جاهایی که rate limit روی شماره کار میکنه، میتونیم با اضافه کردن + به +98 بایپسش کنیم.

#rate_limit_bypass

دوستان مراقب باشید
با دقت و مطالعه دقیق شرایط قرار داد با اینطور پلتفرم ها همکاری کنید
هکروان جدیدا خیلی خیلی سختگیر تر شده.

Hi everyone,
I’ve created a Python script that deeply scans and extracts subdomains from JavaScript files, CSP headers, and raw HTML of a target website.

Unfortunately, I currently don’t have access to my GitHub account, and I’m not sure if I’ll be able to recover it.
So for now, I’m sharing the script here with you — feel free to use it while I work on recovering my GitHub or creating a new account.

pip install requests beautifulsoup4

Usage:

python ex-js.py -d example.com

Stay tuned for more tools and research!
🔗 https://yangx.top/rootdr_research

سلام به همه،
یک اسکریپت پایتونی آماده کردم که ساب‌دامین‌ها رو از فایل‌های JavaScript، هدرهای CSP و کد HTML خام سایت هدف استخراج می‌کنه.

متأسفانه در حال حاضر به حساب گیت‌هابم دسترسی ندارم و مطمئن نیستم بتونم اون رو بازیابی کنم یا نه.
فعلاً این اسکریپت رو اینجا باهاتون به اشتراک می‌ذارم تا بتونید ازش استفاده کنید، تا زمانی که گیت‌هابم رو بازیابی کنم یا یک اکانت جدید بسازم.

منتظر ابزارها و تحقیق‌های بیشتری باشید!
🔗 https://yangx.top/rootdr_research

نکته مهم در تست‌های امنیتی API

وقتی دارید روی یک برنامه باگ‌بانتی یا پروژه تست نفوذ کار می‌کنید، مخصوصاً برای کشف آسیب‌پذیری‌های:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues

حتماً به این نکته توجه کنید:

همه‌ی اندپوینت‌ها رو تست کنید!
مهم نیست اگر ۹۹ تا از ۱۰۰ اندپوینت امن بودن، فقط همون یک مورد آسیب‌پذیر ممکنه کل سیستم رو به خطر بندازه.

همیشه با انواع ورودی‌ها تستتونو تکمیل کنین مثل:
- null
- 0
- -1
- 9999999
- true / false
- "" (رشته خالی)
- [] (آرایه)
- {} (آبجکت)
- float / int

📌 حتی اگر پلتفرم ایرانی باشه یا خارجی، تجربه ثابت کرده که با تست خلاقانه و روش‌های مختلف، آسیب‌پذیری پیدا میشه!

Golden Tip for API Security Testing

When you're working on a bug bounty program or a penetration testing project, especially for discovering vulnerabilities like:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues

Pay close attention to this tip:

Test every endpoint!
It doesn't matter if 99 out of 100 endpoints seem secure — that one vulnerable endpoint could compromise the entire system.

🧪 Always test with different input types such as:
- null
- 0
- -1
- 9999999
- true / false
- "" (empty string)
- [] (array)
- {} (object)
- float / int

📌 Whether you're dealing with an Iranian or international platform, experience shows that creative and diverse testing often reveals vulnerabilities.

#bugbounty #pentest #websecurity #IDOR #Authorization

https://x.com/afzouni/status/1946673229231161484?t=sD7xRjVX0aifg6BKpTLHlg&s=35


یک نمونه بایپس ساده.

یه بنده خدایی اومده 200 ساعت وقت گذاشته و تمام مصاحبه های بهترین هکر هارو دیده و با مسیر و طرز فکر خودش مقایسه کرده و اشتباهاتشو نوشته.
بهتون خیلی پیشنهاد میکنم این کتابو بخونین ، مایندستتون رو زیر و رو میکنه.

Myscada hmi exploit 0day (full config download) for sale:
500$
@Sell4market