في شهر حصلت على مكافأة بقيمة ١١.٥٠٠ ﷼ شكرا جزيلا الاتحاد السعودي للأمن السيبراني بأنشاء هذه المنصة التي تساعد الباحثين على خلق بيئة آمنة لبلادهم وأنا اتشرف أن أكون من ضمن هذه المنظومة 💪🏻😍
@BugBountySA
@SAFCSP
@malobeiwi
سويت مود ابو جبت يسويلك تقرير بق باونتي بكل سهولة بس عطه نبذة بسيطة عن الثغرة مثلا idor وعطه الريكوست والريسبونس وسوف يتولى القيادة بالنيابة عنك طال عمرك 🫡
ملاحظة: السياسات وآلية كتابة التقرير من مرجع منصة مكافئآت الثغرات
تقدر تستعملة بدخولك على الرابط
Easy find
اذا جيت تفحص ولقيت خانة تواصل جرب ترسل طلب وشيك على الرد فالايميل وبدا تلاعب فيها بحيث انك ترسل اي رساله باسم النظام الثغرة واضحة وسهلة ومن جوالك تقدر تسويها جربت احط في خانة الاسم لتواصل رسالة التصيد واسم العائلة الرابط الخبيث فقط 😇
#BugBounty
إحدى التكنيكات اللي استخدمتها لثغرة الـHost Header poisoning
عند الذهاب إلى إعادة كلمة المرور وغيرت الـhost وتم رفضه يكون في احتمالية وجود
القائمة البيضاء (whitelist) فكرتها باختصار أي شيء مدخل غير اسم الموقع يتم رفضه لتجاوزه تضع بعده أي موقع وتجرب، يتبع..
نصيحة محب 😅
قبل ماتفكر تجمع دراسة مع عمل فكر فيها الف مره تخيل تداوم ٧ وتطلع ٣:٣٠ وتبدا دراستك الساعه ٤ وتطلع ١١ يعني يالله تنام ٦-٥ ساعات بالكثير، للاسف هذا روتيني اليومي 😂🏃🏻♂️
+ تخيل يصير عندك اختبار شهادة واختبار مادة وتاسك من قوة الضغط بيطلع من طبقة الاوزون 💔🥹
#طالب_موظف
اذا جيت تفحص موقع لاتنسى تشيك على الjs file غالباً لاتخلو من الـendpoints 📝 وبتوع الbug hunting التكنيك البطل انك بعد ماتسوي fuzzing على المسارات ادخل عليها وتاكد منها لانها غالباً مجرد دخولك على الصفحة الـmap sources بتجيبلك js file جديدة ومليانة وسلامتك طال عمرك
#bugbountytips
يوم جميل اللهم لك الحمد اشكر الاتحاد السعودي على هذه المبادرات الجميله احدثكم من #معسكر_طويق وفنفس الوقت حصلت مكافئة من منصة BugBountysa
الله يديم هالعز والرخاء علينا وعلى المسلمين اجمعين
🤍🇸🇦
تكنيك بسيط وتأثيره قوي و بالجوال تقدر تفحصه!
فحصت احد البرامج وكنت مسافر وضعت طلب جديد وطلب مني رقم الهوية وضعت رقم هويتي واستخرج لي اسمي الرباعي الكامل ! من دون طلب تأكيد جربت اضع رقم هوية خويي ونجحت! وبكذا قدرت اجيب ثغره تسريب Pll leak من الجوال 🥳 ..
🔗 Nasnas - Revolutionize Your Captcha Handling! 🚀
⚙️ A Python-based Captcha Bypass Tool, leveraging Google Cloud's Vision API for efficient text extraction from captchas. Ideal for enhancing web scraping and automation.
🔍 Explore Nasnas:
#infosec
Trick بسيط استعمله دائما إذا جيت افحص مسارات الموقع، ما استعمل الـgobuster او الـdirbuster استعمل الـ intruder الخاص بالـBurp ليش؟ لصحة البيانات جربت استعمال التولز اللي ذكرتها وكانت فضيحة تعطيك مسارات 403 , 404 , 500 وهي فالواقع 200! اقرب مثال
كثير اللي يسالون بخصوص التكنيك الخاص برفع خطورة ثغرة الـ xss reflected
"مستحيل ترفع خطورتها من دون ثغرة ثانية"
كيف؟
احد الثغرات اللي ارفقتها كانت الإصابة ما بعد تسجيل الدخول يتم تخزين كلمة المرور بدون تشفير في احد الصفحات اللي قدرت أسويه، يتبع...
قاعدة تجيني اساله فالخاص بالهبل بخصوص #معسكر_طويق السيبراني نصيحة واحدة فقط اقدمها لكم يا اصدقائي "لاتغش" في جميع المراحل لانك فنهاية المطاف بتكتشف انك جبت في نفسك العيد وشفت ناس بعيني كانو معنا فالمعسكر ندمو على غشهم ودخولهم مجال نهب مجالهم وحتى مهب مستعدين يتعلمون شي جديد وشكرا
قبل فترة كنت في سنغافورا وسكنت في فندق معروف وجيد واول ماوصلت طلبو فيزا credit عطيتهم فيزة التسوق الراجحي وكنت حذر بعد شهر تقريبا اتفاجئ بعملية سحب مرفوضة بمبلغ 7000 ريال تقريباً نصيحتي لليوم انتبه تعطي فزيتك او بطاقتك الي فيها دراهمك لأي منظمة حتى لو كانت آمنه .
اختياري ضمن الباحثين المتميّزين في منصة مكافآت الثغرات للمشاركة في مسابقة Bug Bounty من
@SAFCSP
في أكبر مؤتمر للأمن السيبراني بالمنطقة
#AtHack
احضروا الفعالية وشجعونا!
هل معلومة ان اذا بتسوي PT لازم نفسيتك تصير زينة عشان تبدع؟
وجهة نظري انها صحيحة ١٠٠٪ قطعياً وصرت اسوي تكنيك يابتوع الPT اليوم الي اكون مروق فيه اكتب خطواتي رؤوس اقلام بعدين اذا صارت النفسية دمار امشي عليها بالطريقة الي تناسب النظام
انتم وش رايكم؟ 😅
Bug hunters needed! Share your experiences in our quick survey to shape future bug bounty programs. Your input matters!
يا هكرات عندي مشروع تخرج اذا تقدرون تشاركون في الاستبيان أكون شاكر لكم 🥰
@3almisfer
زد عليها مسارات الـuploads غالباً مايكون فيها ملفات حساسه مثل صور هويات مرفوعه او خطابات سريه الخ.
wp-content/uploads/*.pdf
wp-content/uploads/*.json
wp-content/uploads/*.xml
"وكذا مره حصلت يوزرات ادمن مع كلمات مرورهم في هذي المسارات" ،
إذا تم قبوله من قبل الخادم معناته مصاب الان تجرب مثال:
الموقع الاساسي يتم قبوله
هذا التخطي
الفكرة بمجرد وضع نطاق فرعي باسم الموقع المستهدف أقدر أتخطى الـ whitelist
وتجي الرساله بموقع المهاجم
وشكراً 🌞🤍
حصلت مسار في احد المواقع اسمه private حرفياً فقط وكان فيه الـ private key الخاص بالـapi ! انا انصدمت وقلت ١٠٠٪ duplicated واتفاجأت انه تم قبوله! وفي الأخير اكتشفت أن جميع التولز اللي ذكرتها تتخطى المسار من دون نتيجة انصح وبشده استعمال الـ intruder ..
اشوف الناس الفترة هذي يتكلمون عن المعدل لحديثي التخرج والتوظيف بختصار فلسفتي هي:
المعدل يضمن لك تكملة مشوارك الاكاديمي ماستر دكتوراة..
المعدل يعطي تصور عن الي بيقابلك انك شخص جاد
المعدل يفتح لك فرص
لكن مايوظفك فقط لحالة وسلامتك.
@0xHunter
تحدي جميل الطريقة الأولى سهلة ما فيه تحقق من الكابتشا بمجرد حذف البراميتر اما الطريقة الامتع استعملت تولي الخاصة "NasNas" لقرائة الكابتشا وتحليلها وفنهاية تم تخطي الكابشتا :) شكرا على التحدي الحلو ياحلو
اللهم لا تخرجنامن #يوم_عرفة إلا وقد أصلحت حالنا وقوّيت إيماننا وغيرت حياتنا وحققت أحلامنا اللهم لا تختم يوم عرفة إلا وقد سجلت اسمائنا في صحيفة العتقاء من النار اللهم إنا استودعناك أدعيةً فاضت بها قلوبنا فبشرنا بالإجابة إنك على على كل شيء قدير.
انا مادري وش الله قردني وخلاني ادخل الكلية من الاساس بس الحمدالله خيره وفتحت لي باب عظيم والحين قفلو الباكلريوس مساكين الطلاب والله حقين الدبلوم بيعيشون في ظلال اعانهم الله والله يعيني على الكلية الي تحوم التسبد هانت مابقى الا ترمين وخلص 💀🏃🏻♂️
جرعة سلبية
توضيحات :
- المتدربين الحاليين في البكالوريوس صباحي و مسائي بيكونون اخر دفعة في البكالوريوس.
- سيتم إغلاق البكالوريوس التقني بالكليات التقنية صباحي - مسائي - بنين بنات .
مالم يصدر قرار اعادة دراسة من المسؤولين
@dralfahaid
@Dr_Adel_TVTC
#نطالب_باستمرار_البكالوريوس_التقني
دمجت ثغرة الـ xss reflected في الإصابة
"Passwords Returned in Later Responses"
نتج عنها انبثاق كلمة المرور بمجرد دخول الضحية إلى الصفحة ويستطيع المهاجم تطويرها بأكثر من شكل ولاكن صممت الـ Payload لإثبات المفهوم مثل ما في الصورة
أمل أن أكون أفدتكم 🤍🙏🏼