digMeMore – Telegram

digMeMore

6.94K subscribers

249 photos

18 videos

24 files

529 links

Contact: @YShahinzadeh

Download Telegram

About

Blog

Apps

Platform

6.94K subscribers

حاج امید و حاج امیر این مدت رنده کردن، این فقط یکی از باگاییه که اخیرا زدن، هدفشون هم یه تک وب‌سایت بود و کلی هم قدمت داشت، narrow recon شون واقعا قوی بود، تکنیک اکسپلویتشون هم خفن بود، کلا عشق کردم، خلاصه مبارکتون باشه ❤️

لینک توییت:
https://x.com/voorivex/status/1888283506821697614?s=46&t=t4dmnMSh7dUAGaohytE6mQ

15.8K viewsYasho, 17:49

https://blog.voorivex.team/css-data-exfiltration-to-steal-oauth-token

Voorivex's Team

CSS Data Exfiltration to Steal OAuth Token

Use CSS injection to bypass CSP, exfiltrate OAuth tokens through unique chaining techniques. Discover vulnerability and exploit details

12.8K viewsYasho, 17:43

https://youtu.be/HAcSAPCg9ko

13.4K viewsYasho, 17:38

https://x.com/hmakdev/status/1894470376001880487?s=46&t=t4dmnMSh7dUAGaohytE6mQ

X (formerly Twitter)

Hossein Maktoobian (@hmakdev) on X

برای استعدادیابی کلاس گاتس با @voorivex @AmirMSafari @MrMSA16 امشب جلسه رفتیم. یه چلنج خفن داریم آماده می‌کنیم که به زودی جزئیات بیشترش رو می‌گم. پس طبق روال قبلی این سری هم استعدادیابی داریم. 🔥
اسم پیکار: میگ میگ

14.4K viewsYasho, 19:32

خب بریم برای کلاس هانت guts که خیلی براش زحمت کشیدیم، کلاس سختیه و سالی یبار برگزار میشه. حتما کلیپ معرفی رو ببینین کامل، نظرات شاگردای دوره‌های قبلی هم بخونین کمک‌کنندس، امیدوارم کلاس خوبی داشته باشیم، سی یو https://voorivex.academy/class/

ظرفیت کلاس پر شد و ثبت‌نام به اتمام رسید، امیدوارم کلاس خوبی در کنار هم داشته باشیم ❤️

14.6K viewsYasho, 19:19

https://x.com/voorivex/status/1897342814708736205

X (formerly Twitter)

 یاشو (@voorivex) on X

با کلی مشغله و همت حسین، پیکار استعدادیابی کلاس Guts اومد، از طریق لینک زیر در دسترسه. اگه کامل حل کردین و خواستین توی قرعه‌کشی استعدادیابی شرکت کنین، باید فلگ نهایی رو توی voorivex . academy وارد کنین، برای یادگیری و فان هم کلی چیز داره، دمتون گرم
https…

13.4K viewsYasho, 17:47

پیکار خفنیه ببینم چه می‌کنین رو این

https://x.com/YShahinzadeh/status/1911847626472825233

X (formerly Twitter)

YS (@YShahinzadeh) on X

[white box challenge]
Can you convert the Self-XSS into a 1-click ATO? this challenge is based on a real world bug, a semi-novel way to exploit Self-XSS. challenge objective is to steal admin's API key, give it a shot:

https://t.co/USYCPgX7kr

online instance:…

10.3K viewsYasho, edited 18:23

https://memoryleaks.ir/dns-rebinding-schrodingers-response/

مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری

DNS Rebinding: Schrödinger’s Response

در نتیجه راه حل ما برای بدست آوردن مقدار GUID قربانی، rebinding DNS هست. الگوهای متنوعی برای انجام rebinding DNS وجود داره.

10.9K viewsYasho, 17:03

https://memoryleaks.ir/dns-rebinding-schrodingers-response/

اینو وقتی خوندم پرام ریخت، گذاشتم گروه هانت بچه‌ها هم پراشون ریخت، بعد ۲۰ سال کار از شاگردم یاد می‌گیرم و این اوج لذته. من یه باگ زدم، گزارش دادم پچ کردن، پچ رو دور زده!
‏میزان خلاقیتی که تو این باگ بخرج داده ستودنیه، حتما بخونین، باریکلا بت واجب بود یه توییت شخصا بزنم برات ❤️

10.3K viewsYasho, 10:39

https://voorivex.academy/

voorivex.academy

آکادمی ووریوکس | صفحه اصلی

آکادمی ووریوکس مسیر حرفه‌ای شما در پن‌تست و باگ بانتی را با دوره‌های تخصصی، مسابقات CTF و آزمایشگاه‌های تمرینی هموار می‌کند. همین حالا یادگیری را شروع کنید!

9.99K viewsYasho, 19:28

امسال برای کنفرانس NahamCon دعوت شدم. یکی از باگایی که با امیر کار کردیمو ارائه میدیم، امیدوارم همه چیز خوب پیش بده ✌🏻

https://x.com/yshahinzadeh/status/1917689616796377538?s=46&t=t4dmnMSh7dUAGaohytE6mQ

11.8K viewsYasho, 21:18

https://blog.voorivex.team/leaking-oauth-token-via-referrer-leakage

Voorivex's Team

Stealing oAuth Token via Referrer Policy Override

Explore how referrer leakage can expose OAuth tokens in browser implementations and learn methodologies to protect against token theft

15.4K viewsYasho, 20:51

این بدردتون می‌خوره، حل شده داشته باشینش
https://x.com/omidxrz/status/1923479391771791711

X (formerly Twitter)

Omid Rezaei (@omidxrz) on X

@YShahinzadeh and I created two postMessage challenges based on real-world cases, it's commonly used by developers to secure postMessages
this is the first one, can you exploit it?

13.5K viewsYasho, 20:46

https://blog.voorivex.team/puny-code-0-click-account-takeover

13.8K viewsYasho, 18:21

از توییتر تستیمونی ‌گرفتم، خیلی شادم

13.7K viewsYasho, 22:17

https://youtu.be/Xm6RC_Q5QjA

نقطه صفر شروع باگ‌بانتی

برای پیشنیاز اوسپ و باگ‌بانتی چکار کنم؟ قلا نقطه راه گذاشتم یوتوب ببینین، این تسک هم انجام بدین بنظرم کامل اماده میشین براش

11.6K viewsYasho, 17:23

خب اینم از دوره OWASP ZeroX، این دوره اوسپ رو با رویکرد هانت درس میدم، یعنی بخشی از پیشنیازها رو بیشتر وقت میذاریم، مثلا معماری وب‌اپلیکیشن‌ها و JS، ثبت‌نام ۷ شهریور ساعت ۲۱:۰۰ انجام میشه، کلیه اطلاعات دوره تو لینک زیر هست، سی یو ❤️

https://voorivex.academy/classes/owasp-zero-x

11.4K viewsYasho, 18:18

https://youtu.be/qqCOWSVKb6g

احتمال موفقیت تو باگ‌بانتی

چقدر احتمال داره توی باگ‌بانتی موفق بشم؟ یه سری آمار میخوام بتون بدم که بتوننی درست تصمیم بگیرین وارد این رشته بشین یا نه (یا بمونین یا نه)

10.5K viewsYasho, 15:43

من کلا لایه اپلیکیشن کار می‌کنم و تا ۲ سال پیش کلا اپ‌هایی که نیاز به مهندسی معکوس داشتن رو بیخیال میشدم. اولین بار دلو زدم به دریا و رو اپلیکیشن کپکات کار کردم و ۳ تا RCE گرفتم، بدون اینکه اصلا مهندسی معکوس کنم فقط با ور رفتم با اپ ه یکم دستکاری HTTP. بعد از اون قضیه دیگه اپ‌ها رو نگاه می‌کنم هر چند کم، این چند تا CVE هم با کمک یکی از دوستا زدم، برام اپ رو مهندسی معکوس کرد و سورس رو داد بم، نشستم رو وب و قسمت‌های دیگش حدود ۳۰ هزار بانتی گرفتم، دیگه بعد از اینکه اجازه گرفتم رایت‌آپ رو منتشر کردم، امیدوارم خوشتون بیاد:

https://blog.voorivex.team/hacking-veeam-several-cves-and-30k-bounties

10.9K viewsYasho, edited 19:01

https://blog.voorivex.team/0-click-mass-account-takeover-via-android-app-access-to-all-zendesk-tickets

10.2K viewsYasho, 17:34

خب بعد یه جلسه طولانی تصمیم گرفتیم برای دوره OWASP ZeroX استعدادیابی بذاریم، کلیه جزيات رو به زودی اعلام می‌کنیم ✌🏻

9.99K viewsYasho, 18:33