d7mee

@Who_Ami77 فنان يا راكان احييك 👏

@0xazozy وحش 🫡🫡

الحمدلله، في نهاية شهر رمضان المبارك تم قبول ٣ ثغرات High و وحدة Low ❤️

@Omarzzu ما شاء الله مستوى خطير 👏

@Who_Ami77 @hackthebox_eu الف مبروك يا ركان وحشششش👏

الحمدلله Happy to share that i passed the CWES Exam From @hackthebox_eu

@Joon64021906 HTB CWES , portswigger labs , INE واقرأ رايت ابز و bug hunting methodology

@d7meeAz كيف تعلمت ووش المصادر اللي تعلمت منها اذ تقدر تفيدني 😶

ملفات الـjs تلعب دور كبييييير في فهمك للبرنامج, شيك على كل فنكشن موجود هي الي بتعلمك كيف الموقع يشتغل و وين الـrequests تروح و كيف الموقع يتحقق من المستخدمين والخ..

@0x6266 تستاهل الطيب يا بدر

@d7meeAz فنان والله ياعبدالرحمن تستاهل

@deepvvm ما نجي الا من بعدك 🌹

@d7meeAz وحش والله

@izox99 الف مبروك يا خالد نبي نشوف الcritical 👏

الحمدلله ❤️‍🔥 بعد 100000000 دبلكت وNA

@Majedozc @offsectraining ما شاء الله الف مبروك يا ماجد 🫡

الحمدلله قدرت أحصل على شهادة (Offensive Security Certified Professional) من @offsectraining والقادم أفضل ان شاء الله

@0x1o1 الف مبروك يا فواز 👏

الحمدلله أبشركم يالسيبرانيين قدرت أقفل إختبار الوايرلس كامل وحصلت على شهادة (OSWP) من Offsec. اللي حاب ياخذ الشهادة هاذي أو يجهز لها أنصحه جدا يتدرب على ( lab.wifichallenge.com ) تقدر تنزل منه مشين وعليها شبكات محاكية لأكثر من نوع من هجمات الوايرلس جدا مفيد. بالتوفيق🤍.

@0x3mmar @ine الف مبروك يا عمار 👏

الحمدلله دائما وابدا، سعيد باعلان حصولي على شهادة eWPTX من @ine

@_JJew صحيح 💯

@d7meeAz وحش ، جاتك Medium and Duplicate 🤣

السلام عليكم ورحمة الله IDOR to Full PII Leakage حبيت اشارككم رايت أب بسيط عن ثغرة IDOR اكتشفتها مسبقا اتمنى تستمتعون بسم الله نبدأ.

Thanks 👍 @BugBountySA

@stuipds ما شاء الله كمية فن و ابداع احييك يا عبدالعزيز 👏

كيف قدرت اكتشف ثغرات حرجة في اكبر شركة توصيل للطعام؟ فوق ال+20,000$ 1- اختراق فوق ال380K الف مطعم 2- GraphQL Path Traversal Led to Modify Menu Price 3- سحب ارباح اي سائق في الشركه حياكم الله ان شاء الله تستفيدون. عند التعامل مع تارقت ضخم، اكبر خطأ هو انك تبدا مباشرة بالfuzzing او الريكون الغير مفهوم بدون فهم المنظومة. أول ما ركزت عليه هو اني افهم الـ Business Logic، لأن كثير من الثغرات الحرجة في المنتجات الكبيرة تكون منطقية اكثر. الشركة عندها اكثر من نوع مستخدم: عميل يطلب (Customer)، سائق يوصل (Couriers)، مطعم يستقبل (Restaurant). كل طرف له موقع وتطبيق خاص وAPIs مختلفه. عادة هذا يعني ان النظام معقد، ومع التعقيد تزيد الثغرات, وهذي افضل فرصة بالنسبة لك كبق هنتر انك تستعملهم كلهم عشان تطلع ثغره وهذا اللي صار. -1 Stealing Money Allowing Withdrawal Of Couriers To Attacker. $3,000 زي ماهو واضح بالعنوان قدرت اني استغل الثغرة هذي بحيث ان فلوس سواق الشركه تتحول للبطاقتي. بالبدايه بيجيكم تساؤل كيف قدرت القاها, للسواقين الشركه لهم تطبيق كامل قدرت اني ادخل على حسابي الي سويته وانا اتصفح التطبيق شفت شي غريب! لفت انتباهي وجود ميزة مالية حساسة: “Fast Cash”. الفكرة بسيطة السائق يقدر يسحب أرباحه مباشرة على بطاقته بدل ما ينتظر التحويل المعتاد. في اول ريكويست حاولت اسوي setup للمعلومات بطاقه بعدين جاني API غريب مربوط مع Stripe عشان توضح الصوره Stripe يسوي Tokenize للبطايق للشركه هذي ويحفظها بسيرفر خاص ويعطي بطاقتك unique ID بحيث انها تكون محميه وهذا دايقرام بسيط يشرح الي يصير زي ماهو موضح بالريسبونس عطانا توكن ايدي بناء على البطاقه طيب لو مشينا على الفلو حق التطبيق بنلاحظ الريكويست الثاني غريب جدا.

@Badyasseer العفو يا ياسر

@d7meeAz شكرا لك الشرح ممتاز

@ELDENAMET22 امين وياك 🤲

@d7meeAz الله عليك ياكبير شرح ممتاز بالتوفيق ان شاءالله

@0Piracy الله يسعدك و يجزاك خير اشكرك على الكلام الطيب 🙏

@d7meeAz اقسم بالله أسطوره ما شاء الله تبارك الرحمن و اكبر مكسب بيومي يوم ان خوارزميات تويتر طلعت لي حسابك 🔥

@MekkiAbder23776 read a lot of write ups and get inspired by different scenarios and apply them

@d7meeAz I really know that. I meant You Tube . Reliable resources . And thanks

@w_4nj @ine الله يبارك فيك 🌹

@d7meeAz @ine ألف مبروك منها للأعلى يارب. 🙏🏻

الحمد لله اتممت شهادة Web Application Penetration Tester eXtreme (eWPTX) المقدمة من @ine كانت رحلة ممتعة جداً في عالم اختبار اختراق الـWeb و القادم اقوى بإذن الله.