How I fuzz and hack APIs?

https://rashahacks.com/how-i-fuzz-and-hack-api/

@PenTest_Tm

🗒 کتاب ریکان زبان فارسی

بچها یه کتاب ریکان هست مواردی هست که توی هانت خیلی میتونه کمکتون کنه


@PenTest_Tm

🗒 Node.js Vulnerability Cheatsheet

برگه تقلب برای 25 آسیب پذیری در Node.js حتما بخونید


https://link.medium.com/dPvbQw6sGwb

🗒 Roadmap Web hacking

بچها رودمپ وب هکینگ و باگ بانتی از برنا نعمت زاده بهترین رودمپی هست که تا حالا دیدم 👌


@PenTest_Tm

بچها درخواست دادین منابعی که توی بخش Self Study رودمپی که گذاشتم چنل معرفی شده رو بذاریم کتاب Web Hacking Handbook.

@PenTest_Tm

مجموعه‌ای در حدود 50 هزار خط از اطلاعات مرتبط با "دانشگاه آزاد اسلامی واحد یزد" که به علت پیکربندی نادرست تنظیمات امنیتی در دسترس عموم قرار گرفته بود، توسط هکر‌ها شناسایی و منتشر شده است؛ این داده‌ها شامل نام، نام خانوادگی، نام پدر، شماره ملی، شماره شناسنامه، تاریخ تولد، جنسیت، شماره دانشجویی، نام رشته، مقطع، تلفن همراه، نام کاربری، کلمه عبور و اطلاعات دیگری از دانشجویان و اساتید این دانشگاه می‌شود.

@PenTest_Tm

بچها درخواست دادین منابعی که توی بخش Self Study رودمپی که گذاشتم چنل معرفی شده رو بذاریم کتاب Modern web application attacks.

سرفصل هاش :
Introduction
HTML Injection
Host Header Injection
Username Enumeration – SSN
Same Origin Policy
Exploiting CORS Misconfigurations
Origin Reflection Attacks
CSRF
CSRF Bypass – Clickjacking Drag and Drop
Redirection Bugs
XSS – Cross-Site Scripting
Identifying XSS Vulnerabilities
JSONP
Language-Specific
SOME Attacks
CSV Injection
HTTP Desync
Web Cache Poisoning

@PenTest_Tm

XXE Basics + Exploiting a basic XXE vulnerability

@PenTest_Tm

Command Injection Cheat Sheet

@PenTest_Tm

🗒 BugBounty TIPs

Getting a 403 error?
Try appending %2e after the first slash!

https://host.com/path = 403 FORBIDDEN
https://host.com/%2e/path = 200 0K

@PenTest_Tm

🗒 Bug Bounty Cheatsheet

Link: https://docs.google.com/spreadsheets/u/0/d/1TxNrvaIMRS_dmupcwjwJmXtaFk_lPGE1LzgxPu_7KqA/htmlview#

@PenTest_Tm

🗒 More Advanced XXE Exploitation


@PenTest_Tm

آشنایی با متدولوژی Burp Suite برگرفته از سایت Portswigger

تهیه و گردآوری: احسان نیک آور
فهرست مطالب:

- Bypass Client-Side Controls
- Attack Authentication
- Session Management
- Access Controls
- SQL Injection Flaws
- Cross-Site Scripting Vulnerabilities
- Cross-Site Scripting Filters
- Attack Back-End Compone 


@PenTest_Tm

Bypassing Cloudflare WAF: XSS via SQL Injection

https://www.ukusormus.com/bypassing-cloudflare-waf-xss-via-sql-injection/


@PenTest_Tm

🗒 Bypassing payment gateways

مقاله ای درمورد دور زدن درگاه های پرداخت

https://infosecwriteups.com/lets-break-into-payment-gateways-fc52523eeaca


@PenTest_Tm

Research | Bypass CSRF Protection w/ XSS

https://sl4x0.medium.com/research-bypass-csrf-protection-w-xss-710faf20000


@PenTest_Tm

UNSERIALIZABLE, BUT UNREACHABLE: REMOTE CODE EXECUTION ON VBULLETIN

https://www.ambionics.io/blog/vbulletin-unserializable-but-unreachable

@PenTest_Tm

دوستان رودمپ برای تست نفوذ شبکه درخواست داده بودن

نقشه راه ورود به دنیای تست نفوذ شبکه :
Network +

Ccna Routing and switching

Microtik

Ccnp

Mcsa 2016 > 70-740
Active Directory , Dhcp , ad, group policy, wsus,dns

نیاز نیست کل کتابشو بخونید. (ولی کلشو هم رفتید عالیه).

lpic1,2

PYTHON
به زودی در کانال قرار میگیرد #python

یادگیری زبان برای اکسپلویت نویسی Cpp و C و Assembly و Python


SEC 401

Ceh ya Security + ya Sec504

در کنار خواندن کتاب های اصلی میتوانید در کانال هم سرچ کنید مفاهیم پایه گفته شده است .

SEC560

Pwk

MITRE ATT&CK

Sec573 or python for hackers

Sec580

PowerShell for Pentesters

Sec660

eCPPT

eCPTX

شما باید بتونید فایروال ها رو هم دور بزنید برای پیاده سازی حملات و سعی نکنید خودتون به این دوره ها محدود کنید .

منبع : TryHackBox

@PenTest_Tm

🗒 OTP Bypass By Response Manipulation

حتما بخونیدش یه مقاله کامل در مورد بایپس OTP

https://jjainam16.medium.com/otp-bypass-by-response-manipulation-bbdf9145db6e

@PenTest_Tm

🗒 DNS and Proxy Bypass — Discover Original IP address of a website

بخونید این رایتاپ رو متوجه میشد سایت هایی که پشت Cloudflare و... هستن رو چجوری به IP اصلی سایت برسیم.

https://medium.com/p/17cc053693b8


@PenTest_Tm