Nawaf

237 posts

Nawaf banner
Nawaf

Nawaf

@_JJew

Cyber Security 👨🏻‍💻

Beigetreten Temmuz 2022
53 Folgt14 Follower
Nawaf retweetet
Rakan Allhyani
Rakan Allhyani@Who_Ami77·
3 Bugs = +7K SAR مساكم الله بالخير جميعا, بتكلم اليوم عن 3 ثغرات قدرت اكشتفها في احد البرامج 1. Unauthenticated Access to Admin Dashboard Leads to Exposure of +16k Customers Chatbot Messages بداية الفحص لاحظت ان الدومين كان كبير جدا وبعد التدقيق اكثر اكتشفت انه Backend لأكثر من Product واللي جذبني اكثر هو app بأسم chatbot-admin طيب هل يمديني ادخل بشكل طبيعي ؟ حاولت ادخل للURL بشكل طبيعي https://www.REDACTED[.]com/chatbot-admin راح يسوي Redirect لصفحة Oauth لكن شفت شيء غريب في الBurp History الReq كان يعطيني JWT Token, طيب ايش تقصد يا راكان ؟ الbackend يعطيني access طبيعي لانه يعتمد بشكل كامل على الOauth. طيب لو ما ارسل الreq الخاص بالOauth وش راح يصير ؟ فعلا هذا اللي جربته لو نلاحظ الrequest الاول هو الOauth والreq الثاني يخص الapp نفسه, طيب خلينا نوقف الاول ونرسل الثاني. بالفعل قدرت اوصل للAdmin Panel !
Rakan Allhyani tweet mediaRakan Allhyani tweet mediaRakan Allhyani tweet mediaRakan Allhyani tweet media
14
19
283
13.9K
Nawaf
Nawaf@_JJew·
@AliAlsulaymi ماشاء الله رفضت انت وعطوك عرض ولا وش
العربية
0
0
0
3.1K
Nawaf
Nawaf@_JJew·
@Ninjaappksa ردو خاص الوضع يحتاج فزعتكم
العربية
1
0
0
22
تطبيق نينجا🥷🏻
تطبيق نينجا🥷🏻@Ninjaappksa·
رمضان على الأبواب 🌙 شاركونا وصفة شوربة لذيذة .. وبنختار وصفة تفوز معنا بـ1000 ريال 🥷🏻🔥 ولاتنسون الفولو والريبوست وهاشتاق #رمضان_نينجا_سعر_وسرعة 🥷🏻
العربية
1.7K
1.1K
880
45.1K
Nawaf
Nawaf@_JJew·
@d7meeAz معوض والجاي افضل
العربية
0
0
1
19
d7mee
d7mee@d7meeAz·
@_JJew صحيح 💯
العربية
1
0
1
24
Nawaf retweetet
d7mee
d7mee@d7meeAz·
السلام عليكم ورحمة الله IDOR to Full PII Leakage حبيت اشارككم رايت أب بسيط عن ثغرة IDOR اكتشفتها مسبقا اتمنى تستمتعون بسم الله نبدأ.
d7mee tweet media
العربية
13
9
162
8.1K
Nawaf retweetet
annonimous254
annonimous254@annonimous254z·
Password reset checklist(*high signal) Live bug hunting out too! youtu.be/2UDhNrVHXxw
YouTube video
YouTube
annonimous254 tweet mediaannonimous254 tweet mediaannonimous254 tweet mediaannonimous254 tweet media
English
1
32
201
7.3K
Nawaf
Nawaf@_JJew·
@0xFaLaH اكثر المواقع مصابه ب idor , لاكن العلم في ان هل مصرح لك بفحص الموقع؟
العربية
0
0
0
127
0xfff0800
0xfff0800@0xFaLaH·
أعظم إنجاز لي في 2026 اكتشافي عدة ثغرات أمنية في شركتين كبيرتين بالسعودية ومن باب حرصي الدائم على إغلاقها خلال أقل من 8 ساعات وصلت لملفات حساسة على الـ Servers واكتشفت مبدئيا 5 ثغرات من ضمنها : IDOR – BOLA – SSRF تم رفع تقرير لهم وبانتظار ردهم حاليا
0xfff0800 tweet media
العربية
18
16
693
113.4K
Nawaf
Nawaf@_JJew·
@2Part @knn8F المهندسين الي كملو بكالوريوس كلية تقنية ولو تجمعها مع دراسه الدبلوم كلها ٥ سنين تروح من عمرك وماتبيه يصير مهندس
العربية
0
0
0
632
Nawaf retweetet
oxflask
oxflask@oxflask·
جاك موقع فيه صفحة login ولا فيه اي شي وتحس ان الوضع مقفل بوجهك ؟ لاتوقف تعال اشرح لك : الـ Directory Fuzzing عند الأغلبية هو مجرد: حمل أداة، حط الرابط، اضغط Enter. هذا شغل "الفحص" العادي لكن الاحتراف الحقيقي يبدأ لما الأداة تعطيك 404 وأنت متأكد إن فيه شيء هنا. في هذا الثريد بتكلم عن الفرق بين Fuzzing العادي والاحترافي، ومتى تستخدم Feroxbuster ومتى تنتقل Wfuzz.
oxflask tweet mediaoxflask tweet media
العربية
15
32
471
30.6K
Nawaf retweetet
ProjectDiscovery
ProjectDiscovery@pdiscoveryio·
Stop just finding subdomains. Start finding endpoints. 🕸️ Recon doesn't end with a list of domains. By piping subfinder and httpx into katana, you can automatically crawl and map out the entire attack surface of a target in seconds.👇 #Recon #Katana #Subfinder
ProjectDiscovery tweet media
English
1
71
432
31.8K
Nawaf retweetet
Godfather Orwa 🇯🇴
Godfather Orwa 🇯🇴@GodfatherOrwa·
Big #Bugbountytip / #bugbountytips Google Services Hunting Google services are amazing, and for bug hunters, it's amazing as well. In some cases, you can get some P1-P2-P3 from these services, such as Workspaces / Sheets / Groups / Drives / Etc... In groups: you can access emails / internal data/ credentials In Sheets, you can access PIIs / Edit access In Drive: you can access backups/ PII / Etc... still hard to find and It was an issue how to make good and at the same time fresh dorks for bug bounty programs Then I found out that a lot of links have the same path, and it was like this All Google resources I've found sites.google.com/a/domain.com/x… docs.google.com/a/domain.com/x… groups.google.com/a/domain.com/x… drive.google.com/a/domain.com/x… mail.google.com/a/domain.com/x… spreadsheets.google.com/a/domain.com/x… spreadsheets0.google.com/a/domain.com/x… spreadsheets1.google.com/a/domain.com/x… spreadsheets2.google.com/a/domain.com/x… spreadsheets3.google.com/a/domain.com/x… spreadsheets4.google.com/a/domain.com/x… spreadsheets5.google.com/a/domain.com/x… spreadsheets6.google.com/a/domain.com/x… spreadsheets7.google.com/a/domain.com/x… spreadsheets8.google.com/a/domain.com/x… UrlScan Dorking: page.url:"sites.google.com/a/*" page.url:"docs.google.com/a/*" You can replace * => the program domain Google Dorking: site:sites.google.com/a/* "inurl:/a/" Or for specific domain site:sites.google.com/a/* "inurl:/a/domain.com" GitHub Dorking: "sites.google.com/a/" Or for a specific domain "sites.google.com/a/domain.com" Shodan Dorking: "sites.google.com/a" Web Archive web.archive.org/cdx/search/cdx… Don't forget: It's not just sites.google.com still you have to look for docs/groups/mail/drive/spreadsheetsX still working in Google Research and will add more and more soon ...... Happy Hunting♥ #bugbounty
Godfather Orwa 🇯🇴 tweet media
English
16
206
909
39.9K
Nawaf
Nawaf@_JJew·
لا اله الا الله 🤍
العربية
0
0
0
9
Nawaf
Nawaf@_JJew·
@0xrushy ههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههههه واضح جايب العيد
العربية
0
0
0
245
Nawaf retweetet
Cyber Saudi
Cyber Saudi@88e8·
cyberdefenders منصة تدريب blue team تركز على الجانب الدفاعي ، بهدف توفير مكان لمحللي (SOC) threat hunters و (DFIR) لممارسة وتأكيد مهاراتهم واكتساب المهارات التي تحتاجها هناك لابات كثيره مجانيه ممكن تطلع عليها cyberdefenders.org
Cyber Saudi tweet mediaCyber Saudi tweet media
العربية
2
29
203
12.2K

Entdecken

@AliAlsulaymi @Ninjaappksa @d7meeAz @0xFaLaH @2Part @knn8F @0xrushy @elonmusk