wisklrx

@oxflask @BugBountySA الف مبروك ما شاء الله و عقبال المركز الاول في الربع القادم

الحمدلله في اول مشاركه لي في منصة @BugBountySA لاول ربع في السنه قدرت احصل على المركز الثاني ولله الحمد وشكرا للزملاء الحاصلين على المراكز المتقدمة كانت منافسة جميلة وفالهم التوفيق القادم افضل باذن الله

@Omarzzu ما شاء الله عليك يا عمر فنان 👏👏

@stuipds ما شاء الله يبو سعيد مقالة ممتازه كالعادة

Leaking over 2M records of PII and documents in SalesForce and Zendesk. We have released a new blog post explaining how we approach third party apps. نشرنا مقالة تشرح تسريب بيانات فوق ال2 مليون يوزر ووثائق حساسة وكيف ممكن خطأ بسيط وصل لهذي التسريبات. catchify.sa/post/leaking-2…

كيف قدرت اكتشف ثغرات حرجة في اكبر شركة توصيل للطعام؟ فوق ال+20,000$ 1- اختراق فوق ال380K الف مطعم 2- GraphQL Path Traversal Led to Modify Menu Price 3- سحب ارباح اي سائق في الشركه حياكم الله ان شاء الله تستفيدون. عند التعامل مع تارقت ضخم، اكبر خطأ هو انك تبدا مباشرة بالfuzzing او الريكون الغير مفهوم بدون فهم المنظومة. أول ما ركزت عليه هو اني افهم الـ Business Logic، لأن كثير من الثغرات الحرجة في المنتجات الكبيرة تكون منطقية اكثر. الشركة عندها اكثر من نوع مستخدم: عميل يطلب (Customer)، سائق يوصل (Couriers)، مطعم يستقبل (Restaurant). كل طرف له موقع وتطبيق خاص وAPIs مختلفه. عادة هذا يعني ان النظام معقد، ومع التعقيد تزيد الثغرات, وهذي افضل فرصة بالنسبة لك كبق هنتر انك تستعملهم كلهم عشان تطلع ثغره وهذا اللي صار. -1 Stealing Money Allowing Withdrawal Of Couriers To Attacker. $3,000 زي ماهو واضح بالعنوان قدرت اني استغل الثغرة هذي بحيث ان فلوس سواق الشركه تتحول للبطاقتي. بالبدايه بيجيكم تساؤل كيف قدرت القاها, للسواقين الشركه لهم تطبيق كامل قدرت اني ادخل على حسابي الي سويته وانا اتصفح التطبيق شفت شي غريب! لفت انتباهي وجود ميزة مالية حساسة: “Fast Cash”. الفكرة بسيطة السائق يقدر يسحب أرباحه مباشرة على بطاقته بدل ما ينتظر التحويل المعتاد. في اول ريكويست حاولت اسوي setup للمعلومات بطاقه بعدين جاني API غريب مربوط مع Stripe عشان توضح الصوره Stripe يسوي Tokenize للبطايق للشركه هذي ويحفظها بسيرفر خاص ويعطي بطاقتك unique ID بحيث انها تكون محميه وهذا دايقرام بسيط يشرح الي يصير زي ماهو موضح بالريسبونس عطانا توكن ايدي بناء على البطاقه طيب لو مشينا على الفلو حق التطبيق بنلاحظ الريكويست الثاني غريب جدا.

@stuipds ما شاء الله يبو سعيد سرد واضح وممتاز و ماهو غريب عليك الابداع

@eueu ما شاء الله عليك يا ابو مترك تستاهل كل خير

تشرفت بأن اكون المتحدث في الحفل الختامي لمنصة "ذكي" THEKEY في كلية إدارة الأعمال أمام سعادة العميدة الدكتوره ريما بن سعيد، واعضاء هيئة التدريس.

@eueu ما شاء الله عليك والف مبروك يا محمد ماهي غريبه عليك الانجازات

اللهم لك الحمد اعتبر اول طالب يحصل عليها قبل المستوى الخامس وبإذن الله نفرح بالمستوى الثاني وعقبال ما تتمنون 🙏🏻 أرغب بتقديم الشكر لرئيس قسم المالية الدكتوره حصه الجربوع ولقسم المالية على دعمهم الغير مستغرب والمعتاد لطلاب القسم 🫶🏻

@CatchifySA Congrats to the team for the CVE that's really Impressive work, well deserved.

The Catchify team discovered a critical RCE (CVSS 10.0) affecting UniFi Access. The flaw allowed full compromise via an unauthenticated API endpoint. Additional endpoints leaked NFC credential data and permitted creation of user door access. Fixed in UniFi Access 4.0.21. Coordinated with Ubiquiti has awarded Catchify ($25,000). Full Research at: catchify.sa/post/cve-2025-…

@eueu الف مبروك يابو مترك 👏🏻

I guess my work has paid off. اللهم لك الحمد اجتزت اختبار CFA L1 🙏🏻

@eueu ما شاء الله عليكم مواضيع ممتازه ومختصرة تجذب القارئ 👏🏻

اول نشرة لنا وحرصنا فيها تكون المواضيع غير مكررة ولا هي محلوبه بحيث أن المتلقي مايمل أثناء القراءة، وبخصوص موضوع أزمة الرهن العقاري حرصنا فيها بأن نتكلم عن آثار الازمة على مختلف النطاقات وليس التركيز بالأزمة نفسها لأن حسينا بأن الأزمة تم حلبها بما فيه الكفاية🤩، عطونا رأيكم 🙏🏻

@eueu الله يوفقكم وفالك المركز الاول 👏🏻

اللهم لك الحمد تم قبولنا في بطولة الاستشارات من ارامكو ودعواتكم لنا بالتوفيق انا وفريقي القوي TrustPoint💪🏼 #بطولة_الإستشارات_2025

@securesuspect @stuipds ما شاء الله الف مبروك تستاهل ياوحش 👏🏻

الحمدلله اول ثغرة ابلغ عليها ويتم قبولها رسميًا الثغرة كانت في Client-side ML decision (CWE-602) على iOS وتم مكافأتي عليها بمبلغ 3000$ وشكر كبييييييرر الى الشيخ @stuipds لانه تحداني واعطاني مهلة شهر واخذت مني ٥ ايام 🔥🔥

@eueu بالتوفيق يامحمد

بسم الله الرحمن الرحيم... يسرني الإعلان بانضمامي الى #نادي_الاقتصاد الله ييسر اللي فيه الخير🙏🏻

الحمدلله حصلت على شهادة Junior Penetration Tester - #PT1 من @tryhackme كانت تجربة عملية مليئة بالتحديات وأعطتني خبرة أوسع في مجال اختبار الاختراق وتعتبر خطوة جديدة في رحلتي بمجال الأمن السيبراني.

🚩 Catchify CTF Platform is Coming Soon! Hack. Capture. Win. Stay tuned for the launch with realistic, practical challenges inspired by real-world security scenarios. We’re excited to announce that our CTF platform will be launching soon. Get ready to test your skills, tackle real attack surfaces, and capture flags that feel like the wild. Hackers, the wait is almost over. Catchify CTF is on the way built with actual practical scenarios to sharpen your skills where it matters most!

Day 1 | Tips & Tricks for Bug Hunters 📸 لقطات من أجواء دورة (Tips & tricks for bug hunters) نتطلع لرؤيتكم غداً باذن الله

يسرنا الإعلان عن إطلاق أول ورشة عمل في Catchify Academy بعنوان: Tips & Tricks for Penetration Testers 📍 الرياض – مركز ريادة الأعمال 📅 17-19 أغسطس | ⏰ 5:30 – 7:30 م يقدمها نخبة من خبراء الأمن السيبراني: أ. عمر الزغيبي – أ. ناصر البراك رابط التسجيل: form.typeform.com/to/Z0KSQS65

@stuipds مبروك ما شاء الله و باذن الله الاول 🔥

الحمد لله، في اول شهر لي حققت المركز الثاني على مستوى الباحثين الأمنيين في منصة Bugcrowd العالمية لشهر يونيو Ranked 2nd on Bugcrowd’s researcher leaderboard for June. In my first month in bugcrowd

We’re excited to announce the launch of our Penetration Testing as a Service (PTaaS) platform. With Catchify PTaaS, you can: - kick off and manage pentests with guided workflows - stay on top of every stage with clear status tracking view and prioritize findings with transparent scoring - retest and validate fixes without extra hassle - get direct access to our pool of top security researchers and experts - sync everything to Jira for smooth issue tracking All designed to give you control, simplify processes, and strengthen your security posture. Curious to see how it works? Visit: docs.catchify.sa