🔐 Python Obfuscator Tool
A simple yet effective tool to obfuscate your Python scripts and protect your source code from reverse engineering. Ideal for developers and cybersecurity enthusiasts.

🔗 GitHub: github.com/ERO-HACK/Python-Obfuscator

⚠️ From Profile Picture to Full Account Takeover!
Ever wondered how a simple SVG upload can lead to total admin control?

In this article, I demonstrate a real-world Stored XSS attack — from uploading a malicious profile picture to hijacking a high-privilege account, all without any user interaction. 🧠💥

👉 Read the full write-up:

https://medium.com/@EroHack/from-profile-picture-to-account-takeover-stored-xss-in-action-fe43d29cfd99

🧠 مدیریت بات‌نت تو دنیای واقعی چطوریه
تو پست قبلی یه بات‌نت ساده ساختیم که فقط تو شبکه‌ی خودمون کار می‌کرد
حالا بریم ببینیم بات‌مسترای واقعی چطوری ارتش بات‌هاشون رو کنترل می‌کنن

📡 ۴ مدل معروف مدیریت بات‌نت‌ها :

1️⃣ Push & Pull
یا بات‌ها خودشون میرن دنبال دستور (Pull)
یا دستور بهشون فرستاده می‌شه (Push)
مدلی ساده، برای بات‌نت‌های سبک و سریع

2️⃣ متمرکز (Centralized)
یه سرور فرمانده‌ست و بقیه بات‌ها فقط گوش به فرمان
ارتباط سریع و مستقیمه، اما اگه اون سرور بزنه زمین، کل بات‌نت می‌خوابه

3️⃣ غیرمتمرکز (Decentralized)
مثل شبکه تورنت، هیچ سروری نیست و بات‌ها خودشون با هم ارتباط دارن
دستور از یکی شروع می‌شه و بین بقیه پخش می‌شه

مثال واقعی:
بات‌نت‌های معروف مثل Storm و ZeroAccess از این مدل استفاده می‌کردن
تو این سیستم، هر بات هم کلاینت بود، هم سرور، و شناسایی و نابود کردنشون خیلی سخت بود

4️⃣ ترکیبی (Hybrid)
یه ساختار چند لایه: بعضی بات‌ها سرورن، بعضی فقط اجرا می‌کنن
هم قابل کنترل‌تره، هم مقاوم‌تر نسبت به شناسایی و نابودی

🚨 نتیجه
هرچی معماری بات‌نت پیشرفته‌تر باشه، نابود کردنش سخت‌تره و دوامش بیشتر

#botnet_Manage
#بهترین_ها_ky

با تشکر از ادمین
@kyETELAAT

یه مقاله خفن برای بایپس oto
https://www.cobalt.io/blog/bypassing-the-protections-mfa-bypass-techniques-for-the-win

آماده‌اید؟؟

🚀 New Open-Source Tool by ERO-HACK
Introducing BugHunter 🐞🔍 – a powerful, automated scanner built for security researchers and bug bounty hunters!

✨ Features:
✅ Detects XSS, SQL Injection, LFI, Open Redirect & more
✅ Fast & lightweight Python tool
✅ Perfect for quick reconnaissance and vulnerability assessment

🔗 Grab it now on GitHub:
👉 https://github.com/ERO-HACK/BugHunter

💻 Make your recon faster – Hunt smarter, not harder! 🎯
🪪 @Erohack

📌 چه Xss payload هایی در ساله ۲۰۲۵ جواب میدن؟
مقاله‌ای جدید و رایگان درباره تکنیک‌های به‌روز XSS، دور زدن فیلترها، DOM XSS و نکات کاربردی برای تست نفوذ و باگ‌بانتی.

A fresh and insightful article exploring the current state of XSS in 2025. It dives into modern payloads that still work, techniques to bypass filters and CSP, and real-world examples of DOM-based XSS. A valuable read for penetration testers, red teamers, and bug bounty hunters.

📖 لینک مقاله:
https://santhosh-adiga-u.medium.com/xss-in-2025-the-payloads-that-still-work-3aa343e0b4f2

#Erohack #xss #payload

📎باگ CSRF چیست؟

CSRF یا Cross-Site Request Forgery یکی از باگ‌های کلاسیک اما خطرناک در برنامه‌های تحت‌وبه که باعث میشه یه درخواست جعلی از طرف قربانی به سرور ارسال بشه، در حالی که قربانی اصلاً نمی‌دونه چنین درخواستی فرستاده شده
مهم‌ترین ویژگی CSRF اینه که حمله از طرف یه کاربر احراز هویت‌شده صورت می‌گیره. یعنی چی؟

مثال ساده:
شما وارد سایت بانکی‌تون شدید و مرورگر سشن شما رو نگه داشته. حالا اگه برید یه سایت آلوده (مثلاً یه وبلاگ یا تبلیغ تقلبی)، هکر می‌تونه توی اون سایت یه کد HTML بذاره که به‌طور مخفی یه درخواست به سایت بانکی بفرسته؛ و چون شما لاگین هستید، اون درخواست از طرف “شما” معتبر حساب میشه!

یه درخواست ساده به‌صورت GET
مثلاً این شکلیه:

<img src="https://bank.com/transfer?to=hacker&amount=1000000">

اگه سایت مقصد هیچ فیلتر یا بررسی نداشته باشه، این درخواست اجرا میشه. چون مرورگر شما خودکار کوکی‌ها و سشن رو با درخواست می‌فرسته. هکر فقط باید قربانی رو وادار کنه که یه بار لینک رو باز کنه یا حتی یه عکس جعلی رو لود کنه.

❗️نکته مهم اینه که تو حمله CSRF، قربانی نیازی نداره کاری انجام بده، فقط کافیه یه صفحه رو باز کنه که کد مخرب داخلشه. این یعنی حتی کاربر حرفه‌ای هم ممکنه قربانی بشه.

🔍 این باگ معمولاً توی فرم‌هایی مثل:
• تغییر رمز عبور
• ارسال پیام
• پرداخت یا انتقال وجه
• حذف حساب کاربری

و جاهایی که عملیات حساس انجام میشه، خیلی خطرناکه.

📌 خلاصه؟
CSRF یعنی انجام عملیات از طرف کاربر واقعی، بدون رضایت یا اطلاع اون. حمله‌ای ساکت ولی مهلک

#EroHack #CSRF #BugBounty #Bug

چرا هیشکی به فکر شبکه کارا و امنیت کارا نیست؟

نکته مهم در تست‌های امنیتی API

وقتی دارید روی یک برنامه باگ‌بانتی یا پروژه تست نفوذ کار می‌کنید، مخصوصاً برای کشف آسیب‌پذیری‌های:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues

حتماً به این نکته توجه کنید:

همه‌ی اندپوینت‌ها رو تست کنید!
مهم نیست اگر ۹۹ تا از ۱۰۰ اندپوینت امن بودن، فقط همون یک مورد آسیب‌پذیر ممکنه کل سیستم رو به خطر بندازه.

همیشه با انواع ورودی‌ها تستتونو تکمیل کنین مثل:
- null
- 0
- -1
- 9999999
- true / false
- "" (رشته خالی)
- [] (آرایه)
- {} (آبجکت)
- float / int

📌 حتی اگر پلتفرم ایرانی باشه یا خارجی، تجربه ثابت کرده که با تست خلاقانه و روش‌های مختلف، آسیب‌پذیری پیدا میشه!

Golden Tip for API Security Testing

When you're working on a bug bounty program or a penetration testing project, especially for discovering vulnerabilities like:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues

Pay close attention to this tip:

Test every endpoint!
It doesn't matter if 99 out of 100 endpoints seem secure — that one vulnerable endpoint could compromise the entire system.

🧪 Always test with different input types such as:
- null
- 0
- -1
- 9999999
- true / false
- "" (empty string)
- [] (array)
- {} (object)
- float / int

📌 Whether you're dealing with an Iranian or international platform, experience shows that creative and diverse testing often reveals vulnerabilities.

#bugbounty #pentest #websecurity #IDOR #Authorization #rootdr