Enigma

@ircfspace @markpash حجم ندارم 😭😭

@ircfspace @markpash لطف کن لینک داخلی بده حجمش بالاست

اپ TeleMirror یه تلاش آزمایشی برای دریافت آخرین مطالب کانال تلگرام خودم و سایر کانال‌های موردنظر در شرایط محدودیت شدید اینترنته، که سعی می‌کنه با چند روش مختلف پست‌ها رو بگیره و نمایش بده. این برنامه رایگان و متن‌بازه و فعلا می‌تونه برای دنبال کردن اخبار تلگرامی بدون نیاز به فیلترشکن، یه گزینه موقت و کاربردی واسه دسکتاپ باشه. * در حال حاضر نسخه ویندوزش رو منتشر کردم، اما اگر بازخوردها مثبت باشه برای مک و لینوکس هم ارائه میشه. github.com/ircfspace/tele…

@Sepanta121 @ircfspace راهش چی بوده؟

رادار دیفیکس نشون میده که در بازه زمانی ۳ روز گذشته، کاربران اینترنت ثابت و اینترنت موبایل از حوالی ساعت ۱۱ قبل از ظهر هر روز تا ۱ بامداد روز بعدش بیشترین اختلال رو تجربه کردن، که این تشابه روند #اختلال_اینترنت ثابت و موبایل، میتونه بر تحلیل‌های موجود مبنی بر هدفمند بودن اختلال‌ها صحه بذاره. نکته دیگه اینکه از بین ایرانسل، همراه اول و مخابرات، اینترنت مخابرات در ۳ روز گذشته بیشترین اختلال رو داشته و بعد از اون ایرانسل در جایگاه دوم قرار داره.

@ircfspace در مورد اینکه گفتی sni چک میشه - من زباد سوادم بالا نیست، نمیشه ech فعال کنی مخفی بشه؟ Tls1.3 هست

#گزارش رفتار GFW در ۲ هفتهٔ اخیر دچار تغییرات بسیار جدی و نگران‌کننده‌ای شده، که مهمترین تحول مربوط به نحوهٔ واکنش DPI به اتصال‌های TCP هست. همونطور که می‌دونیم، یک ارتباط TCP شامل مرحلهٔ هندشیک و بخش keep-alive هست، اما حالا فایروال در همون لحظهٔ آغاز اتصال، SNI رو بررسی می‌کنه، اون رو با گواهی واقعی تطبیق میده و حتی IP رو ریورس می‌کنه تا دوباره به دامنهٔ مربوطه برسه. هرگونه عدم تطابق بین SNI و آی‌پی موجود در کش و فهرست سفید باعث میشه اتصال فوراً ریست و قطع بشه. اگر تطابق وجود داشته باشه اما IP در فهرست خاکستری باشه و همون SNI هم در لیست مسدود باشه، اتصال پس از چند پکت از بین میره. کافیه کوچک‌ترین ترفند یا رفتار غیرعادی در هندشیک TLS تشخیص داده بشه (مثلاً SNI جعلی یا افزونه‌های عجیب) تا فایروال به‌طور فعال اتصال رو ریست کنه. این فهرست خاکستری هر چندوقت یک‌بار به‌طور کامل پاک میشه، و همین باعث میشه اتصال‌های طولانی مثل تماس‌های تلگرام یا کانفیگ‌های CDN V2Ray به‌طور همزمان از کار بیفتن؛ اتفاقی که معمولاً بین ساعت ۶ عصر تا نیمه‌شب به‌وضوح دیده میشه. در این مدت، DoH برای همهٔ ارائه‌دهندگان رایج مثل Cloudflare، Google و Quad9 بسته شده. روش‌های قدیمی مبتنی بر قطعه‌بندی پکت‌ها هم تقریباً بی‌اثر شدن و نیازمند زمان و تلاش بیشتر هستن. از طرف UDP هم وضعیت بهتر نیست؛ فایروال اگر بتونه هندشیک رو تشخیص بده، پس از چند ثانیه مسیر رو‌ می‌بنده؛ که پروتکل‌هایی مانند QUIC و WireGuard بیشترین ضربه رو‌ تجربه کردن. اگر Warp درحال تلاش برای اتصال باشه، فایروال یا اجازهٔ شکل‌گیری هندشیک رو نمیده یا الگوی رفتاری ارتباط رو شناسایی و اتصال به سرور مقصد رو‌ فوراً متوقف می‌کنه. در مورد QUIC رویکرد مشابهی وجود داره و حساسیت به رنج‌های Warp در هر دو نسخهٔ IPv4 و IPv6 بسیار بالاست؛ بنابراین اتصال‌ها تقریباً فوراً قطع میشن. در مجموع، وضعیت #اینترنت در ایران در این روزها برای کاربران بسیار ناامیدکننده هست. تنها نکتهٔ امیدوارکننده اینه که رنج‌های مربوط به CDN همچنان از شدت محدودیت کمتری برخوردارن، اما اتکای کامل به اونها توصیه نمیشه، چون همین موضوع می‌تونه بخشی از استراتژی فایروال باشه: یعنی نگه داشتن CDNها در وضعیت نیمه‌فعال، تا مسدودسازی کامل Cloudflare ساده‌تر از پیدا کردن IPهای ناشناس از ASها و VPSهای نامتعارف باشه. © Atomic_anon

@ircfspace شما عشقی به دیگران توجه نکن، منم سواد داشتم کمک میکردم بهت

این میتونه یه پیام خداحافظی باشه. حتی توی سخت‌ترین روزهای دسترسی به #اینترنت در جریان جنگ ۱۲ روزه کنارتون بودم و سعی کردم با دست خالی، کمک‌حال باشم. اگر کم بود یا کافی نبود، همینقد در توانم بود. در سخت‌ترین روزهای زندگی شخصیمم دست از تلاش برای کمک به دسترسی آزاد مردم و توسعه ابزارها برنداشتم، اما بهرحال اینطوری مورد هجمه یا قضاوت قرار گرفتم. ایرادی نداره و چس‌ناله نمیکنم. واقعیت اینه توی هیچ بازه‌ای رنگ عوض نکردم. هر ابزاری رو توسعه دادم یا معرفی کردم متن‌باز بوده، توی سخت‌ترین شرایط مالی پیشنهادهای متعدد تبلیغات رو رد کردم و تاریخچه عملکردم روی گیت‌هاب و صفحاتم موجوده. همیشه حامی شفافیت بودم و امیدوارم روزی برسه که بتونم این نقاب رو بردارم. این میتونست یه پیام خداحافظی باشه، ولی متاسفانه یا خوشبختانه نیست. هنوز به فعالیتم ادامه میدم تا به سهم خودم خاری باشه توی چشم اونایی که میخوان من و امثال من رو کنار بزنن. خبرها و آپدیت‌های خوبی در راه.

@hkashfi منتظریم مهندس

در مورد رسوایی بچه گربه های دولتی ایران احتمالا بزودی یه دورهمی ترتیب میدم. بیشتر با هدف این که نسل جدید با عواقب کار کثیف دولتی آشنا بشن. اگر خلاصه نصیحت من رو میخواید بدونید در این زمینه: اگر سراغ باجگیری و کلاهبرداری اینترنتی و هک با هدف دزدی و جرم مالی برید، قطعا آینده بهتر و روشن تری خواهید داشت در دراز مدت، تا اینکه با این مدل شرکت های پوششی کار کنید.

@ircfspace @grok یعنیی چی اینی که نوشته؟

کاربری به نام اتمیک در پیام اخیر خودش گفته جالبه که دقیقا وقتی کلودفلر دچار مشکل شده، ترافیک اینترنت ایران طوری دیده میشه که انگار کامل بات‌نت شده؛ یعنی شبیه ترافیک مشکوک و غیرعادی. میزان ترافیک مشکوک در کشورهای دیگه حداکثر ۷۰ تا ۸۰ درصد میشه، ولی برای ایران به ۱۰۰ درصد می‌رسه که کاملاً عجیبه. این کاربر این فرضیه رو مطرح کرده که دولت ایران داره به کلودفلر فشار میاره تا اونها سرویس‌هایی مثل Warp و Workers رو محدود کنن.

@ircfspace چه میشه کرد؟ راهکار خوبی هست؟

@hmakdev چقدر سخت بود

کیا بونس رو زدن؟

@ircfspace تشکر بسیار عالی ممنون از زحمات - برای ویندوز هم اپ درست کنید لطفا با تشکر

ابر پروکسی، یک #فیلترشکن متن‌باز و رایگان برای اندروید هست، که برای دسترسی آزاد به اینترنت از طریق V2Ray و پروکسی‌های MTProto تلگرام طراحی شده ... github.com/code3-dev/Prox…

@AmirMSafari کد تو گیت هاب شبیه ساز اسیب پذیریه که زدین؟

In our NahamCon talk, we demonstrated how punycode email addresses can impact OAuth implementations. MySQL + GitLab OAuth by default can lead to zero-click account takeover. 🔍 Check out the demo app here: github.com/VoorivexTeam/w…

@voorivex موفق باشی و خوش بگذره

اردیبهشت

@omidxrz @YShahinzadeh سورسش کجاست برش دارم تست کنم؟

@YShahinzadeh and I created two postMessage challenges based on real-world cases, it's commonly used by developers to secure postMessages this is the first one, can you exploit it?

@voorivex مبارکه

بانتیا رو آتیش زدم، خشک از کمپانی گرفتمش

@sohxel @meiadnoushadi @YShahinzadeh دیده بودم خیلی روش کار کردم نتونستم درست اجراش کنم فهم درستی ندارم اینطور اسیب پذیری رو چی میگن بهش؟(اسم)

@cronus1829 @meiadnoushadi @YShahinzadeh منظورم Meydi بود که زیر همین توییت یاشار آدرس رو گذاشته.

[white box challenge] Can you convert the Self-XSS into a 1-click ATO? this challenge is based on a real world bug, a semi-novel way to exploit Self-XSS. challenge objective is to steal admin's API key, give it a shot: github.com/VoorivexTeam/w… online instance: canyoucatch [.] me

@sohxel @meiadnoushadi @YShahinzadeh ادرس کانال تلگرام لطفا

@meiadnoushadi @YShahinzadeh منم تا صبح درگیرش بودم و نتونستم در نهایت. یکی از بچه های قدیمی کد اکسپلویت رو داخل تلگرامش گذاشت. آخر سر یه نگاه بندازید بهش.

@voorivex من این مدت از تعطیلات استفاده کردم کلی جلو انداختم مرور مطالب رو

این مدت سبک جدیدی از لش‌مرغ بودم، طوری که اسمم یادم نیست حتی، هنوزم ادامه داره

@voorivex سال نو شما هم مبارک

نوروز ۱۴۰۴ مبارک! امیدوارم تو سال جدید باگای زندگیتون یکی‌یکی پیدا و سریع fix بشن. هر موفقیتی که کسب می‌کنین مثل یه 0day غافلگیرکننده و لذت‌بخش باشه. سالی پر از سلامتی، شادی، پیشرفت و البته پر بانتی داشته باشین 💵❤️

@voorivex یاشار هم عشقی - لطف میکنی ازمون اوسپ بعد اتمام حل کنی؟

خب لیست نهایی منتشر شد، مقاله امید جز ۱۰ تای برتر انتخاب شد، تبریک با ذوق فراوان به امید بابت این دستاورد مهم، واقعا حقت بود چون می‌دونم چقدر زحمت کشیدی براش، روش خلاقانه و قشنگی رو پیدا کردی و کارت عالی بود. ایشالا همیشه بدرخشی ❤️ portswigger.net/research/top-1…

این توییت رو با افتخار خودم برای @omidxrz میزنم، مقاله‌ای که توی VooriCon داد رفته جز کاندیدای top 10 web hacking techniques تو پورت‌سوئیگر. همین که اسمت رفته اونجا کافیه، ایشالا که رای هم میاری♥️ مقاله امید: OAuth Non-Happy Path to ATO portswigger.net/polls/top-10-w…

@voorivex @omidxrz موفق باشی امید عزیز