Hodad Rad

@alvandyhamed @voorivex حامد جان شما چگونه حساب بانکی هکروان رو وریفای کردین؟

یالااااااااا . اولین RDP تو بدترین شرایط کاری و روحی زدمش ولی خب تو این شرایط برای اینکه جدا نشم از کار، شده بود روزی ۵ دقیقه هم فقط میخوندم یه رایت آپ خودم رو وصل نگه داشتم .هر چند یه مدتی شده بودم سلطان دوبلیکیت و NA و کلا باگ زدن اوت آف اسکوپ :D مرسی از @voorivex

@yousefccfc @voorivex یوسف جان چجوری حساب هکروان وریفای کنیم برای درامد زایی؟

1-click ATO via a postMessage flaw This is my 2nd ever finding and I’m really happy about it! The severity could be high, but I’m not letting that overshadow the joy of this bounty 😄 Huge thanks to @voorivex for teaching us this trick 🙌

@chux13786509 2) XSS (Cross-Site Scripting) The fetched content is directly injected into your response without escaping: res.send(`Fetched content:<br><pre>${body}</pre>`); If the fetched page contains <script> or malicious HTML, it will run in the context of your application’s origin.

@chux13786509 1) SSRF (Server-Side Request Forgery) The endpoint fetches any URL the user provides and even follows redirects (redirect: "follow"). This allows an attacker to make your server connect to internal/local resources (e.g., http://127.0.0.1, http://localhost, cloud metadata at ...

Hackers 🔥 This code contains at least 2 serious vulnerabilities. Can you spot them? 😋 What would be your exploit? 🤔

@chux13786509 It can be bypassed with tricks like case differences, trailing dots (internal.network.example.), punycode, or redirects to internal hosts.

@chux13786509 at http://169.254.169.254). The blocklist check is also ineffective: if (BLOCKED.includes(hostname)) { ... } It only checks one hardcoded hostname. It doesn’t cover IP addresses, subdomains, or private network ranges. It can be bypassed with tricks like case differences

@Kian_mehrr @DanialXray @voorivex Dast khosh💪

Nothing like catching a juicy XSS that leads to full ATO Had an awesome time teaming up with my partner in crime @DanialXray on this one — team work pays off! #BugBounty @voorivex

I’ve already tried switching them to private and back to public, and saved the changes, but nothing worked. Please check if they are flagged or restricted. Here are the track links: 1: soundcloud.com/hodad-rad-8733… 2: soundcloud.com/hodad-rad-8733… Thank you.

@JulianAcciard1 @realDonaldTrump

🚨🚨🚨Breaking News🚨🚨🚨 Trump has posted that he has brokered and "complete and total ceasefire" between Iran and Israel. #Iran #IranIsraelConflict #Trump #ceasefire

@bountywriteups It is a copy of the "Burp Suite" program.

This One Tool Changed My Hacking Workflow: Meet Proxify chintalatarakaram.medium.com/the-secret-wea… #bugbounty #bugbountytips #bugbountytip

@NazInRealLife @haghiri_codes X sher

سامسونگ تا کی می‌خواد فشار بی‌جهت به خودش بیاره و گوشی‌هاش رو شبیه به آیفون بزنه؟ عزیزدلم تو اندرویدی، تورو چه به شبیه به آیفون بودن؟

@alial1shan 👌

این توییتو میزنم به یاد روزایی که واسه پول کلاس owasp مجبور شدم کارگری و مسافرکشی کنم. خوشبختانه تلاشام نتیجه داد و اولین بانتی چهار رقمیمو گرفتم🌊🌬️

@theoldskywalker 👏

First bounty of 2025, 2025 is going to be exciting

@freeprogrammers Telegram

#موقت #بزودی_پاک_میشود آپلود کنیم همه داشته باشنش :-؟ 👌💐 فایل و آموزش از sans تا تمام دوره های آموزشی بزرگ و کنفرانس ها و دیتابیس ها و تمام نرم افزارهای پنتست بهمراه لایسنس و... کجا آپلود کنیم که تو ایران راحت باشید ؟ 1. Telegram 2. Zero 3. Dark up #darkweb #data #file

@pouyaeti 👋💜

دوره‌ی گوگل آنالیتیکس ۴ و تگ منیجر🙄 خب، پس از حدود ۲ ماه دوره‌ی فارسی گوگل آنالیتیکس ۴ و تگ منیجر از پلتفورم مکتبخونه امروز منتشر شد. من خیلی سعی کردم که دوره‌ی کامل، با کیفیت و همینطور ساده تولید کنم. زمان دوره حدود ۸ ساعت هستش به همراه تمرینهای زیاد. عزیزانی که دوست دارن عضو دوره بشن اینجا کامنت بذارن تا لینک دوره رو براتون ارسال کنم ☺️

@Galia_jalili Dast khosh👏

Employee weekends ;) "Just one target, one subdomain, one endpoint, one request and two Critical bugs" => $6000 #hackerone #bugbounty

مشکلی در زمینه سوشال مدیا داشتین بگین

@Sobi_1995 هیچی بارش نیست سوالاشم از من میپرسید تلگرام همه رو دارم

الان بهروز کمالیان دقیقا چکاری انجام میده!!!

@nexovir از کجا بخرم؟ اتفاقا ۶ ماهه دنبالشم

چه واکنش شیمیایی داخل مغزتون رخ میدخ که این کتاب رو نمیخونید؟! #BugBounty #web_application_security #Hunt

@mzaherii @NikoueiMohammad @Bugcrowd Dast khosh👌

A few months ago, @NikoueiMohammad and I teamed up to work on a famous public bug bounty program at @bugcrowd. We ended up earning a sweet $20,300 bounty. Here's the write up, I hope you enjoy it. blog.voorivex.team/20300-bounties…