ExeC IQ 🇮🇶

Forwarded from فريق الامن السيبراني العراقي

ابطال فريقنا اليوم صعدوا ع المنصة 🙂‍↔️🔥

🔥36👏5🤯2

3.99K views20:57

➡️ PoC: IDOR Exposing Sensitive Device Information Across Organizations

1,500$ ⚠️

- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥13🤯4👍2😢1💯1

3.56K views16:40

ExeC IQ 🇮🇶

رمضان كريم عليكم 🌙💛
أول يوم رمضان،
راح نشرح وحدة من أشهر الثغرات بالمواقع: ثغرة XSS (Cross-Site Scripting) 🎭💀

---

## 🔍 شنو هي ثغرة الـXSS؟
هي ثغرة تخلي المهاجم يحقن كود JavaScript خبيث داخل الموقع، وبالتالي يقدر يسرق معلومات المستخدم، مثل الكوكيز 🍪، أو ينفذ أوامر غير مرغوب بيها 😈💥

---

## 🚨 أنواع ثغرات XSS:
1️⃣ Reflected XSS (غير مستمرة) 🔄
🔹 الكود ينحقن عبر رابط (URL) وينفذ مباشرة بدون ما ينحفظ بالموقع.
✍️ مثال:
https://example.com/search?q=<script>alert('XSS')</script>

2️⃣ Stored XSS (مستمرة) 💾🔥
🔹 الكود الخبيث ينخزن داخل قاعدة بيانات الموقع**، مثلًا إذا كتبته داخل تعليق 💬، كل ما يفتح شخص الصفحة، يتنفذ عليه!

3️⃣ **DOM-Based XSS 🏗💻
🔹 هذا النوع يعتمد على تلاعب المتصفح بالكود**، بحيث يستغل طريقة معالجة البيانات بالـ DOM، بدون ما يكون الكود موجود بالسيرفر.

---

## 🎯 مثال عملي بسيط:
تخيل عندك حقل بحث في موقع ضعيف أمنيًا، وجربت تحقن الكود هذا :

<script>alert('XSS');</script>

إذا طلع لك تنبيه في المتصفح 🔔🤯، فهذا معناه أن الموقع **مصاب بثغرة XSS! 😱🚨

---

## 🛠 مواقع للتجربة والتعلم:
1. http://67.207.90.30/xss/index.html
2. https://sudo.co.il/xss/
3. https://zixem.altervista.org/XSS/

🔥💡 أتمنى استفاديتوا من هاي المعلومات، ورمضان مبارك عليكم مرة ثانية! 🌙✨
إذا عندكم أي سؤال، كتبوا بالتعليقات 📝❤️

- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ

💯29🔥5👍4

4.01K views17:18

ExeC IQ 🇮🇶

📍 SendGrid API Key Exposed PoC:
{SG.***********}

❗️ Curl Command:

curl -X "GET" "api.sendgrid.com/v3/scopes" -H "Authorization: Bearer 'Token'" -H "Content-Type: application/json"

Severity: Critical 🔥

- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥7👍2

3.77K views18:30

⭐️ ~~PoC~~:
Participant Identity Exposure Despite Name Hiding in Meetings

❗️ Weakness:
Information Disclosure

- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ

Please open Telegram to view this post

VIEW IN TELEGRAM

🤯6💯3👍1🔥1

3.5K views16:51

ExeC IQ 🇮🇶

➡️

Report HackerOne @ExeC_IQ

Business Logic Errors

⚠️

- - - - - - - - - - - - - - - - - - - -

الفكرة جانت عبارة عن كروبات شبيهة بكروبات السوشيال ميديا،
لما تدخل للكروب وتحدد رسالة مُعينة تلاحظ تكدر تسوي الها رياكشن وتتفاعل عليها ع شكل ايموجيات، بعد التفاعل راح تحصل طلب يحتوي على باراميتر

➡️

"type":"emoji-1f4c2"

هذا خاص بتحديد الايموجي الي تريد تتفاعل عليه، الثغرة الموجودة هنا لما تحاول تغير قيمة الأيموجي المُحدد الى أيموجي غير معروف مثلاً

"type":"emoji-1211212"

هنا مباشرتاً الموقع ماراح يتعرف عليها كأيموجي موجود وراح يظهر خطأ لأن ملفات الجافاسكربت ماحصلت الأيموجي الي غيرت قيمته، خطورتها راح تصير هذا الخطأ الي يظهر راح يظهر لجميع اعضاء الكروب وماراح يكدرون يدخلون للمحادثة او للمحادثات جميعاً بشكل نهائي دائم وهاي استغلالها على جميع الاعضاء.

💦

CVSS: High 8.6 2000$

💲

@ExeC_IQ

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥30👏7💯4👍3

4.14K views23:31

ExeC IQ 🇮🇶

"فُزْتُ وَرَبُّ الكَعبَة"

🔥31😢22💯5👍3👏1🤯1

4.16K views04:53

ExeC IQ 🇮🇶

0:54

This media is not supported in your browser

VIEW IN TELEGRAM

🔘 ~~PoC~~: Bypass the OTP for email verification by manipulating the response

- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥19👏5💯4

4.06K views23:23

ExeC IQ 🇮🇶

I am sad to see that. :(

😢10👍3

3.46K views15:29

ExeC IQ 🇮🇶

انتهى الربع الاول من سنة 2025 🤔

🟡 Top 1 On the leaderboard of Iraq
المرتبة الاولى عراقياً

🟣 Top 27 on leaderboard of the world
المرتبة 27 عالمياً

ExeC_IQ
- - - - - - - - - - - - - - - - - - - -

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥33👏6👍2

4.06K viewsedited 22:24

ExeC IQ 🇮🇶

اتحدى الـ Ai بعظمته يحلل ويكتشف هيج ثغرات Access Control. 🙈

🔥23🤯5👏3

3.59K viewsedited 00:12

ExeC IQ 🇮🇶

شوية تسريبات عليها :)

🤯13👍4👏3🔥1

3.55K views00:26

ExeC IQ 🇮🇶

🔘من خلال خبرتك؟
هل ملف الـ PDF injected XSS هو مقبول ام لا؟
وليش؟

Please open Telegram to view this post

VIEW IN TELEGRAM

👏3🤯3

3.11K views23:46

ExeC IQ 🇮🇶

الخلاصة هي الـPDF فقط عارض ملفات مايستعمل اكواد Javascript لتنفيذ أمر مُعين او أخذ الكوكيز وغيرها، لكن بنفس الوقت تكدر تحقن كود خبيث اذا جان الاصدار مصاب تحقن ملف مخفي او مالوير ويشتغل ع حاسبتك بدون أي تأثير ع السيرفر.

وتبقى مسألة قبول الثغرة حسب سياسة الشركة اذا تهتم لكل التفاصيل راح تقبلها وأما اذا تهتم فقط للسيرفر ومايهمها حماية المُستخدمين ماراح تقبلها تعتبرها فقط مجرد Alert ومايضر بشي.

https://portswigger.net/daily-swig/amp/xss-for-pdfs-new-injection-technique-offers-rich-pickings-for-security-researchers

اكتبوا رأيكم اذا عدكم أي فكرة عنها 🤍.

💯14👏5👍2🔥1

3.55K views00:23

ExeC IQ 🇮🇶

بعض Bounties للــ Bug hunters على Hackerone

شمنتظر؟

🔥12🤯2

3.59K views18:26

ExeC IQ 🇮🇶

اذا كان الموقع بي Our Brands ويحتوي على الشركات الفرعية وحساباتهم على السوشيال ميديا، وأحد الحسابات مصاب بـ Broken Link unclaimed.

فهل التقرير مقبول برأيكم او ضروري يكون الحساب تابع للشركة الأساسية نفسها؟

- - - - - - - - - - - - - - - - - - - -

👍6

3.61K views18:01