الخلاصة هي الـPDF فقط عارض ملفات مايستعمل اكواد Javascript لتنفيذ أمر مُعين او أخذ الكوكيز وغيرها، لكن بنفس الوقت تكدر تحقن كود خبيث اذا جان الاصدار مصاب تحقن ملف مخفي او مالوير ويشتغل ع حاسبتك بدون أي تأثير ع السيرفر.
وتبقى مسألة قبول الثغرة حسب سياسة الشركة اذا تهتم لكل التفاصيل راح تقبلها وأما اذا تهتم فقط للسيرفر ومايهمها حماية المُستخدمين ماراح تقبلها تعتبرها فقط مجرد Alert ومايضر بشي.
https://portswigger.net/daily-swig/amp/xss-for-pdfs-new-injection-technique-offers-rich-pickings-for-security-researchers
اكتبوا رأيكم اذا عدكم أي فكرة عنها 🤍.
وتبقى مسألة قبول الثغرة حسب سياسة الشركة اذا تهتم لكل التفاصيل راح تقبلها وأما اذا تهتم فقط للسيرفر ومايهمها حماية المُستخدمين ماراح تقبلها تعتبرها فقط مجرد Alert ومايضر بشي.
https://portswigger.net/daily-swig/amp/xss-for-pdfs-new-injection-technique-offers-rich-pickings-for-security-researchers
اكتبوا رأيكم اذا عدكم أي فكرة عنها 🤍.
💯14👏5👍2🔥1
Media is too big
VIEW IN TELEGRAM
Authentication Bypass: API Access Retention for Deactivated Free Accounts
- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍4
اكتبوا ڪل اسئلتكم الي ببالكم بخصوص الـBug Bounty ونجاوب عنها 🤍 .
ماعدا شلون ابدأ ومنين اتعلم
- - - - - - - - - - - - - - - - - - - -
ماعدا شلون ابدأ ومنين اتعلم
- - - - - - - - - - - - - - - - - - - -
Please open Telegram to view this post
VIEW IN TELEGRAM
مثلاً :
بهذا البرنامج موجود نظام مراسلة وكروبات حاله حال أي برنامج سوشال ميديا آخر.
بالبداية سويت 3 حسابات وسويت كروب وضفت بي الـ3 حسابات الي سويتهن
بعدها رسلت رسائل من كل حساب بالكروب نفسه وألي لاحظته بعد ماسويت بلوك للحساب الثاني, كدرت اقرا واتفاعل ع رسائل الحساب الأول الي منطيني حظر, هنا تفاجأت ليش هيج؟
رحت للـDocs الخاصة بالموقع حتى افهم شيصير وبحثت وحصلت هاي المعلومة :
What happens if the person I blocked and I are both members of another creator’s community?
When you block someone on ***, the block applies everywhere. Blocked members will not be able to see your posts or engage with you or your community. They will also not be able to see your comments and messages in other communities.
معناها المفروض الحساب الاول الي سويتله بلوك من الحساب الثاني ميصير يتفاعل ع رسائلي او يقراها وحصلت الايند بوينت الي تعرض الرسائل والتفاعل عليها:
POST /channels?user_id=<YOUR ID>&connection_id=<YOUR CONNECTION ID>&api_key=<YOUR API KEY> HTTP/2
ومن هذا ثبتت انو هلشي يخالف سياستهم وبلغتها.
الخلاصة للـPOC:
1. Account (B and C) sending a message:
2. Account (B) Block the account (C)
3. Account (C) still sees messages of account (B) and reacts to them.
4. Account (B) can see messages from the account (C) using request RAW
Reported: 2025/1/24
Triaged: 2025/3/5
Bounty: $$$$ 2025/3/5
- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👏5👍3🤯2
Forwarded from فريق الامن السيبراني العراقي
نعلن اليوم عن إكتمال مشروع "سوبر سايبر"، أكبر وأول منصة متكاملة في العراق والوطن العربي متخصصة في الأمن السيبراني، والتي تمثل نقلة نوعية في هذا المجال الحيوي.
توفر "سوبر سايبر" بيئة شاملة تجمع بين التعلم، التدريب العملي، والتفاعل المجتمعي، وتضم:
مكتبة ضخمة من الكورسات المتخصصة في مختلف مجالات الأمن السيبراني.
مقالات تقنية ومراجعات تغطي آخر التهديدات والتقنيات الدفاعية.
مجموعة من أدوات الحماية والاختبار التي يحتاجها المحترفون والمهتمون بالمجال.
منصّة CTF (Capture The Flag) لتحديات واختبارات المهارات السيبرانية.
ولأول مرة في العراق، منصّة Bug Bounty تتيح للخبراء اختبار الأنظمة واكتشاف الثغرات الأمنية مقابل مكافآت مالية.
من المقرر إطلاق المنصة يوم 15 من الشهر القادم.
وستكون المنصة متاحة لعدد محدود من الافراد للفترة التجريبية في يوم 25 من هذا الشهر.
توفر "سوبر سايبر" بيئة شاملة تجمع بين التعلم، التدريب العملي، والتفاعل المجتمعي، وتضم:
مكتبة ضخمة من الكورسات المتخصصة في مختلف مجالات الأمن السيبراني.
مقالات تقنية ومراجعات تغطي آخر التهديدات والتقنيات الدفاعية.
مجموعة من أدوات الحماية والاختبار التي يحتاجها المحترفون والمهتمون بالمجال.
منصّة CTF (Capture The Flag) لتحديات واختبارات المهارات السيبرانية.
ولأول مرة في العراق، منصّة Bug Bounty تتيح للخبراء اختبار الأنظمة واكتشاف الثغرات الأمنية مقابل مكافآت مالية.
من المقرر إطلاق المنصة يوم 15 من الشهر القادم.
وستكون المنصة متاحة لعدد محدود من الافراد للفترة التجريبية في يوم 25 من هذا الشهر.
🔥11👏4
Forwarded from فريق الامن السيبراني العراقي
سيتم انطلاق المرحلة التجريبية للجميع يوم 25 من هذا الشهر وسيتم إختيار عدد محدود من الاشخاص للتجربة.
للإنضمام يرجى التسجيل :
https://forms.office.com/r/WFM065q8Rv
للإنضمام يرجى التسجيل :
https://forms.office.com/r/WFM065q8Rv
🔥9😢4💯3
Media is too big
VIEW IN TELEGRAM
Users Without Permission Can Access Full Company Details Including Contracts, Payments, and Billing via Direct Endpoint Access
- - - - - - - - - - - - - - - - - - - -
#ExeC_IQ
Please open Telegram to view this post
VIEW IN TELEGRAM
👏16🤯6🔥4👍1
ترفع الباونتي للثغرة الخطرة من 29K$ الى 100K$
- - - - - - - - - - - - - - - - - - - -
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25👏2🤯2
اكتبوا ڪل اسئلتكم الي ببالكم بخصوص الـBug Bounty ونجاوب عنها 🤍 .
ماعدا شلون ابدأ ومنين اتعلم
- - - - - - - - - - - - - - - - - - - -
ماعدا شلون ابدأ ومنين اتعلم
- - - - - - - - - - - - - - - - - - - -
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9💯2
https://cyberr.iq
سوبر سايبر
نحتاج اشخاص خبرات واصحاب شهادات لتقديم محتوى سواء مدفوع او مجاني ( red team or blue team )
ايضاً تكون صاحب خبرة و متمكن في تقديم المعلومة
تكدر تقدم الـCV على تلكرام
https://t.me/cyberr_iq
Please open Telegram to view this post
VIEW IN TELEGRAM
👏2💯1
كورس جديد.
دليلك الشامل نحو احتراف اكتشاف الثغرات الأمنية وتحقيق الأرباح من برامج المكافآت. صممت بعناية من قبل أحمد ناجح لتأخذك في رحلة متكاملة تبدأ من الأساسيات وتصل بك إلى أساليب متقدمة مستخدمة في أقوى المنصات العالمية. تجمع الدورة بين الجانب العملي والنظري بأسلوب مبسط وسلس، وتوفر لك الأدوات والتقنيات التي يستخدمها المحترفون في هذا المجال، مع تركيز خاص على فهم منطق الأنظمة واختراقها الأخلاقي بطريقة ممنهجة تساعدك على بناء اسمك في هذا المجال سريعًا.
أكثر من 61 محاضرة عملية, اكثر من 12 ساعة من التعلم المستمر.
https://www.cyberr.iq/core/learning/courses/bug-bounty-premium
دليلك الشامل نحو احتراف اكتشاف الثغرات الأمنية وتحقيق الأرباح من برامج المكافآت. صممت بعناية من قبل أحمد ناجح لتأخذك في رحلة متكاملة تبدأ من الأساسيات وتصل بك إلى أساليب متقدمة مستخدمة في أقوى المنصات العالمية. تجمع الدورة بين الجانب العملي والنظري بأسلوب مبسط وسلس، وتوفر لك الأدوات والتقنيات التي يستخدمها المحترفون في هذا المجال، مع تركيز خاص على فهم منطق الأنظمة واختراقها الأخلاقي بطريقة ممنهجة تساعدك على بناء اسمك في هذا المجال سريعًا.
أكثر من 61 محاضرة عملية, اكثر من 12 ساعة من التعلم المستمر.
https://www.cyberr.iq/core/learning/courses/bug-bounty-premium
🔥7😢3💯2
Media is too big
VIEW IN TELEGRAM
رابط المنصة : https://cyberr.iq
———————————————————
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11