Xss Attack
SHAYAN
🤔تو همونی که فکر میکنی alert("XSS") فقط یه شوخیه؟
بیا گوش بده ببینی چطور یه خط ساده تونست پنل ادمینو بترکونه! 😈💻
🎙️ Ero Podcast | اپیزود: "یه فرم ساده، یه اشتباه مرگبار"
#XSS #HackFun #BugHuntLife #EroHack
بیا گوش بده ببینی چطور یه خط ساده تونست پنل ادمینو بترکونه! 😈💻
🎙️ Ero Podcast | اپیزود: "یه فرم ساده، یه اشتباه مرگبار"
#XSS #HackFun #BugHuntLife #EroHack
👍5⚡1💯1
📌 چه Xss payload هایی در ساله ۲۰۲۵ جواب میدن؟
مقالهای جدید و رایگان درباره تکنیکهای بهروز XSS، دور زدن فیلترها، DOM XSS و نکات کاربردی برای تست نفوذ و باگبانتی.
📖 لینک مقاله:
https://santhosh-adiga-u.medium.com/xss-in-2025-the-payloads-that-still-work-3aa343e0b4f2
#Erohack #xss #payload
مقالهای جدید و رایگان درباره تکنیکهای بهروز XSS، دور زدن فیلترها، DOM XSS و نکات کاربردی برای تست نفوذ و باگبانتی.
A fresh and insightful article exploring the current state of XSS in 2025. It dives into modern payloads that still work, techniques to bypass filters and CSP, and real-world examples of DOM-based XSS. A valuable read for penetration testers, red teamers, and bug bounty hunters.
📖 لینک مقاله:
https://santhosh-adiga-u.medium.com/xss-in-2025-the-payloads-that-still-work-3aa343e0b4f2
#Erohack #xss #payload
Medium
XSS in 2025 — The Payloads That Still Work
Because alert(1) is dead, but XSS isn’t.
⚡4🎃3👍1💯1
📎باگ CSRF چیست؟
#EroHack #CSRF #BugBounty #Bug
CSRF یا Cross-Site Request Forgery یکی از باگهای کلاسیک اما خطرناک در برنامههای تحتوبه که باعث میشه یه درخواست جعلی از طرف قربانی به سرور ارسال بشه، در حالی که قربانی اصلاً نمیدونه چنین درخواستی فرستاده شده
مهمترین ویژگی CSRF اینه که حمله از طرف یه کاربر احراز هویتشده صورت میگیره. یعنی چی؟
مثال ساده:
شما وارد سایت بانکیتون شدید و مرورگر سشن شما رو نگه داشته. حالا اگه برید یه سایت آلوده (مثلاً یه وبلاگ یا تبلیغ تقلبی)، هکر میتونه توی اون سایت یه کد HTML بذاره که بهطور مخفی یه درخواست به سایت بانکی بفرسته؛ و چون شما لاگین هستید، اون درخواست از طرف “شما” معتبر حساب میشه!
یه درخواست ساده بهصورت GET
مثلاً این شکلیه:
<img src="https://bank.com/transfer?to=hacker&amount=1000000">
اگه سایت مقصد هیچ فیلتر یا بررسی نداشته باشه، این درخواست اجرا میشه. چون مرورگر شما خودکار کوکیها و سشن رو با درخواست میفرسته. هکر فقط باید قربانی رو وادار کنه که یه بار لینک رو باز کنه یا حتی یه عکس جعلی رو لود کنه.
❗️نکته مهم اینه که تو حمله CSRF، قربانی نیازی نداره کاری انجام بده، فقط کافیه یه صفحه رو باز کنه که کد مخرب داخلشه. این یعنی حتی کاربر حرفهای هم ممکنه قربانی بشه.
🔍 این باگ معمولاً توی فرمهایی مثل:
• تغییر رمز عبور
• ارسال پیام
• پرداخت یا انتقال وجه
• حذف حساب کاربری
و جاهایی که عملیات حساس انجام میشه، خیلی خطرناکه.
📌 خلاصه؟
CSRF یعنی انجام عملیات از طرف کاربر واقعی، بدون رضایت یا اطلاع اون. حملهای ساکت ولی مهلک
#EroHack #CSRF #BugBounty #Bug
🔥4👍2💯2🤯1
📘 معرفی کتاب Web Application Security
✍️ نویسنده: Andrew Hoffman
#EroHack0 #Book #EroHack
اگر به امنیت برنامههای تحت وب علاقهمند هستی یا به دنبال یادگیری روشهای مقابله با حملات مدرن وب هستی، این کتاب یکی از منابع فوقالعادهست!
📌 بررسی انواع حملات (XSS, CSRF, SQLi, SSRF و…)
🛡️ آموزش تکنیکهای دفاعی برای توسعهدهندگان
🔍 تحلیل آسیبپذیریها به زبان ساده همراه با مثال
📥 دانلود کتاب در ادامه ⬇️
✍️ نویسنده: Andrew Hoffman
#EroHack0 #Book #EroHack
اگر به امنیت برنامههای تحت وب علاقهمند هستی یا به دنبال یادگیری روشهای مقابله با حملات مدرن وب هستی، این کتاب یکی از منابع فوقالعادهست!
📌 بررسی انواع حملات (XSS, CSRF, SQLi, SSRF و…)
🛡️ آموزش تکنیکهای دفاعی برای توسعهدهندگان
🔍 تحلیل آسیبپذیریها به زبان ساده همراه با مثال
📥 دانلود کتاب در ادامه ⬇️
🔥3⚡2👍2💯1
🚨 Advanced XSS Bypass Techniques - New Guide! 🚨
🔗 Check it out and level up your skills:
https://github.com/ERO-HACK/bypassXSS
#XSS #BugBounty #WebSecurity #EroHack
Hey hackers & bug hunters!
Just dropped a comprehensive, deep-dive article covering advanced XSS bypass methods, real-world WAF evasion tricks, and powerful payloads. Perfect for boosting your bug bounty game! 💥
🔗 Check it out and level up your skills:
https://github.com/ERO-HACK/bypassXSS
#XSS #BugBounty #WebSecurity #EroHack
GitHub
GitHub - ERO-HACK/bypassXSS: A curated collection of advanced XSS bypass techniques, including WAF evasions, framework-specific…
A curated collection of advanced XSS bypass techniques, including WAF evasions, framework-specific payloads, and real-world bug bounty cases. - ERO-HACK/bypassXSS
1⚡4👾2👍1🔥1
🎯 Target: Private Website Bug Bounty
📁 Vulnerability: Stored XSS via Support Ticket (Message Field)
#EroHack #xss #bug #BugBounty
🔗 @EroHack0
📁 Vulnerability: Stored XSS via Support Ticket (Message Field)
🧠 Injected a clean-looking payload in a ticket…
💥 Result: Arbitrary JS execution in admin’s browser
🔐 Stole cookies + sensitive session data
🛠️ Outcome: Account Takeover
💰 Bounty: 1,000,000 IRR
⚠️ Severity: High
📖 Read full write-up:
https://medium.com/@EroHack0/exploiting-stored-xss-in-a-payment-support-system-from-payload-injection-to-cookie-theft-7cd538c184f0
#EroHack #xss #bug #BugBounty
🔗 @EroHack0
3🔥5👾4👍2🎃1
Media is too big
VIEW IN TELEGRAM
🔐 حملهای پنهان با ظاهر امن!
🎯 توی این آموزش یاد میگیریم که چطور میشه با یک افزونه جعلی وردپرس و ظاهر فریبنده، بدون هیچ نشانه مشکوکی، کنترل کامل یک سایت رو به دست گرفت!
🔗Erohack | 💻Github | 🏷Medium
#WordPress #Backdoor #SocialEngineering #SupplyChain #Security #BugBounty #EroHack
🎯 توی این آموزش یاد میگیریم که چطور میشه با یک افزونه جعلی وردپرس و ظاهر فریبنده، بدون هیچ نشانه مشکوکی، کنترل کامل یک سایت رو به دست گرفت!
📦سناریو چیه؟
ما یک پلاگین امنیتی ساختیم که ظاهرش بینقص و حرفهایه... اما در پشت پرده چی میشه؟
✅ ساخت ادمین مخفی با یوزرنیم و پسورد تصادفی
✅ ارسال اطلاعات ادمینها به ربات تلگرام
✅ دسترسی کامل حتی اگه همه یوزرها پاک بشن!
⚠️ به این نوع حمله میگن:
Social Engineering + Supply Chain Attack
یه ترکیب حرفهای از مهندسی اجتماعی و تزریق بکدور از طریق افزونه وردپرس!
🔗Erohack | 💻Github | 🏷Medium
#WordPress #Backdoor #SocialEngineering #SupplyChain #Security #BugBounty #EroHack
2🎃5🔥2👾1