رایت آپ کشف آسیب پذیری DOM XSS در gmail
https://opnsec.com/2020/05/dom-xss-in-gmail-with-a-little-help-from-chrome/
#gmail
#google
#BugBounty
@sec_nerd
https://opnsec.com/2020/05/dom-xss-in-gmail-with-a-little-help-from-chrome/
#gmail
#BugBounty
@sec_nerd
یک فرد ناشناس مشخصات و شماره تلفن ۱۱۵ میلیون شهروند پاکستانی را به فروش گذاشت.
این مشخصات شامل نام، آدرس، کدملی، شماره تلفن ثابت و همراه می باشد.
تا کنون ۴۴ میلیون شماره از این پکیج منتشر شده است.
قیمت این دیتابیس 2.1 میلیون دلار می باشد.
https://www.zdnet.com/article/details-of-44m-pakistani-mobile-users-leaked-online-part-of-bigger-115m-cache/
#breach
#pakistan
@sec_nerd
این مشخصات شامل نام، آدرس، کدملی، شماره تلفن ثابت و همراه می باشد.
تا کنون ۴۴ میلیون شماره از این پکیج منتشر شده است.
قیمت این دیتابیس 2.1 میلیون دلار می باشد.
https://www.zdnet.com/article/details-of-44m-pakistani-mobile-users-leaked-online-part-of-bigger-115m-cache/
#breach
#pakistan
@sec_nerd
امنیت اطلاعات
وبسایت Tokopedia هک شد و اطلاعات ۹۱ میلیون کاربر آن در دارک نت با قیمت ۵ هزار دلار به فروش گذاشته شد این وبسایت اندونزیایی در زمینه ی تجارت الکترونیک فعالیت دارد. اطلاعات لو رفته شامل جنسیت،مکان، نام کاربری، نام، آدرس ایمیل، شماره تلفن و پسورد هش شده است.…
فردی که اخیرا Tokopedia را هک کرده بود مدعی شد یک ریپازیتوری از سورس کدهای مایکروسافت شامل کدهای Azure و آفیس و نیز برخی فایلها و APIهای ویندوز را در اختیار دارد.
این سورس کدها 54 گیگابایت (بصورت کمپرس شده) حجم داشته و به نظر میرسد که از یک ریپازیتوری پرایوت گیتهاب بدست آمده باشند.
https://raidforums.com/Thread-Microsoft-500-GB-of-private-source-code
#breach
#microsoft
@sec_nerd
این سورس کدها 54 گیگابایت (بصورت کمپرس شده) حجم داشته و به نظر میرسد که از یک ریپازیتوری پرایوت گیتهاب بدست آمده باشند.
https://raidforums.com/Thread-Microsoft-500-GB-of-private-source-code
#breach
#microsoft
@sec_nerd
shortest payload for a tiny reverse shell written in 19 bytes using only non-alphanumeric characters
https://gist.github.com/terjanq/cd506a49d4439130966bf9855a12f925
#php
#shell
@sec_nerd
https://gist.github.com/terjanq/cd506a49d4439130966bf9855a12f925
#php
#shell
@sec_nerd
استخراج نامهای کاربری و پسوردها از سیستم ویندوزی تسخیر شده
https://github.com/Viralmaniar/HiveJack
#windows #privesc #pentest
@sec_nerd
https://github.com/Viralmaniar/HiveJack
#windows #privesc #pentest
@sec_nerd
امنیت اطلاعات
Integrate Juicy Potato Privilege Escalation Exploit اکسپلویت بالابردن سطح دسترسی در سیستم های ویندوزی https://github.com/rapid7/metasploit-framework/pull/11230 #windows #privesc #iis #pentest @sec_nerd
نسخه ی جدید اکسپلویت بالابردن سطح دسترسی در ویندوز با نام roguepotato
توضیحات فنی:
https://decoder.cloud/2020/05/11/no-more-juicypotato-old-story-welcome-roguepotato/
کد و اسکریپت اثبات:
https://github.com/antonioCoco/RoguePotato
https://github.com/antonioCoco/RoguePotato/releases/download/1.0/RoguePotato.zip
#windows
#privesc
@sec_nerd
توضیحات فنی:
https://decoder.cloud/2020/05/11/no-more-juicypotato-old-story-welcome-roguepotato/
کد و اسکریپت اثبات:
https://github.com/antonioCoco/RoguePotato
https://github.com/antonioCoco/RoguePotato/releases/download/1.0/RoguePotato.zip
#windows
#privesc
@sec_nerd
اسکریپت دیگری از سری potato با نام BadPotato که در بالابردن سطح دسترسی (SYSTEM) در ویندوزهای سرور 2012 و 2019 و نیز ویندوزهای 8 و 10 کارایی دارد
https://github.com/BeichenDream/BadPotato
#windows
#privesc
@sec_nerd
https://github.com/BeichenDream/BadPotato
#windows
#privesc
@sec_nerd
اکسپلویت جدید منتشر شده برای آسیب پذیری جدید در ManageEngine OpManger با شناسه ی CVE-2020-12116
امکانات:
خواندن کلیدهای خصوصی، پسوردهای دامنه و هر فایل دیگری در دایرکتوری نصب اپلیکیشن
https://github.com/BeetleChunks/CVE-2020-12116
#manageengine
#poc
@sec_nerd
امکانات:
خواندن کلیدهای خصوصی، پسوردهای دامنه و هر فایل دیگری در دایرکتوری نصب اپلیکیشن
https://github.com/BeetleChunks/CVE-2020-12116
#manageengine
#poc
@sec_nerd
GitHub
GitHub - BeetleChunks/CVE-2020-12116: Proof of concept code to exploit CVE-2020-12116: Unauthenticated arbitrary file read on ManageEngine…
Proof of concept code to exploit CVE-2020-12116: Unauthenticated arbitrary file read on ManageEngine OpManger. - BeetleChunks/CVE-2020-12116
رایت آپ کشف آسیب پذیری RCE بر روی یکی از زیردامنه های gucci.com
https://zero.lol/2020-05-09-hey-gucci-you-gucci/
#writeup
#bugbounty
#rce
@sec_nerd
https://zero.lol/2020-05-09-hey-gucci-you-gucci/
#writeup
#bugbounty
#rce
@sec_nerd
How I made $10K in bug bounties from GitHub secret leaks
https://tillsongalloway.com/finding-sensitive-information-on-github/index.html
#bugbounty
#writeup
@sec_nerd
https://tillsongalloway.com/finding-sensitive-information-on-github/index.html
#bugbounty
#writeup
@sec_nerd
پاول دوروف درحالی تعطیلی پروژه ی بلاکچین (ارز دیجیتال gram ) تلگرام رو اعلام کرد که در کشور عزیزمون دزدهای زیادی، پوسته های تلگرامی مختلفی رو تحت عنوان «تلگرام بلاکچین ضد فیلتر» به افراد ساده دل قالب کردن و اطلاعات خصوصی اونها رو ازشون دزدیدن!
https://www.coindesk.com/telegram-abandons-ton-blockchain-project-after-court-fight-with-sec
#news
#telegram
#gram
@sec_nerd
https://www.coindesk.com/telegram-abandons-ton-blockchain-project-after-court-fight-with-sec
#news
#telegram
#gram
@sec_nerd
This media is not supported in your browser
VIEW IN TELEGRAM
بروت فورس پسورد کاربران سیستم ویندوزی بصورت لوکال با استفاده از اکانتهای سطح پایین مانند guest
https://github.com/DarkCoderSc/win-brute-logon
#windows
#privesc
@sec_nerd
https://github.com/DarkCoderSc/win-brute-logon
#windows
#privesc
@sec_nerd
آسیب پذیری Persistent XSS در یکی از پلاگین های وردپرس که در بیش از ۴۰ هزار وبسایت نصب شده است به هکرها اجازه میدهد بدون نیاز به احراز هویت سایت هدف را تسخیر نمایند.
این پلاگین WP product review نام دارد
https://labs.sucuri.net/unauthenticated-stored-cross-site-scripting-in-wp-support-review/
#wp
#xss
@sec_nerd
این پلاگین WP product review نام دارد
https://labs.sucuri.net/unauthenticated-stored-cross-site-scripting-in-wp-support-review/
#wp
#xss
@sec_nerd
Sucuri Blog
Unauthenticated Stored Cross Site Scripting in WP Product Review
Our vulnerability researcher describes a defect in WP Product Review versions older than 3.7.6 which, when exploited, can lead to persistent cross-site scripting (XSS) attacks.
نیروی هوایی ایالات متحده از هکرها دعوت کرد یک ماهواره ی در حال چرخش در مدار را هک کنند.
برنده ی این رقابت ۲۵۰ هزار دلار جایزه دریافت میکند.
دور نخست این رقابت در ۲۲ می و دور نهایی در ماه آگوست برگزار خواهد شد.
https://www.forbes.com/sites/elizabethhowell1/2020/05/15/air-force-asks-space-hackers-to-hijack-working-satellite/
#news #usa
@sec_nerd
برنده ی این رقابت ۲۵۰ هزار دلار جایزه دریافت میکند.
دور نخست این رقابت در ۲۲ می و دور نهایی در ماه آگوست برگزار خواهد شد.
https://www.forbes.com/sites/elizabethhowell1/2020/05/15/air-force-asks-space-hackers-to-hijack-working-satellite/
#news #usa
@sec_nerd
Forbes
Want To Hack A Satellite? Now’s Your Chance To Impress the Air Force
Hundreds of hackers signed up to break into an orbiting satellite. And yes, it’s perfectly legit.
This media is not supported in your browser
VIEW IN TELEGRAM
آسیب پذیری جدید weblogic که منجر به اجرای دستور از راه دور بر روی سرور میگردد
شناسه:CVE-2020-2883
اثبات:https://github.com/Y4er/CVE-2020-2883/
توضیحات فنی:https://www.thezdi.com/blog/2020/5/8/details-on-the-oracle-weblogic-vulnerability-being-exploited-in-the-wild
#oracle
#weblogic
#rce
@sec_nerd
شناسه:CVE-2020-2883
اثبات:https://github.com/Y4er/CVE-2020-2883/
توضیحات فنی:https://www.thezdi.com/blog/2020/5/8/details-on-the-oracle-weblogic-vulnerability-being-exploited-in-the-wild
#oracle
#weblogic
#rce
@sec_nerd