4489
🗡 A blackish gray hat hacker 🗡 🎯 Bug Bounty | Ethical Hacking | Web Exploits 📚 Tips, Writeups, Tools & Real Reports Admin: @GoRunEro
🚀 دنبال یه فیلترشکن پرسرعت و مطمئن هستی؟
اینجا همونجاست!با V2Ray پرقدرت ما، از قطعی و لگ خداحافظی کن😎
🔥 ویژگیها:
✅ سرعت موشکی مخصوص گیم، اینستا، یوتیوب
🔒 امنیت کامل و آیپی ثابت (بدون قطعی)
💰 قیمت منصفانه و پلنهای اقتصادی
🎧 پشتیبانی ۲۴ ساعته – هر لحظه مشکلی داشتی، کنارتیم!
🎁 تست رایگان هم داریم 😎 بیا امتحان کن، بعد تصمیم بگیر…
👈 عضو شو و اینترنت واقعی رو تجربه کن:
@Ero0Vpn
@Ero0Vpn
@Ero0Vpn
🛠Password Manager
🔑اپ دسکتاپ ویندوزی برای ذخیرهی امن رمزها با رمز اصلی، رمزنگاری، تم تیره/روشن، جستجو و قابلیت افزودن/ویرایش/کپی سریع رمزها. سورس و دانلود در گیتهاب.
👇🏻Download link:
https://github.com/ERO-HACK/Password-Manager
🔍 توی مسیر باگبانتی همیشه نباید انتظار داشته باشیم همهی تیمها پاسخگو باشن یا حتی ازت تشکر کنن. مهم اینه که ما تجربه کسب کنیم، گزارش درست بدیم و یاد بگیریم چطور حرفهای ادامه بدیم.
این بار پاسخی نگرفتم، اما فهمیدم: باگبانتی فقط شکار باگ نیست، ساختن صبر و پشتکاره. 💻🚀
هوش مصنوعی قراره جای انسان رو بگیره
هوش مصنوعی :
#fun - Twitt
@CleverDevs - @CleverDevsGp
یه تیکه از رادیوجادی ۱۹۹ رو اینجا میارم چون به نظرم دیدن مستقلش مفیده. حرفهای مدیر عامل بخش وب سرویسهای آمازون است در مورد حضور هوش مصنوعی و مسیر شغلی و استخدام تازه کارها در این شرایط. خلاصهاش؟ یاد بگیرین و سعی کنین تحلیل مساله و شکستن مشکل به اجزای کوچکتر رو یاد بگیرین و اتفاقا شرکتهای بزرگ هم باید دائما در حال استخدام نیروهای جونیور باشن تا چند سال بعد نیروی سنیور داشته باشن.
#برنامه_نویسی #هوش_مصنوعی #شغل #پادکست
🔐 حملهای پنهان با ظاهر امن!
🎯 توی این آموزش یاد میگیریم که چطور میشه با یک افزونه جعلی وردپرس و ظاهر فریبنده، بدون هیچ نشانه مشکوکی، کنترل کامل یک سایت رو به دست گرفت!
📦سناریو چیه؟
ما یک پلاگین امنیتی ساختیم که ظاهرش بینقص و حرفهایه... اما در پشت پرده چی میشه؟
✅ ساخت ادمین مخفی با یوزرنیم و پسورد تصادفی
✅ ارسال اطلاعات ادمینها به ربات تلگرام
✅ دسترسی کامل حتی اگه همه یوزرها پاک بشن!
⚠️ به این نوع حمله میگن:
Social Engineering + Supply Chain Attack
یه ترکیب حرفهای از مهندسی اجتماعی و تزریق بکدور از طریق افزونه وردپرس!
🎯 Target: Private Website Bug Bounty
📁 Vulnerability: Stored XSS via Support Ticket (Message Field)
🧠 Injected a clean-looking payload in a ticket…
💥 Result: Arbitrary JS execution in admin’s browser
🔐 Stole cookies + sensitive session data
🛠️ Outcome: Account Takeover
💰 Bounty: 1,000,000 IRR
⚠️ Severity: High
📖 Read full write-up:
EroHack0/exploiting-stored-xss-in-a-payment-support-system-from-payload-injection-to-cookie-theft-7cd538c184f0" rel="nofollow">https://medium.com/@EroHack0/exploiting-stored-xss-in-a-payment-support-system-from-payload-injection-to-cookie-theft-7cd538c184f0
یه مقاله کاربردی درباره راههای 🚫 دور زدن محدودیت CORS تو Electron با استفاده از ⚙️ onHeadersReceived و تنظیمات مرورگر. ساده و شفاف توضیح داده
شده 👇
A practical article on how to 🚫 bypass CORS restrictions in Electron using ⚙️ onHeadersReceived and browser security settings. Clearly explained and easy to follow
📘 معرفی کتاب Web Application Security
✍️ نویسنده: Andrew Hoffman
#EroHack0 #Book #EroHack
اگر به امنیت برنامههای تحت وب علاقهمند هستی یا به دنبال یادگیری روشهای مقابله با حملات مدرن وب هستی، این کتاب یکی از منابع فوقالعادهست!
📌 بررسی انواع حملات (XSS, CSRF, SQLi, SSRF و…)
🛡️ آموزش تکنیکهای دفاعی برای توسعهدهندگان
🔍 تحلیل آسیبپذیریها به زبان ساده همراه با مثال
📥 دانلود کتاب در ادامه ⬇️
📌 چه Xss payload هایی در ساله ۲۰۲۵ جواب میدن؟
مقالهای جدید و رایگان درباره تکنیکهای بهروز XSS، دور زدن فیلترها، DOM XSS و نکات کاربردی برای تست نفوذ و باگبانتی.
A fresh and insightful article exploring the current state of XSS in 2025. It dives into modern payloads that still work, techniques to bypass filters and CSP, and real-world examples of DOM-based XSS. A valuable read for penetration testers, red teamers, and bug bounty hunters.
یه مقاله خفن برای بایپس oto
https://www.cobalt.io/blog/bypassing-the-protections-mfa-bypass-techniques-for-the-win
🎯 Target: Bug Bounty
📂 Vulnerability: Stored XSS via SVG Upload (Avatar Feature)
👾 Crafted an innocent-looking SVG...
💥 Ended up executing arbitrary JavaScript in users’ browsers.
🛠️ Result: Account Takeover 💀
⚠️ Severity: High
🔗 @EroHack
⚠️ From Profile Picture to Full Account Takeover!
Ever wondered how a simple SVG upload can lead to total admin control?
In this article, I demonstrate a real-world Stored XSS attack — from uploading a malicious profile picture to hijacking a high-privilege account, all without any user interaction. 🧠💥
👉 Read the full write-up:
EroHack/from-profile-picture-to-account-takeover-stored-xss-in-action-fe43d29cfd99" rel="nofollow">https://medium.com/@EroHack/from-profile-picture-to-account-takeover-stored-xss-in-action-fe43d29cfd99Читать полностью…
✨✨✨✨✨✨✨✨✨✨✨
✅ [به دلیل درخواست مکرر شما برای اخرین بار لینک کانال های 🌵 vip🌵 رو میذارم
خواهشا دیگه کسی تو PV درخواست نکنه]
✅ اینم لینکش برای آخرین بار😀
/channel/addlist/rQKlouKXsWdlM2Fk
🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈🌈
📢 Where You Can Find Us
We are active on several platforms. You can follow us here 👇
🔹 EroHack0">Medium – Our articles and write-ups
🔹 GitHub – Projects and source codes
🔹 Telegram Channel – Latest updates and posts
🔹 Telegram Group – Discussions and community
🔹 Website – Exclusive content and resources
💀 Stay connected with us everywhere!
قیمت کالا رو ۹۹٪ کم کردم — روش کار رو ببین 😮💨
ویدیو کامل حل لاب و نحوهٔ بهرهگیری از اعتماد سمت کلاینت داخل کانال منتشر شد. دیدن این ویدیو واجبه اگر باگبانتی کار میکنی! 🔥
---> Laboratory Address
---> Another lesson
#logicflaw #clientside #burpsuite #repeater #vulnerability
@EroHack | EroHack0">@Medium | @GitHub
🚀 سرور VPS؛ قلب تپنده هکرها و متخصصهای امنیت 🔒
وقتی اسم VPS (Virtual Private Server) میاد، خیلیها فقط به یه سرور برای میزبانی سایت فکر میکنن. اما توی دنیای امنیت سایبری ماجرا خیلی عمیقتره:
🔹 محیط امن و جدا: روی VPS میتونی مثل یه کامپیوتر شخصی سیستمعامل دلخواهت (لینوکس، ویندوز و …) نصب کنی و ابزارای امنیتی و تست نفوذ رو اجرا کنی، بدون اینکه ریسکی متوجه سیستم اصلیت باشه.
🔹 آزمایشگاه هک: هر ابزاری که روی کالی یا پاروت نصب میکنی، روی VPS هم قابل اجراست. این یعنی یه لابراتوار آنلاین داری که ۲۴ ساعته روشنه.
🔹 مخفیسازی ردپا: چون VPS توی دیتاسنتر یه کشور دیگهست، ترافیکت از اونجا رد میشه. همین باعث میشه لوکیشن و آیپی اصلیت مستقیم دیده نشه.
🔹 کاربرد توی پروژههای قانونی:
اجرای اسکنهای امنیتی روی شبکهها
تست نفوذ کنترلشده (با مجوز)
مدیریت رباتها و اتوماسیون امنیتی
میزبانی ابزارهای دفاعی و مانیتورینگ
🔹کاربرد توی پروژه های غیرقانونی:
راهاندازی باتنتها برای کنترل مجموعهای از دستگاهها؛
اجرای حملات DDoS برای از کار انداختن سرویسها؛
میزبانی صفحات فیشینگ یا توزیع بدافزار برای سرقت اطلاعات؛
نگهداری سرورهای Command & Control (C2) برای کنترل بدافزارها؛
میزبانی فایلهای مخرب یا ابزارهای سوءاستفاده؛
استفاده برای کریپتوماینینگ غیرقانونی یا سوءاستفاده از منابع دیگران؛
انجام عملیات جعل هویت، سرقت اعتبار ورود، یا فروش دادههای دزدیدهشده.
💡 خلاصه اینکه VPS برای یه متخصص امنیت، مثل یه کارگاه مجازی همیشه روشنه که میتونه هر سناریویی رو روش پیاده کنه.
---
و همینطور ریکشن های شما قلب تپنده ماست❤️😂
سلام رفقا، وقت همگیتون بخیر🙌🏻
چند وقته که تبلیغات پکیجها و مدرکفروشیا رو میبینم و دلم میخواد هشدار بدم. اینها معمولاً دو چیز دارن — وعدههای بزرگ، و محتوای کم یا تکراری. مدرکِ «معتمد» که کسی نمیتونه بهش اعتماد کنه وقتی پشتش شفاف نیست: چه کسی صادر کرده؟ چه پروژهای درش انجام شده؟ چه کسی بازخورد داده؟🤔
یادگیری توی امنیت اطلاعات و تست نفوذ یعنی ساعتها تمرین توی لابراتوار، خطا و اصلاح، گزارش دادن مسئولانه و ارتباط با جامعه. هیچ پکیجی شما رو یک شبه هکر نمیکنه. نگاهم اینه که سرمایهگذاری درست یعنی: مدرس با سابقه، پروژههای واقعی، دسترسی به راهنمایی بعد از دوره و شفافیت دربارهی آنچه دریافت میکنید.Читать полностью…
یه نمونه خوب هم براتون بگم:
«امیرعماد میرمیرانی، ملقب به جادی» کسی که بدون ادعاهای الکی و مدرکفروشی، سالهاست دانشش رو رایگان و شفاف با جامعه به اشتراک گذاشته. وبلاگ نوشته، پادکست ساخته، کتاب ترجمه کرده و با زبانی ساده مفاهیم سخت رو قابل فهم کرده. خیلی از ماها بدون اینکه حتی اسممون جایی ثبت بشه، از محتوای رایگانش چیز یاد گرفتیم. این یعنی تاثیر واقعی — بدون نیاز به فروش مدرک و وعدههای رنگی.
اگه تا حالا کاری کردید که حس کردید پولتون هدر رفته یا برعکس، دورهای گرفتی که واقعا ارزش داشت، تو کامنتها بگو — کمک میکنیم همدیگه رو راهنمایی کنیم.
و در آخر… به جای اینکه دنبال راههای میانبر باشیم، بهتره روی مسیر واقعی تمرکز کنیم. چون توی این مسیر، حتی اشتباهاتمون میشن تجربههایی که هیچ مدرک و هیچ پکیجی نمیتونه به ما بده. باور کنید یادگیریِ واقعی فقط با عمل و پشتکار میاد، نه با وعدههای رنگی. پس مراقب وقت و پولتون باشید، روی خودتون سرمایهگذاری کنید و مطمئن باشید نتیجهش خیلی شیرینتره.
آسیب پذیری: Bypass payment process
آسیبپذیریای که امکان دور زدن فرایند پرداخت را فراهم میکند و به کاربر اجازه میدهد بدون پرداخت واقعی، به خدمات یا محصولات دسترسی پیدا کند
🚨 Advanced XSS Bypass Techniques - New Guide! 🚨
Hey hackers & bug hunters!
Just dropped a comprehensive, deep-dive article covering advanced XSS bypass methods, real-world WAF evasion tricks, and powerful payloads. Perfect for boosting your bug bounty game! 💥
Author: zarvan
Language: Persian
Telegram channel: @web_articles
نکته مهم در تستهای امنیتی API
وقتی دارید روی یک برنامه باگبانتی یا پروژه تست نفوذ کار میکنید، مخصوصاً برای کشف آسیبپذیریهای:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues
حتماً به این نکته توجه کنید:
همهی اندپوینتها رو تست کنید!
مهم نیست اگر ۹۹ تا از ۱۰۰ اندپوینت امن بودن، فقط همون یک مورد آسیبپذیر ممکنه کل سیستم رو به خطر بندازه.
همیشه با انواع ورودیها تستتونو تکمیل کنین مثل:
- null
- 0
- -1
- 9999999
- true / false
- "" (رشته خالی)
- [] (آرایه)
- {} (آبجکت)
- float / int
📌 حتی اگر پلتفرم ایرانی باشه یا خارجی، تجربه ثابت کرده که با تست خلاقانه و روشهای مختلف، آسیبپذیری پیدا میشه!
Golden Tip for API Security Testing
When you're working on a bug bounty program or a penetration testing project, especially for discovering vulnerabilities like:
- IDOR (Insecure Direct Object Reference)
- BAC (Broken Access Control)
- Authorization Issues
Pay close attention to this tip:
Test every endpoint!
It doesn't matter if 99 out of 100 endpoints seem secure — that one vulnerable endpoint could compromise the entire system.
🧪 Always test with different input types such as:
- null
- 0
- -1
- 9999999
- true / false
- "" (empty string)
- [] (array)
- {} (object)
- float / int
📌 Whether you're dealing with an Iranian or international platform, experience shows that creative and diverse testing often reveals vulnerabilities.
#bugbounty #pentest #websecurity #IDOR #Authorization #rootdr
📎باگ CSRF چیست؟
CSRF یا Cross-Site Request Forgery یکی از باگهای کلاسیک اما خطرناک در برنامههای تحتوبه که باعث میشه یه درخواست جعلی از طرف قربانی به سرور ارسال بشه، در حالی که قربانی اصلاً نمیدونه چنین درخواستی فرستاده شده
مهمترین ویژگی CSRF اینه که حمله از طرف یه کاربر احراز هویتشده صورت میگیره. یعنی چی؟
مثال ساده:
شما وارد سایت بانکیتون شدید و مرورگر سشن شما رو نگه داشته. حالا اگه برید یه سایت آلوده (مثلاً یه وبلاگ یا تبلیغ تقلبی)، هکر میتونه توی اون سایت یه کد HTML بذاره که بهطور مخفی یه درخواست به سایت بانکی بفرسته؛ و چون شما لاگین هستید، اون درخواست از طرف “شما” معتبر حساب میشه!
یه درخواست ساده بهصورت GET
مثلاً این شکلیه:
<img src="https://bank.com/transfer?to=hacker&amount=1000000">
اگه سایت مقصد هیچ فیلتر یا بررسی نداشته باشه، این درخواست اجرا میشه. چون مرورگر شما خودکار کوکیها و سشن رو با درخواست میفرسته. هکر فقط باید قربانی رو وادار کنه که یه بار لینک رو باز کنه یا حتی یه عکس جعلی رو لود کنه.
❗️نکته مهم اینه که تو حمله CSRF، قربانی نیازی نداره کاری انجام بده، فقط کافیه یه صفحه رو باز کنه که کد مخرب داخلشه. این یعنی حتی کاربر حرفهای هم ممکنه قربانی بشه.
🔍 این باگ معمولاً توی فرمهایی مثل:
• تغییر رمز عبور
• ارسال پیام
• پرداخت یا انتقال وجه
• حذف حساب کاربری
و جاهایی که عملیات حساس انجام میشه، خیلی خطرناکه.
📌 خلاصه؟
CSRF یعنی انجام عملیات از طرف کاربر واقعی، بدون رضایت یا اطلاع اون. حملهای ساکت ولی مهلک
🚀 New Open-Source Tool by ERO-HACK
Introducing BugHunter 🐞🔍 – a powerful, automated scanner built for security researchers and bug bounty hunters!
✨ Features:
✅ Detects XSS, SQL Injection, LFI, Open Redirect & more
✅ Fast & lightweight Python tool
✅ Perfect for quick reconnaissance and vulnerability assessment
🧠 مدیریت باتنت تو دنیای واقعی چطوریه
تو پست قبلی یه باتنت ساده ساختیم که فقط تو شبکهی خودمون کار میکرد
حالا بریم ببینیم باتمسترای واقعی چطوری ارتش باتهاشون رو کنترل میکنن
📡 ۴ مدل معروف مدیریت باتنتها :
1️⃣ Push & Pull
یا باتها خودشون میرن دنبال دستور (Pull)
یا دستور بهشون فرستاده میشه (Push)
مدلی ساده، برای باتنتهای سبک و سریع
2️⃣ متمرکز (Centralized)
یه سرور فرماندهست و بقیه باتها فقط گوش به فرمان
ارتباط سریع و مستقیمه، اما اگه اون سرور بزنه زمین، کل باتنت میخوابه
3️⃣ غیرمتمرکز (Decentralized)
مثل شبکه تورنت، هیچ سروری نیست و باتها خودشون با هم ارتباط دارن
دستور از یکی شروع میشه و بین بقیه پخش میشه
مثال واقعی:
باتنتهای معروف مثل Storm و ZeroAccess از این مدل استفاده میکردن
تو این سیستم، هر بات هم کلاینت بود، هم سرور، و شناسایی و نابود کردنشون خیلی سخت بود
4️⃣ ترکیبی (Hybrid)
یه ساختار چند لایه: بعضی باتها سرورن، بعضی فقط اجرا میکنن
هم قابل کنترلتره، هم مقاومتر نسبت به شناسایی و نابودی
🚨 نتیجه
هرچی معماری باتنت پیشرفتهتر باشه، نابود کردنش سختتره و دوامش بیشتر
#botnet_Manage
#بهترین_ها_ky
با تشکر از ادمین
@kyETELAAT
⛔️ گروه هکری لب دوختگان دیتابیس شرکت پست post.ir رو منتشر کرد، اطلاعات ۳ میلیون سابقه از تهران تا الان توسط این گروه منتشر شده
⛔️ اطلاعات پخش شده شامل چیزای مهمی مثل ادرس دقیق پستی، اسم فامیل و... هست ، این اطلاعات تا آخر سال ۲۰۲۴ هست
☢️ طبق بررسی که انجام شد صحت اطلاعات تایید میشه.
@UltraSecurity
🔐 Python Obfuscator Tool
A simple yet effective tool to obfuscate your Python scripts and protect your source code from reverse engineering. Ideal for developers and cybersecurity enthusiasts.
🔗 GitHub: github.com/ERO-HACK/Python-Obfuscator