Security Analysis
@securation
11.5K subscribers
344 photos
50 videos
36 files
885 links
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
Download Telegram
About
Blog
Apps
Platform
Join
Security Analysis
11.5K subscribers
Security Analysis
#BugBounty #Tip #AccountTakeOver #WriteUp

معمولا یکم دقت و فکر میتونه نتیجه‌ی بهتری تا بیهوده تلاش کردن داشته باشه که دقیقا تو این مقاله که از مدیوم گذاشتم همین بحث مطرح میشه.
جریان اینه که طرف میره چند بار تغییر رمز میزنه و ایمیل میاد براش چند تا، بعد از یکم دقت میبینه که توکن ها یه الگویی دارن.
پس شروع میکنه به کنکاش و میبینه کاراکتر ۲ و ۳ و ۴ از ایمیلش تو تمامی توکن ها به شکل معکوس وجود داشته
بخش انتهایی توکن هم timestamp هستش که انکود شده و فقط میمونه ۲ کاراکتر بین اینها که اونارو هم بروت فورس میکنه چون هیچ مکانیزمی برای جلوگیری از بروت فورس (Weak Lockout Mechanism - OWASP) هم نداره.
نتیجش؟ Account Takeover با استفاده از قابلیت فراموشی رمز عبور به همین سادگی :)

https://medium.com/bugbountywriteup/how-i-discovered-an-interesting-account-takeover-flaw-18a7fb1e5359

@securation
Medium
How I discovered an interesting account takeover flaw?
Hi everyone, today I will talk about an interesting account takeover flaw which I found around a year back. The root cause of this issue…
2.17K viewsedited  
Security Analysis
⭕️ رایت اپ کشف آسیب پذیری IDOR که در سرویسی از گوگل کشف شده رو بخونید که جایزه ۵ هزار دلاری هم برای محقق امنیتی داشته :)

https://asterfiester.medium.com/5000-google-idor-vulnerability-writeup-c7b45926abe9
#IDOR #Writeup #bugbounty
@securation
2.75K views
Security Analysis
Stumbling across a DOM XSS on google.com


https://svennergr.github.io/writeups/google/ads_dom_xss/
#xss #writeup #google
@securation
1.8K views
Security Analysis
⭕️ منابع و برگ تقلب هایی کاربردی در حوزه OSCP CTF
https://github.com/Ignitetechnologies/Privilege-Escalation
https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups

#writeup #ctf #oscp
@securation
GitHub
GitHub - Ignitetechnologies/Privilege-Escalation: This cheasheet is aimed at the CTF Players and Beginners to help them understand…
This cheasheet is aimed at the CTF Players and Beginners to help them understand the fundamentals of Privilege Escalation with examples. - Ignitetechnologies/Privilege-Escalation
2.68K viewsedited  
Security Analysis
⭕️ تحلیل آسیب پذیری جدیدی با شناسه : CVE-2022-21703 در گرافانا کشف شده را در لینک زیر بخونید.

نکته : اون شرکتی که گرافانا رو رنگ کرده بود بجای محصول بومی قالب کرده بود توی دولتی ها الان آپدیت کرده این آسیب پذیری ها رو ؟‌:)))

https://jub0bs.com/posts/2022-02-08-cve-2022-21703-writeup/
#grafana #writeup
Grafana Labs
Grafana | Query, visualize, alerting observability platform
Grafana feature overview, screenshots, videos, and feature tours.
👍6😁2
1.55K viewsedited  
Security Analysis
⭕️ تبدیل self-XSS به stored-XSS از طریق Web Cache Poisoning

https://infosecwriteups.com/how-i-made-15-000-by-hacking-caching-servers-part-1-5541712a61c3
#web #writeup #xss
@securation
Medium
How I Made $16,500 Hacking CDN Caching Servers — Part 1
@bxmbn
👍8
2.06K viewsAdel