🛡️ Bug Bounty Question – Web Security
Level: Easy 📊
❓Which input is most likely to trigger an SQL Injection vulnerability?
Level: Easy 📊
❓Which input is most likely to trigger an SQL Injection vulnerability?
Anonymous Quiz
88%
A) Robert'); DROP TABLE users;--
9%
3%
C) console.log("Hello World")
👍3⚡1👾1
🛡️ سوال باگبانتی – امنیت وب
سطح: سخت 📈
❓کدام هدر Set-Cookie بهدرستی با استفاده از ویژگی SameSite میتونه حمله CSRF رو کاهش بده؟
سطح: سخت 📈
❓کدام هدر Set-Cookie بهدرستی با استفاده از ویژگی SameSite میتونه حمله CSRF رو کاهش بده؟
Anonymous Quiz
17%
A) Set-Cookie: sessionId=abc123; SameSite=None; Secure
55%
B) Set-Cookie: sessionId=abc123; SameSite=Lax
29%
C) Set-Cookie: sessionId=abc123; HttpOnly
🔥4⚡1🫡1
🔥 𝘽𝙪𝙜𝙃𝙪𝙣𝙩𝙚𝙧 – حرفهایترین ابزار تست باگ به سبک CLI
📟 ابزاری برای شکارچیهای واقعی باگ!
👾 این ابزار در حال حاضر منتشر نشده
اما اگه این پست ریاکشن زیادی بگیره،
بهصورت کاملاً رایگان منتشرش میکنیم!
📣 نظر و ریاکشن فراموش نشه 🙌
📡 @EroHack0
📟 ابزاری برای شکارچیهای واقعی باگ!
💥 پشتیبانی از:
• XSS 🧬
• LFI 🗂️
• SQLi 💉
• Redirect 🎯
🛠 قابلیتها:
• اجرای حرفهای با پیلودهای آماده
• نمایش نتایج رنگی با Status Code
• متنهای متحرک برای تجربه بهتر
• بدون نیاز به نصب پیچیده – فقط یک دستور!
• کاملاً ماژولار، قابل توسعه و گسترش
👾 این ابزار در حال حاضر منتشر نشده
اما اگه این پست ریاکشن زیادی بگیره،
بهصورت کاملاً رایگان منتشرش میکنیم!
📣 نظر و ریاکشن فراموش نشه 🙌
📡 @EroHack0
🔥21👍4💯3👾2
Xss Attack
SHAYAN
🤔تو همونی که فکر میکنی alert("XSS") فقط یه شوخیه؟
بیا گوش بده ببینی چطور یه خط ساده تونست پنل ادمینو بترکونه! 😈💻
🎙️ Ero Podcast | اپیزود: "یه فرم ساده، یه اشتباه مرگبار"
#XSS #HackFun #BugHuntLife #EroHack
بیا گوش بده ببینی چطور یه خط ساده تونست پنل ادمینو بترکونه! 😈💻
🎙️ Ero Podcast | اپیزود: "یه فرم ساده، یه اشتباه مرگبار"
#XSS #HackFun #BugHuntLife #EroHack
👍5⚡1💯1
Hack of Iran International.pdf
605.7 KB
🕶 دسترسی کامل برقرار شد...
🎯 سرورها، ایمیلها، چتها و آرشیو داخلی «ایران اینترنشنال» لو رفت.
🔍 جزئیاتی منتشر شده که نباید هیچوقت بیرون میاومدن.
📎 در این گزارش، همهچیز از روش نفوذ تا اطلاعات فاششده رو تحلیل کردیم
📡 @EroHack0
🎯 سرورها، ایمیلها، چتها و آرشیو داخلی «ایران اینترنشنال» لو رفت.
🔍 جزئیاتی منتشر شده که نباید هیچوقت بیرون میاومدن.
📎 در این گزارش، همهچیز از روش نفوذ تا اطلاعات فاششده رو تحلیل کردیم
📡 @EroHack0
👎8👍3😐3🔥1
Eʀᴏ ··ʜᴀᴄᴋ·· pinned «Hey friends, I’ve been busy for a while and couldn’t be active on the channel, but I’m back with new plans and stronger content focused on web hacking and bug bounty 💻🔍 If you want the channel to grow and keep going strong, I really need your support. Please…»
🔐 Python Obfuscator Tool
A simple yet effective tool to obfuscate your Python scripts and protect your source code from reverse engineering. Ideal for developers and cybersecurity enthusiasts.
🔗 GitHub: github.com/ERO-HACK/Python-Obfuscator
A simple yet effective tool to obfuscate your Python scripts and protect your source code from reverse engineering. Ideal for developers and cybersecurity enthusiasts.
🔗 GitHub: github.com/ERO-HACK/Python-Obfuscator
GitHub
GitHub - ERO-HACK/Python-Obfuscator: Description: A simple Python script to obfuscate your code using base64 encoding.
Description: A simple Python script to obfuscate your code using base64 encoding. - ERO-HACK/Python-Obfuscator
👍3👾3🎃1
👍3💯3⚡2🔥1
⚠️ From Profile Picture to Full Account Takeover!
Ever wondered how a simple SVG upload can lead to total admin control?
In this article, I demonstrate a real-world Stored XSS attack — from uploading a malicious profile picture to hijacking a high-privilege account, all without any user interaction. 🧠💥
👉 Read the full write-up:
Ever wondered how a simple SVG upload can lead to total admin control?
In this article, I demonstrate a real-world Stored XSS attack — from uploading a malicious profile picture to hijacking a high-privilege account, all without any user interaction. 🧠💥
👉 Read the full write-up:
https://medium.com/@EroHack/from-profile-picture-to-account-takeover-stored-xss-in-action-fe43d29cfd99
Medium
From Profile Picture to Account Takeover: Stored XSS in Action
Discovering and exploiting a stored XSS vulnerability via SVG upload, enabling session hijacking and sensitive data theft.
👍5⚡2🔥2
Forwarded from آموزش هک و امنیت| UltraSec
@UltraSecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
😐5🗿3🤯2
🎯 Target: Bug Bounty
📂 Vulnerability: Stored XSS via SVG Upload (Avatar Feature)
👾 Crafted an innocent-looking SVG...
💥 Ended up executing arbitrary JavaScript in users’ browsers.
🛠️ Result: Account Takeover 💀
⚠️ Severity: High
🔗 @EroHack
📂 Vulnerability: Stored XSS via SVG Upload (Avatar Feature)
👾 Crafted an innocent-looking SVG...
💥 Ended up executing arbitrary JavaScript in users’ browsers.
🛠️ Result: Account Takeover 💀
⚠️ Severity: High
🔗 @EroHack
🫡5👾3🔥1🎃1
Forwarded from ETELAAT
🧠 مدیریت باتنت تو دنیای واقعی چطوریه
تو پست قبلی یه باتنت ساده ساختیم که فقط تو شبکهی خودمون کار میکرد
حالا بریم ببینیم باتمسترای واقعی چطوری ارتش باتهاشون رو کنترل میکنن
📡 ۴ مدل معروف مدیریت باتنتها :
1️⃣ Push & Pull
یا باتها خودشون میرن دنبال دستور (Pull)
یا دستور بهشون فرستاده میشه (Push)
مدلی ساده، برای باتنتهای سبک و سریع
2️⃣ متمرکز (Centralized)
یه سرور فرماندهست و بقیه باتها فقط گوش به فرمان
ارتباط سریع و مستقیمه، اما اگه اون سرور بزنه زمین، کل باتنت میخوابه
3️⃣ غیرمتمرکز (Decentralized)
مثل شبکه تورنت، هیچ سروری نیست و باتها خودشون با هم ارتباط دارن
دستور از یکی شروع میشه و بین بقیه پخش میشه
مثال واقعی:
باتنتهای معروف مثل Storm و ZeroAccess از این مدل استفاده میکردن
تو این سیستم، هر بات هم کلاینت بود، هم سرور، و شناسایی و نابود کردنشون خیلی سخت بود
4️⃣ ترکیبی (Hybrid)
یه ساختار چند لایه: بعضی باتها سرورن، بعضی فقط اجرا میکنن
هم قابل کنترلتره، هم مقاومتر نسبت به شناسایی و نابودی
🚨 نتیجه
هرچی معماری باتنت پیشرفتهتر باشه، نابود کردنش سختتره و دوامش بیشتر
#botnet_Manage
#بهترین_ها_ky
با تشکر از ادمین
@kyETELAAT
تو پست قبلی یه باتنت ساده ساختیم که فقط تو شبکهی خودمون کار میکرد
حالا بریم ببینیم باتمسترای واقعی چطوری ارتش باتهاشون رو کنترل میکنن
📡 ۴ مدل معروف مدیریت باتنتها :
1️⃣ Push & Pull
یا باتها خودشون میرن دنبال دستور (Pull)
یا دستور بهشون فرستاده میشه (Push)
مدلی ساده، برای باتنتهای سبک و سریع
2️⃣ متمرکز (Centralized)
یه سرور فرماندهست و بقیه باتها فقط گوش به فرمان
ارتباط سریع و مستقیمه، اما اگه اون سرور بزنه زمین، کل باتنت میخوابه
3️⃣ غیرمتمرکز (Decentralized)
مثل شبکه تورنت، هیچ سروری نیست و باتها خودشون با هم ارتباط دارن
دستور از یکی شروع میشه و بین بقیه پخش میشه
مثال واقعی:
باتنتهای معروف مثل Storm و ZeroAccess از این مدل استفاده میکردن
تو این سیستم، هر بات هم کلاینت بود، هم سرور، و شناسایی و نابود کردنشون خیلی سخت بود
4️⃣ ترکیبی (Hybrid)
یه ساختار چند لایه: بعضی باتها سرورن، بعضی فقط اجرا میکنن
هم قابل کنترلتره، هم مقاومتر نسبت به شناسایی و نابودی
🚨 نتیجه
هرچی معماری باتنت پیشرفتهتر باشه، نابود کردنش سختتره و دوامش بیشتر
#botnet_Manage
#بهترین_ها_ky
با تشکر از ادمین
@kyETELAAT
👍4💯2🤨2
Forwarded from imem!
یه مقاله خفن برای بایپس oto
https://www.cobalt.io/blog/bypassing-the-protections-mfa-bypass-techniques-for-the-win
https://www.cobalt.io/blog/bypassing-the-protections-mfa-bypass-techniques-for-the-win
www.cobalt.io
Bypassing the Protections — MFA Bypass Techniques for the Win | Cobalt
See bypass techniques used to exploit Two-Factor Authentication (2FA) to bypass the security of the user’s account. Read for more expert pentesting insights.
👍4🔥2💯1