ex-backup is an open-source tool designed to identify exposed backup files on websites. This tool leverages multithreading for speed, customizable wordlists for targeted scans, and smart filters to detect valid backup files, helping you uncover vulnerabilities caused by exposed backups.

Key Features:

Scan single or multiple domains for backup files with common extensions like .zip, .sql, .tar

Use custom wordlists to generate potential file names

Analyze HTTP responses to identify downloadable backup files

Save valid backup links in timestamped files for later review

Check it out on GitHub:
🔗 https://github.com/rootDR/ex-backup

Join our channel for more security tools and bug hunting resources:
🔗 https://yangx.top/rootdr_research

#BugBounty #CyberSecurity #BackupFiles #PenTesting

جاهایی که rate limit روی شماره کار میکنه، میتونیم با اضافه کردن + به +98 بایپسش کنیم.

#rate_limit_bypass

دوستان مراقب باشید
با دقت و مطالعه دقیق شرایط قرار داد با اینطور پلتفرم ها همکاری کنید
هکروان جدیدا خیلی خیلی سختگیر تر شده.

Hi everyone,
I’ve created a Python script that deeply scans and extracts subdomains from JavaScript files, CSP headers, and raw HTML of a target website.

Unfortunately, I currently don’t have access to my GitHub account, and I’m not sure if I’ll be able to recover it.
So for now, I’m sharing the script here with you — feel free to use it while I work on recovering my GitHub or creating a new account.

pip install requests beautifulsoup4

Usage:

python ex-js.py -d example.com

Stay tuned for more tools and research!
🔗 https://yangx.top/rootdr_research

سلام به همه،
یک اسکریپت پایتونی آماده کردم که ساب‌دامین‌ها رو از فایل‌های JavaScript، هدرهای CSP و کد HTML خام سایت هدف استخراج می‌کنه.

متأسفانه در حال حاضر به حساب گیت‌هابم دسترسی ندارم و مطمئن نیستم بتونم اون رو بازیابی کنم یا نه.
فعلاً این اسکریپت رو اینجا باهاتون به اشتراک می‌ذارم تا بتونید ازش استفاده کنید، تا زمانی که گیت‌هابم رو بازیابی کنم یا یک اکانت جدید بسازم.

منتظر ابزارها و تحقیق‌های بیشتری باشید!
🔗 https://yangx.top/rootdr_research

نکته مهم در تست‌های امنیتی API

وقتی دارید روی یک برنامه باگ‌بانتی یا پروژه تست نفوذ کار می‌کنید، مخصوصاً برای کشف آسیب‌پذیری‌های:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues

حتماً به این نکته توجه کنید:

همه‌ی اندپوینت‌ها رو تست کنید!
مهم نیست اگر ۹۹ تا از ۱۰۰ اندپوینت امن بودن، فقط همون یک مورد آسیب‌پذیر ممکنه کل سیستم رو به خطر بندازه.

همیشه با انواع ورودی‌ها تستتونو تکمیل کنین مثل:
- null
- 0
- -1
- 9999999
- true / false
- "" (رشته خالی)
- [] (آرایه)
- {} (آبجکت)
- float / int

📌 حتی اگر پلتفرم ایرانی باشه یا خارجی، تجربه ثابت کرده که با تست خلاقانه و روش‌های مختلف، آسیب‌پذیری پیدا میشه!

Golden Tip for API Security Testing

When you're working on a bug bounty program or a penetration testing project, especially for discovering vulnerabilities like:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues

Pay close attention to this tip:

Test every endpoint!
It doesn't matter if 99 out of 100 endpoints seem secure — that one vulnerable endpoint could compromise the entire system.

🧪 Always test with different input types such as:
- null
- 0
- -1
- 9999999
- true / false
- "" (empty string)
- [] (array)
- {} (object)
- float / int

📌 Whether you're dealing with an Iranian or international platform, experience shows that creative and diverse testing often reveals vulnerabilities.

#bugbounty #pentest #websecurity #IDOR #Authorization

https://x.com/afzouni/status/1946673229231161484?t=sD7xRjVX0aifg6BKpTLHlg&s=35


یک نمونه بایپس ساده.

یه بنده خدایی اومده 200 ساعت وقت گذاشته و تمام مصاحبه های بهترین هکر هارو دیده و با مسیر و طرز فکر خودش مقایسه کرده و اشتباهاتشو نوشته.
بهتون خیلی پیشنهاد میکنم این کتابو بخونین ، مایندستتون رو زیر و رو میکنه.

Myscada hmi exploit 0day (full config download) for sale:
500$
@Sell4market