What is Bash?
A Unix shell and scripting language that offers a command-line interface and powerful automation capabilities for interacting with and controlling operating systems.
🤖 AI + SECURITY
🎯 Topic: AI Prompt Fuzzing & LLM Security Testing Tool
AI security is evolving fast.
One of the most important emerging techniques is:
Prompt Fuzzing.
Just like traditional fuzzing finds software bugs,
prompt fuzzing discovers LLM vulnerabilities.
🔗 Tool: Prompt Fuzzer (ps-fuzz)
📂 GitHub Repository
👉https://github.com/prompt-security/ps-fuzz
🧠 Overview
ps-fuzz (Prompt Fuzzer) is an open-source security tool designed to:
• Test GenAI applications
• Simulate real-world LLM attacks
• Identify prompt vulnerabilities
• Harden system prompts
It applies fuzz testing techniques to AI prompts, helping developers and security researchers detect weaknesses before attackers do.
⚙️ How It Works
The tool acts like a penetration tester for AI systems.
1️⃣ Takes your system prompt
2️⃣ Generates malicious prompt variations
3️⃣ Simulates multiple attack scenarios
4️⃣ Evaluates model behavior
5️⃣ Identifies weaknesses
This is similar to traditional fuzzing, but instead of input data,
it fuzzes language instructions.
⚔️ Supported Attack Types
ps-fuzz simulates real-world LLM attacks such as:
🔥 Jailbreak Attacks
• DAN (Do Anything Now)
• Role manipulation
• Policy bypass attempts
💉 Prompt Injection
• Instruction override
• Context manipulation
• Authority impersonation
🕵️ System Prompt Extraction
• Attempts to leak hidden system prompts
• Sensitive data exposure testing
These attacks help identify whether your AI system is:
✔️ Resilient
❌ Vulnerable
🚀 Key Features
• Supports multiple LLM providers (OpenAI, Anthropic, etc.)
• Interactive testing mode (Playground)
• CLI automation support
• Multi-threaded fuzzing
• Custom attack scenarios
• Batch testing for large-scale evaluation
The tool dynamically adapts attacks based on your system prompt.
🧪 Practical Use Case
Security teams can use ps-fuzz to:
• Test chatbot security before deployment
• Evaluate AI agent safety
• Detect prompt injection risks
• Validate guardrails effectiveness
• Improve AI system resilience
🛡 Why This Matters
Traditional security focuses on:
➡️ Code vulnerabilities
But AI introduces:
➡️ Prompt vulnerabilities
Attackers no longer exploit code.
They exploit instructions.
Tools like ps-fuzz help shift security toward:
✔️ AI behavior testing
✔️ LLM attack simulation
✔️ Prompt hardening
🚨 Critical Reminder
AI systems can fail in unexpected ways.
Even strong prompts may:
✖️ Be bypassed
✖️ Leak hidden data
✖️ Follow malicious instructions
Fuzz testing helps uncover these issues before real attackers do.
🎯 Who Should Use This
• AI Security Researchers
• Red Team / Blue Team Analysts
• LLM Application Developers
• DevSecOps Engineers
🔥 Key Takeaway
Prompt fuzzing is becoming:
➡️ The penetration testing of AI systems
If you are building GenAI applications,
testing your prompts is no longer optional.
🔥 Next Topic Preview
AI Red Teaming –
How attackers systematically break AI systems.
🎯 Topic: AI Prompt Fuzzing & LLM Security Testing Tool
AI security is evolving fast.
One of the most important emerging techniques is:
Prompt Fuzzing.
Just like traditional fuzzing finds software bugs,
prompt fuzzing discovers LLM vulnerabilities.
🔗 Tool: Prompt Fuzzer (ps-fuzz)
📂 GitHub Repository
👉https://github.com/prompt-security/ps-fuzz
🧠 Overview
ps-fuzz (Prompt Fuzzer) is an open-source security tool designed to:
• Test GenAI applications
• Simulate real-world LLM attacks
• Identify prompt vulnerabilities
• Harden system prompts
It applies fuzz testing techniques to AI prompts, helping developers and security researchers detect weaknesses before attackers do.
⚙️ How It Works
The tool acts like a penetration tester for AI systems.
1️⃣ Takes your system prompt
2️⃣ Generates malicious prompt variations
3️⃣ Simulates multiple attack scenarios
4️⃣ Evaluates model behavior
5️⃣ Identifies weaknesses
This is similar to traditional fuzzing, but instead of input data,
it fuzzes language instructions.
⚔️ Supported Attack Types
ps-fuzz simulates real-world LLM attacks such as:
🔥 Jailbreak Attacks
• DAN (Do Anything Now)
• Role manipulation
• Policy bypass attempts
💉 Prompt Injection
• Instruction override
• Context manipulation
• Authority impersonation
🕵️ System Prompt Extraction
• Attempts to leak hidden system prompts
• Sensitive data exposure testing
These attacks help identify whether your AI system is:
✔️ Resilient
❌ Vulnerable
🚀 Key Features
• Supports multiple LLM providers (OpenAI, Anthropic, etc.)
• Interactive testing mode (Playground)
• CLI automation support
• Multi-threaded fuzzing
• Custom attack scenarios
• Batch testing for large-scale evaluation
The tool dynamically adapts attacks based on your system prompt.
🧪 Practical Use Case
Security teams can use ps-fuzz to:
• Test chatbot security before deployment
• Evaluate AI agent safety
• Detect prompt injection risks
• Validate guardrails effectiveness
• Improve AI system resilience
🛡 Why This Matters
Traditional security focuses on:
➡️ Code vulnerabilities
But AI introduces:
➡️ Prompt vulnerabilities
Attackers no longer exploit code.
They exploit instructions.
Tools like ps-fuzz help shift security toward:
✔️ AI behavior testing
✔️ LLM attack simulation
✔️ Prompt hardening
🚨 Critical Reminder
AI systems can fail in unexpected ways.
Even strong prompts may:
✖️ Be bypassed
✖️ Leak hidden data
✖️ Follow malicious instructions
Fuzz testing helps uncover these issues before real attackers do.
🎯 Who Should Use This
• AI Security Researchers
• Red Team / Blue Team Analysts
• LLM Application Developers
• DevSecOps Engineers
🔥 Key Takeaway
Prompt fuzzing is becoming:
➡️ The penetration testing of AI systems
If you are building GenAI applications,
testing your prompts is no longer optional.
🔥 Next Topic Preview
AI Red Teaming –
How attackers systematically break AI systems.
👍1
🔥 AndroHunter — Android Mobile Pentesting Framework
⚔️ All-in-One On-Device Android Security Testing Platform
📌 GitHub Repository
👉 https://github.com/ynsmroztas/AndroHunter
📖 Description
AndroHunter is a comprehensive Android security testing toolkit designed to run entirely on the device.
It integrates multiple mobile pentesting workflows into a single environment:
• static analysis
• dynamic testing
• runtime instrumentation support
• traffic inspection
👉 Designed to reduce tool-switching and perform full analysis directly on Android devices
⚙️ Core Capabilities
🧬 1️⃣ Application Recon & Attack Surface Mapping
• Enumerates installed applications
• Displays package info, permissions, SDK level
• Identifies exported components (Activity / Service / Receiver / Provider)
👉 Helps quickly build a target attack surface profile
🔍 2️⃣ Static Analysis (APK / DEX / Manifest)
• APK & DEX parsing
• Multi-DEX support
• AndroidManifest analysis
• Extracts:
• API keys
• tokens
• hardcoded credentials
• URLs
• Detects:
• exported components
• dangerous permissions
• deep links
👉 Focused on real attack entry points, not just file viewing
⚔️ 3️⃣ Component-Level Dynamic Testing
• Intent fuzzing
• Activity launching
• Broadcast interaction
• ContentProvider testing
Supports:
• path traversal checks
• provider abuse scenarios
• deep link exploitation
👉 Moves from finding → validating vulnerabilities
🧪 4️⃣ Sensitive Data Exposure Analysis
• Reads SharedPreferences
• Extracts:
• tokens
• passwords
• API keys
• session identifiers
• JWT / cookies
👉 Targets common mobile data leakage issues
🧠 5️⃣ Runtime Analysis Support
• Frida workflow assistance
• SSL Pinning bypass guidance
• Observes:
• encryption behavior
• database access
• runtime data flow
👉 Bridges static → dynamic analysis stages
🌐 6️⃣ Built-in Traffic Inspection
• Local HTTP proxy
• Request / Response viewer
• On-device traffic monitoring
👉 Enables device-side interception without external setup
🧠 Workflow (Real Usage)
👉 Entire mobile pentesting workflow runs on-device
🚀 Why This Tool Stands Out
• Combines multiple mobile tools into one
• Focused on attack surface → exploitation flow
• Reduces dependency on PC-based tools
• Suitable for real-world mobile bug bounty testing
• Most features work without root
💡 Research Value
Useful for studying:
• Android attack surface discovery
• exported component exploitation
• mobile data leakage patterns
• runtime analysis workflows
• on-device pentesting architecture
🔥 Key Insight
AndroHunter is not just a viewer or scanner.
👉 It is structured around:
👉 This makes it closer to a mobile exploitation workflow tool rather than a simple analyzer.
⚔️ All-in-One On-Device Android Security Testing Platform
📌 GitHub Repository
👉 https://github.com/ynsmroztas/AndroHunter
📖 Description
AndroHunter is a comprehensive Android security testing toolkit designed to run entirely on the device.
It integrates multiple mobile pentesting workflows into a single environment:
• static analysis
• dynamic testing
• runtime instrumentation support
• traffic inspection
👉 Designed to reduce tool-switching and perform full analysis directly on Android devices
⚙️ Core Capabilities
🧬 1️⃣ Application Recon & Attack Surface Mapping
• Enumerates installed applications
• Displays package info, permissions, SDK level
• Identifies exported components (Activity / Service / Receiver / Provider)
👉 Helps quickly build a target attack surface profile
🔍 2️⃣ Static Analysis (APK / DEX / Manifest)
• APK & DEX parsing
• Multi-DEX support
• AndroidManifest analysis
• Extracts:
• API keys
• tokens
• hardcoded credentials
• URLs
• Detects:
• exported components
• dangerous permissions
• deep links
👉 Focused on real attack entry points, not just file viewing
⚔️ 3️⃣ Component-Level Dynamic Testing
• Intent fuzzing
• Activity launching
• Broadcast interaction
• ContentProvider testing
Supports:
• path traversal checks
• provider abuse scenarios
• deep link exploitation
👉 Moves from finding → validating vulnerabilities
🧪 4️⃣ Sensitive Data Exposure Analysis
• Reads SharedPreferences
• Extracts:
• tokens
• passwords
• API keys
• session identifiers
• JWT / cookies
👉 Targets common mobile data leakage issues
🧠 5️⃣ Runtime Analysis Support
• Frida workflow assistance
• SSL Pinning bypass guidance
• Observes:
• encryption behavior
• database access
• runtime data flow
👉 Bridges static → dynamic analysis stages
🌐 6️⃣ Built-in Traffic Inspection
• Local HTTP proxy
• Request / Response viewer
• On-device traffic monitoring
👉 Enables device-side interception without external setup
🧠 Workflow (Real Usage)
Install AndroHunter
↓
Select Target App
↓
Map Attack Surface
↓
Analyze APK / Manifest
↓
Test Components (Intent / Provider)
↓
Inspect Traffic & Data
👉 Entire mobile pentesting workflow runs on-device
🚀 Why This Tool Stands Out
• Combines multiple mobile tools into one
• Focused on attack surface → exploitation flow
• Reduces dependency on PC-based tools
• Suitable for real-world mobile bug bounty testing
• Most features work without root
💡 Research Value
Useful for studying:
• Android attack surface discovery
• exported component exploitation
• mobile data leakage patterns
• runtime analysis workflows
• on-device pentesting architecture
🔥 Key Insight
AndroHunter is not just a viewer or scanner.
👉 It is structured around:
Attack Surface → Interaction → Validation → Data Extraction
👉 This makes it closer to a mobile exploitation workflow tool rather than a simple analyzer.
❤4
AL-Hassan Sarrar
🔥 AndroHunter — Android Mobile Pentesting Framework ⚔️ All-in-One On-Device Android Security Testing Platform 📌 GitHub Repository 👉 https://github.com/ynsmroztas/AndroHunter 📖 Description AndroHunter is a comprehensive Android security testing toolkit designed…
لاختبار اختراق هواتف الأندرويد
❤🔥4
حوّل هاتفك لماسح باركود متّصل بالكمبيوتر عبر الوايفاي!
عملت مشروع جديد مفتوح المصدر بمكّن المستخدم من استعمال الهاتف كماسح باركود مربوط بالكمبيوتر.
نشرت الكود والإصدار الأول للتثبيت والتجربة على GitHub:
https://github.com/s4rrar/link-scan
عملت مشروع جديد مفتوح المصدر بمكّن المستخدم من استعمال الهاتف كماسح باركود مربوط بالكمبيوتر.
نشرت الكود والإصدار الأول للتثبيت والتجربة على GitHub:
https://github.com/s4rrar/link-scan
❤🔥1
قناة الواتساب بشرح فيها أشياء للمبتدئيين ولطلاب الجامعات ولكل المستويات الأُخرى.
https://whatsapp.com/channel/0029VbCQIyhJkK7EbjulAc3H
https://whatsapp.com/channel/0029VbCQIyhJkK7EbjulAc3H
مؤخراً اشتغلت على سوفتوير لشركة ناشئة بيشتغل بنظام SaaS و Desktop App، قدرت أعملّه Reverse Engineering بأقل من 5 دقائق، اكتشفت كمية ثغرات كبيرة خلتني أقدر أحول السوفتوير لنسخة مجانية بالكامل وأخترق سيرفر الترخيص وأوصل لكل بيانات المستخدمين بكل سهولة.
برضو الكود كان مليان ثغرات بتسمح بتنفيذ أوامر برمجية مباشرة على أجهزة المستخدمين، يعني اختراق أجهزتهم صار متاح وبسيط جداً، ووصلت لـ API Keys حساسة زي Gemini API Key، وحتى القيود اللي حاطينها على عدد المحادثات الشهرية قدرت أكسرها وأخلي الاستخدام غير محدود.
هاد كله صار لأنهم اعتمدوا على ذكاء صناعي بيعطي حلول برمجية شغالة بس مش بالضرورة آمنة.
الرسالة اللي لازم توصل لكل صاحب مشروع أو شركة هي أنه الـAI أداة مساعدة ممتازة لتسريع الشغل، بس مستحيل يكون بديل عن الخبرة البشرية والتدقيق الأمني المتخصص. توظيف خبير أمن سيبراني وصرف ميزانية محترمة على الحماية ومراجعة الكود مش مجرد تكلفة إضافية .. هو استثمار بيحمي سمعتك وبيانات عملائك، لأن اللي رح تخسره لو تعرضت لاختراق بسبب ثغرة غبية طلعها الـ AI وما حدا راجع وراه رح يكون أضعاف اللي ممكن تدفعه لتأمين شغلك من البداية.
برضو الكود كان مليان ثغرات بتسمح بتنفيذ أوامر برمجية مباشرة على أجهزة المستخدمين، يعني اختراق أجهزتهم صار متاح وبسيط جداً، ووصلت لـ API Keys حساسة زي Gemini API Key، وحتى القيود اللي حاطينها على عدد المحادثات الشهرية قدرت أكسرها وأخلي الاستخدام غير محدود.
هاد كله صار لأنهم اعتمدوا على ذكاء صناعي بيعطي حلول برمجية شغالة بس مش بالضرورة آمنة.
الرسالة اللي لازم توصل لكل صاحب مشروع أو شركة هي أنه الـAI أداة مساعدة ممتازة لتسريع الشغل، بس مستحيل يكون بديل عن الخبرة البشرية والتدقيق الأمني المتخصص. توظيف خبير أمن سيبراني وصرف ميزانية محترمة على الحماية ومراجعة الكود مش مجرد تكلفة إضافية .. هو استثمار بيحمي سمعتك وبيانات عملائك، لأن اللي رح تخسره لو تعرضت لاختراق بسبب ثغرة غبية طلعها الـ AI وما حدا راجع وراه رح يكون أضعاف اللي ممكن تدفعه لتأمين شغلك من البداية.
❤6
- للمبتدئين / الأشخاص الغير تقنيين -
أهلاً جميعاً، بدون مقدمات، موضوع مهم جداً وشوي خطير بدأ يصير، وهو اختراق حسابات السوشيال ميديا خاصةً حسابات البنات.
وصلني 4 صبايا خلال اليوم وامبارح بس، كلهم تعرّضوا لنفس الفكرة سواءً ع الانستا أو التيكتوك.
الاختراق الو شكلين:
الأول: بدخل الـHacker على حسابك وببيّن عندك بالأجهزة المسجلة الدخول على الحساب أنه في حساب جديد. بهاي الحالة شو الحل؟ الحل باختصار أنك تطلّعه من الحساب، وتغيّر الباسورد، وتتأكد أنه إيميلاتك والأرقام المربوطين بالحساب ما غيّرهم الـHacker، ثم بعدها بتفعّل المصادقة الثنائية أو التحقق بخطوتين.
الثاني: حسابك بكون مُخترق والـHacker موجود بحسابك بس مش مبيّن بالأجهزة المرتبطة، وهاد الاختراق بكون أعقد شوي. فكرته باختصار وما بتوقع كثير يفهموني، أنه الانستا بكون يعتبر جهازك وجهاز الـHacker جهاز واحد، وبكون سارق الـSession تبعتك أو الجلسة تبعتك. ومش رح تقدر تعرف أنه حسابك مخترق إلا لو لاحظت أشياء غريبة بتصير فيه.
طيب كيف أحمي حالي بهاي الحالة أو أحل مشكلتي؟ لازم أوّل اشي تغيّر الباسورد، وبعدها تسجّل خروج من الحساب وترجع تسجّل دخول، ليش تسجّل خروج وترجع تسجّل دخول؟ حتى تنتهي صلاحية الجلسة للطرفين، الك وللمُخترِق. ثم بعدها بتتأكد أنه الإيميلات والأرقام المربوطة بالحساب الك وأنه الـHacker ما غيّرهم. وأخيراً بتفعّل المصادقة الثنائية.
ملاحظات مهمة كثير:
الأولى: ضروري تتأكد من إيميلاتك أنه محد داخل عليهم برضو.
الثانية: لو كنت بتستخدم نفس الباسورد بأكثر من مكان ضروري تغيّرها بكل مكان.
الثالثة والأهم: تابعني حتى تتعلّم تحمي نفسك من الأشرار لأني باتمان اللي بحمي المدينة من الأشرار والشريرين 😔😂
أهلاً جميعاً، بدون مقدمات، موضوع مهم جداً وشوي خطير بدأ يصير، وهو اختراق حسابات السوشيال ميديا خاصةً حسابات البنات.
وصلني 4 صبايا خلال اليوم وامبارح بس، كلهم تعرّضوا لنفس الفكرة سواءً ع الانستا أو التيكتوك.
الاختراق الو شكلين:
الأول: بدخل الـHacker على حسابك وببيّن عندك بالأجهزة المسجلة الدخول على الحساب أنه في حساب جديد. بهاي الحالة شو الحل؟ الحل باختصار أنك تطلّعه من الحساب، وتغيّر الباسورد، وتتأكد أنه إيميلاتك والأرقام المربوطين بالحساب ما غيّرهم الـHacker، ثم بعدها بتفعّل المصادقة الثنائية أو التحقق بخطوتين.
الثاني: حسابك بكون مُخترق والـHacker موجود بحسابك بس مش مبيّن بالأجهزة المرتبطة، وهاد الاختراق بكون أعقد شوي. فكرته باختصار وما بتوقع كثير يفهموني، أنه الانستا بكون يعتبر جهازك وجهاز الـHacker جهاز واحد، وبكون سارق الـSession تبعتك أو الجلسة تبعتك. ومش رح تقدر تعرف أنه حسابك مخترق إلا لو لاحظت أشياء غريبة بتصير فيه.
طيب كيف أحمي حالي بهاي الحالة أو أحل مشكلتي؟ لازم أوّل اشي تغيّر الباسورد، وبعدها تسجّل خروج من الحساب وترجع تسجّل دخول، ليش تسجّل خروج وترجع تسجّل دخول؟ حتى تنتهي صلاحية الجلسة للطرفين، الك وللمُخترِق. ثم بعدها بتتأكد أنه الإيميلات والأرقام المربوطة بالحساب الك وأنه الـHacker ما غيّرهم. وأخيراً بتفعّل المصادقة الثنائية.
ملاحظات مهمة كثير:
الأولى: ضروري تتأكد من إيميلاتك أنه محد داخل عليهم برضو.
الثانية: لو كنت بتستخدم نفس الباسورد بأكثر من مكان ضروري تغيّرها بكل مكان.
الثالثة والأهم: تابعني حتى تتعلّم تحمي نفسك من الأشرار لأني باتمان اللي بحمي المدينة من الأشرار والشريرين 😔😂
❤4🤣3👏1