نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

25 فوریه 2024
سلام من میلاد هستم، این اولین رایتاپم توی این وبلاگ هست و امروز میخوام درباره دو آسیب‌پذیری XSS و Open Redirect که روی یکی از سامانه‌های بانکی پیدا کردم براتون بنویسم. به خاطر مسائل محرمانگی و امنیتی من اسم بانک رو Redacted میزارم. شروع مرحله ریکان گسترده Scope پروژه کل زیر دامنه‌های مربوط به اون بانک بود پس در مرحله اول شروع ...
12 نوامبر 2023
سلام, من جمالم و میخوام براتون مسیری که طی کردم تا به اولین هزار دلار توی باگ بانتی برسم بنویسم. توی این رایتاپ از اشتباهاتی که توی مسیر کردم و چالش هایی که داشتم مینویسم، و البته جزییات آسیب‌پذیری‌هایی که گزارش دادم رو به اشتراک میزارم. ابتدای مسیر شروع حرکت من توی این مسیر از دوره OWASP یاشار شروع شد و قبل ...
برچسب‌ها: ، ،
05 نوامبر 2023
خب اول از همه سلام مبین هستم، توی این بلاگ میخوام یکی از فلوهایی که طی کردم که ترکیب چندین آسیب‌پذیری باهم هستش و در نهایت منجر میشه به اون آسیب‌پذیری ای که من عاشقشم و اون چیزی نیست جز Account Takeover، در ادامه با من همراه باشید. از اون جایی که نمیتونم اطلاعاتی از تارگت افشا کنم اینجا یک سایت ...
برچسب‌ها: ، ، ،
25 آوریل 2023
سلام دوستان! امروز میخوام یکم از شروع باگ بانتی بگم و همچنین رایتاپ آسیب پذیری XSS رو بنویسم. خب اول دوست دارم قبل از باگ بگم چه راه‌هایی رو رفتم و نتیجه خوبی نداشتم! من در شروع خیلی مطالعه کردم و سعی کردم تا حدودی با ریکان و کشف آسیب‌پذیری و.. آشنا بشم و هانت رو شروع کردم اما اشتباهم این ...
برچسب‌ها: ، ،
25 نوامبر 2020
سلام عماد هستم، این اولین نوشتار من برای مموری لیکز هست، تو این نوشتار میخواهیم یک بررسی بر روی فرآیند Automate کردن XSS داشته باشیم که بتونیم تو کمترین زمان ممکن به نتیجه برسیم. داستان از کشف آسیب‌پذیری Reflected DOM XSS توی یکی از برنامه‌های باگ‌بانتی خارجی شروع شد. پس از کشف که داستانش مفصله و از حوصله این نوشتار خارجه، ...
01 آوریل 2020
همونطور که در قسمت آخر سری "باگ بانتی و Bash" قول داده بودیم، با مجموعه جدیدی برگشتیم که در اون به حل و بررسی چالش های وب سایت PortSwigger WebAcademy می‌پردازیم. لازم بذکر هستش که بگم قرار نیست آموزش از صفر در مورد آسیب پذیری های وب اپلیکیشن باشه و سعی شده که خلاصه ای از نوع آسیب پذیری شرح ...
23 مارس 2020
توی این مطلب قراره از Open Redirect که در شرایط خاصی ممکنه تبدیل به XSS بشه استفاده بکنیم و حمله Account Takeover رو یکی از ساب دامین های دیجی کالا بررسی کنیم و پیلودش رو با هم بنویسیم. اول از همه باید بدونیم که اگه به این ادرس ? javascript:alert("test") ریدایرکت بشیم کد جاوا اسکریپت ران میشه و آلرت اتفاق ...