردم از حل مرحله به مرحله پیکار همراه با توضیحات، خیلی سعی کردم که طولانی نشه و کاربردی باشه. تا آخر هفته نتیجه استعدادیابی هم مشخص میشه، ممنون از اینکه تو پیکار شرکت کردین و امیدوارم با همه مشکلاتش ازش راضی بوده باشین، دمتوم خیلی گرم
https://youtu.be/0bJ_yXJ0TjM
https://youtu.be/0bJ_yXJ0TjM
سامان چند وقتیه منتورشیپی میکنه و خیلی خوب داره پیش میره و منتیهاش نتایج خفنی گرفتن، به زودی یه سری داده شامل نظرات، برنامه روزانه و زمانی که صرف کردن و و و منتشر میکنم. مطمئنم اطلاعات خوبیه برای بچههایی که دارن سولو میرن جلو، توییت امروز یکی از منتیهاش که ۳۵۰۰ دلار بانتی گرفته:
https://x.com/rasfaniaaa/status/1821896512860746093
https://x.com/rasfaniaaa/status/1821896512860746093
نتایج استعدادیابی مشخص شد
https://x.com/voorivex/status/1826302948143452554
https://x.com/voorivex/status/1826302948143452554
digMeMore
کلاس هانت بعد چهار ماه تموم شد، واقعا کنار هم زندگی کردیم، کلی خاطره ساختیم و کلی پیشرفت کردیم. امیدوارم منو تیمم لایق اعتماد بچهها بوده باشیم، از ته دل بهترینها رو برای همهشون آرزو میکنم، اینم بره ثبت شه در خاطرات ❤️
بچهها تو کلاس طی چهار ماه در مجموع ۱۹۸ آسیبپذیری گزارش دادن، ۷۵ تا DUP/NA و ۶۱ تا RDP و ۶۲ تا VDP، جمع کل بانتیا هم ۵۴ هزار و ۶۵ دلار شد، البته یه سریا کلیه باگاشون رو ثبت نکردن، آمار از این بالاتره، این اکسل تا عید آپدیت میشه چون خیلی از بچهها هنوز دارن مطالبو هضم میکنن 👍🏻
یک رایتاپ آموزنده درمورد RCE که بخاطرش ۱۵۰۰۰ دلار بانتی دادن
علاوه بر مانیتورینگ جالبی که انجام داده تا وقتی دوولوپر برنامه رو دیباگ میکرده خطاهارو براش بفرسته، تست کیس های جالبی هم انجام داده که نیاز به یک دانش کلی از PHP داشتن، مثلا فرض رو بر این گرفته که یجا دیتارو از php://input میخونه، که در آخر یک پارامتر رو پیدا کرده داخل POST و از اون رسیده به LFI و با خوندن فایلها هم RCE زده
https://medium.com/@0xold/15k-rce-through-monitoring-debug-mode-4f474d8549d5
علاوه بر مانیتورینگ جالبی که انجام داده تا وقتی دوولوپر برنامه رو دیباگ میکرده خطاهارو براش بفرسته، تست کیس های جالبی هم انجام داده که نیاز به یک دانش کلی از PHP داشتن، مثلا فرض رو بر این گرفته که یجا دیتارو از php://input میخونه، که در آخر یک پارامتر رو پیدا کرده داخل POST و از اون رسیده به LFI و با خوندن فایلها هم RCE زده
https://medium.com/@0xold/15k-rce-through-monitoring-debug-mode-4f474d8549d5
Medium
$15k RCE Through Monitoring Debug Mode
Have you ever come across an endpoint that you instinctively knew was vulnerable, but you couldn’t quite understand what was happening on…
این مدت پارسا آمازون او رنده کرده، عامل موفقیتش اینه: cope with difficulties که بخوبی انجامش داده:
https://x.com/voorivex/status/1830909146972971242?s=46&t=t4dmnMSh7dUAGaohytE6mQ
https://x.com/voorivex/status/1830909146972971242?s=46&t=t4dmnMSh7dUAGaohytE6mQ
ظرات کلاس هانت (حدود ۹۰ نظر) بدون کوچکترین تغییر + راه ارتباطی با افراد رفت توی وبسایت، در نظرسنجی نهایی هم ۱۵۷ نفر از کلاس راضی بودن (ناراضی نداشتیم)، برای اینکه بتونیم چنین نظراتی بگیریم شب و روز تلاش کردیم و از بچهها ممنونیم که به ما اعتماد کردن
https://voorivex.academy/class/narutow-hunt.html
https://voorivex.academy/class/narutow-hunt.html
بعد مدتها یه بلاگ پست نوشتم، پیشنهاد میکنم بخونین، راجع به آسیبپذیری Account Takeover هست که توی Hashnode پیدا کردم و بانتی گرفتم. مشکلی امنیتی هم DNS Rebinding بوده که فیلمشو اینجا میذارم (توی پست فیلمش نیست)
https://blog.voorivex.team/account-takeover-due-to-dns-rebinding
https://blog.voorivex.team/account-takeover-due-to-dns-rebinding
Voorivex's Team
Account Takeover due to DNS Rebinding
Hello guys, after a long time, I decided to write a blog post. I chose a vulnerability that I recently uncovered in Hashnode. As you may have already noticed, I set up this blog on Hashnode. Naturally, when I use a third-party service like this, I sp...
This media is not supported in your browser
VIEW IN TELEGRAM
فیلم آسیبپذیری بالا