https://www.facebook.com/103780525313600/

Team of code, Nasr City (2026)

21/10/2021

السلام عليكم ورحمه الله وبركاته
باذن الله هتكلم في البوست ده عن كام حاجه هتساعدك لو شغال كبج هانتر او في البينتست بشكل عام واتمني انها تكون مفيده للجميع
1- YesWeHack VDP Finder اضافه
الاضافة دي جميله لانها بتساعدك انك تعرف هل الموقع اللي انت فيه ده عليه بروجرم او لا والاجمل من كده انك تدخل الموقع اللي الاضافه حطاه او بتستخدمه وهو موقع https://firebounty.com/ طب هتقولي هيفيدني بايه هقولك الموقع ده بيعرفك الموقع دا بيدي بيدي فلوس ولا سواج ولا بيحطوك في قايمه الشرف ولا بيشكروك بس وكمان بترتب المواقع من الاحدث للاقدم اللي لسه منزل بروجرم ليها وفي اي منصه موجود
رابط الاضافه
https://chrome.google.com/webstore/detail/yeswehack-vdp-finder/jnknjejacdkpnaacfgolbmdohkhpphjb

2- تاني اضافه وهي Hack-Tools
https://chrome.google.com/webstore/detail/hack-tools/cmbndhnoonmghfofefkcccljbkdpamhi
الاضافه كبيره شوي بس فيها بايلودات لثغرات كتيره وكمان انك تعمل بايلود بالفينوم وكمان انكود وميزات تانيه اكتشفها بنفسك
3- تالت اضافة وهي keyFinder
وانت بتست في موقع بتحطله كلمات زي api , key لو لقيها في السورس كود تبع الموقع اللي فتحته بيجيبهالك في النواتج ممكن تشوف تفاصيل اكتر من رابط الاداه وجربها وباذن الله تفيد ناس
https://github.com/momenbasel/keyFinder رابط الاضافه
وفي النهاية اتمني تكونوا استفدتوا ولا تنسونا من صالح دعائكم

06/10/2021

مسابقة للمهتمين بالامن المعلوماتي في جميع التخصصات
المسابقة عباره انك بتكون تيم انت وصحابك وتدخل تحل التحديات في اليوم المحدد اللي هو السبت الجاي يوم 9 من اكتوبر في الساعه 08:00 am
شروط المسابقة

الحد الأدنى لعدد أعضاء الفريق هو 2 والحد الأقصى هو 4
مع الشروط التالية:

- يمكن لأي مصري الانضمام دون أي التزام بالسن أو التخصص.

- أن يكون 50٪ على الأقل من الفريق من الجنسية المصرية.

ودا رابط المسابقة عشان تعرف تفاصيل اكتر و عشان تسجل انت وفريقك :https://cybertalents.com/competitions/egypt-national-cybersecurity-ctf-2021
وبالتوفيق للجميع ان شاء الله

In cooperation with Trend Micro, as a strategic partner, CyberTalents is organizing Egypt National Cybersecurity CTF for the fifth time consecutively where participants can demonstrate their technical abilities. The winning team is eligible to compete in regional and international CTFs representing....

27/09/2021

تجميعة مختبرات ومواقع لتعلم و لتجربة ثغرات مواقع الويب:
- Web Application Vulnerability detection & exploitation (Arabic):
https://www.youtube.com/playlist?list=PLs6emGC4vqRL3emHZrdJ_LVt-CO726kmd
- Based on Authentication Bypass:
https://authlab.digi.ninja/Bypass
- IP Address Based:
https://authlab.digi.ninja/Bypass
- Timing/side-channel Attacks:
https://authlab.digi.ninja/Timing
- JWT :
https://authlab.digi.ninja/Leaky_JWT
- Based on CVE-2019-7644: https://authlab.digi.ninja/Auth1
- Web Socket Exploitation :
https://ws.digi.ninja/
- LDAPi lab :
https://vulndap.digi.ninja/
- NoSQLi lab :
https://digi.ninja/projects/nosqli_lab.php
- Testing SQLi, XSS, CSRF, ... etc:
http://www.vulnweb.com/
- Learning & testing web application vulnerabilities :
https://portswigger.net/web-security
- Web Application Pentesting courses & videos :
https://hackingresources.com/web-application-pe*******on.../
- Free Web Application Pentesing Arabic course (Beginners) :
https://www.technawi.net/%d8%af%d9%88%d8%b1%d8%a9-%d8%a7.../
- Web Application Testing labs :
https://www.pentesterlab.com/exercises

#منقول

11/09/2021

لو انت شغال بج هانتر او ناوي تشتغل يفضل تقرأ الحاجات دي مفيده ازاي تجيب ثغرات ودي حاجات ناتجه عن خبره ناس فممكن تتفق معاهم او تختلف وكل واحد ليه رأيه وبالتوفيق للجميع ان شاء الله
Some tips to get better at find new valid bugs are:

1- Instead of looking for obvious bugs like XSS in a front-page search bar (which everyone does), choose a goal, a kind of bug you want to find and focus on it That’s what Nicolas Grégoire () did, he chose Yahoo YQL, read the docs, experimented… This allowed him to find 5 XXEs on Yahoo and earn $5950. He applied this same idea to 5 targets in total, and made 50K in 20 days.
2- If you find a duplicate, don’t get discouraged. Instead, ask yourself: Does this behaviour exist elsewhere? Are these parameters used somewhere else? For example, does this file disclosure exist on the dev or staging environment?
3- Try and think of as many different angles as possible, mobile, different browsers, different countries
4- Follow either a lateral approach or a vertical approach. Lateral is when you focus on a single technology or vulnerability across the whole scope. Vertical is when you focus on a single app or business functionality and try to find as many bugs as possible.
5- Focus on details
6- If the target has an API, read it’s documentation
7- Learn programming and automate the boring tasks like subdomains enumeration, directory bruteforce, or checking for outdated JS libraries being used
8- Automation also helps spend less time looking for low hanging fruits. For example wrote a script that can automatically find open redirect by collecting URLs with interesting parameters from the Wayback Machine, using waybackurls
9- Don’t use a checklist. It’s OK to maintain a cheatsheet, wiki or knowledge base. But don’t go through a checklist of things to test for blindly without understanding the app or product you are testing
10- Also don’t just use existing tools. Improve open source tools to fit your needs and learn how to script small tasks on the fly while hunting.
11- Chain bugs. Don’t report low hanging fruits until you can chain them with something else to escalate their severity.
Install the mobile app, visit their website and click everywhere while monitoring what’s going on. Make sure to start & configure Burp before opening the app. This allowed to find stored XSS on a public program that’s been tested for years and everyone missed them
12- Do what other people don’t do because they didn’t think about it or because they were lazy. For example Gwendal Le Coguic found a .git directory. Instead of immediately reporting an information disclosure, the lazy approach, he studied the code and found an RCE.
13- He also says: “root is a state of mind”. Hunting is like every sport, 50% about skills, 50% about spirit and 10% of luck”… mmh, that’s 110% in toal, but, okay, we get the point!
منقول من pentesterland

01/09/2021

المجموعات الأربع لقراصنة برامج الفدية الأخطر حاليًا

حذر باحثو الأمن السيبراني من أربع مجموعات ناشئة من برامج الفدية ، التي يمكن أن تشكل تهديدًا كبيرًا للأمن السيبراني للشركات والمنظمات وحتى المؤسسات الحكومية في جميع أنحاء العالم.

أول هذه المجموعات هي LockBit ، التي ظهرت لأول مرة في سبتمبر 2019 ولكنها اكتسبت شهرة كبيرة خلال هذا الصيف ، حيث قام مشغلوا برنامج الفدية بتجديد عملياتهم في جوان/يونيو عندما أطلقوا الإصدار الثاني المتطور من برنامجهم للتشفير ، ولفتت إعلاناتهم المغرية لتوظيف الهاكرز انتباه الكثيرين.

قامت مجموعة LockBit بضرب 52 شركة ومنظمة حول العالم منذ جوان/يونيو الماضي ، وكان أبرز ضحاياهم شركة Accenture للاستشارات الإدارية والخدمات التقنية.

وخلال هذا الصيف في جويلية/يوليو ظهرت مجموعة فدية أخرى تحمل إسم AvosLocker ، وقامت باختراق العديد من المنظمات في جميع أنحاء العالم ، بما في ذلك مكاتب محاماة في الولايات المتحدة والمملكة المتحدة ، مثل مجموعات برامج الفدية الأخرى ، يقوم مشغلي AvosLocker بتسريب البيانات المخترقة إذا لم يتم دفع الفدية.

وعلى خلاف أغلب مجموعات الفدية الأخرى فإن قراصنة AvosLocker يتعاملون بعملة مونيرو الرقمية عند الدفع من ضحاياهم ، وهي عملة مشفرة يصعب تتبعها ما يمنحهم طبقة إضافية لإخفاء هويتهم.

خلال هذا الصيف أيضًا دخل لاعب جديد آخر في سوق برامج الفدية وهو Hive ransomware ، والذي لوحظ لأول مرة وهو يصيب الشركات في جوان/يونيو 2021. ويستفيد المهاجمون الذين يقفون وراءه أيضًا من البيانات المسروقة والابتزاز المزدوج لإجبار الضحايا على دفع الفدية.

أدت هجمات Hive حتى الآن لسقوط 28 مؤسسة في شباكهم بما في ذلك مقدمي الرعاية الصحية ، حيث لا تستثني هذه المجموعة أي أحد من ضرباتها.

التهديد الرابع تمثله مجموعة الفدية Hello Kitty التي ظهرت لأول مرة في ديسمبر 2020 واستهدفت بشكل أساسي أنظمة Windows ، الآن قام المشغلون بإصدار برمجية جديدة من Hello Kitty تستهدف أنظمة Linux ، مما يفتح جبهة جديدة بالكامل لاستهدافها.

تم استهداف شركات في جميع أنحاء العالم بهذا الإصدار من Hello Kitty ، وطلب المشغلون ما يصل إلى 10 ملايين دولار من ضحية واحدة.

مع اختفاء العديد من مجموعات الفدية الشهيرة فإن لاعبين جدد يظهرون بقوة ، ويتبنى العديد منهم تكتيكات وتقنيات مجموعات برامج الفدية الناجحة التي سبقتهم ، ويتفادون الأخطاء التي وقع فيها غيرهم لجعل هجماتهم أكثر فعالية.
منقول من hacker news

28/08/2021

دى الاسئلة اللى بيسئلها معظم المبرمجين فى بدايتهم❗

🔷️ ايه المدة الازمة لتعلم البرمجة ؟
محدش يقدر يجاوب على السؤال ده غير نفسك!، بس تعالو اقولكم على اجابة موحده للسؤال ده.. الإجابة على سؤال زى ده بتتوقف على اكتر من عامل، أولها: هي مستواك في البرمجة، بمعنى لو كانت لغة البرمجة اللى هتتعلمها هي الأولى ليك فسعيتها هتأخذ وقتًا اطول وده لفهم كتير من المفاهيم البرمجية كالloop والFunctionوالArrays والData Types وغيرهم من المفاهيم التي هتكون غريبة عليك، لأنك أول مرة تتعرف عليها وبالتالي هتأخذ وقت أكبر، عكس لو كانت لديك معرفة مسبقة بلغة برمجية فالانتقال من لغة للتانية هيكون أسهل وده ل كونك تعرف قدر كبير من الأساسيات والمفاهيم المتعلقة بالبرمجة،
العامل الثاني: اختلاف اللغات عن بعضها، بمعنى أن الوقت اللي تحتاجه لتعلم الJavaScript مش هوا الوقت اللي تحتاجه لتعلم الC مثلا.
العامل الأخير: هو قدراتك الاستيعابية في الفهم والتطبيق، وبرضه الوقت اللي هتديه لتعلم البرمجة، فتخصيص ساعتين يوميا ليس كنصف ساعة وهكذا.. أيضا قوة المصدر اللي هتتعلم منه فهل هو متمكن ؟! هل هو مصدر قوى أم ضعيف ؟!، ف مصدر تعلم بيختلف عن مصدر تعلم اخر.
علشان كده مفيش وقت محدد لتعلم البرمجة، فالوقت بيعتمد على عدة عوامل، وشرحتلك ايه العوامل اللى ممكن تحدد ده 🌹

🔷️ هل الرياضيات مهمة في البرمجة ؟
الكثير بيعتقد أنه من المفترض أنه يكون خبير في الرياضيات وخاصة الجبر علشان يتعلم البرمجة، ولكن فى الحقيقة يمكنك تعلم البرمجة دون اى معرفه رياضية!، المعرفة الرياضية البسيطة كالجمع والطرح والضرب والقسمة وبعض المفاهيم التانية كافية جدا، فبنلاقى أطفال فى سن 9 سنوات و 10 سنوات بيتعلمو برمجة عادى وهما في الأساس مسمعوش عن الجبر أو التفاضل وغيرها مُطلقًا، بأختصار: مش هتحتاج الرياضيات لو كنت تعمل على برمجة موقع أو تطبيق أندرويد مثلا، لكن هتحتاج لمعرفة قوية لما تعمل على تطبيق محاسبة كبير لحل عمليات ومعادلات رياضية معقدة.

🔷️ هل من المفترض أن أحفظ كل الأكواد ؟
كل ما فى الموضوع هوا الفهم وكل كلمة بتترسخ فى العقل بالتكرار، ومفيش حاجه اسمها حفظ اكواد، المطلوب من المبرمج هوا فهم لغة البرمجة وأساسياتها ومن المفترض أنه يعرف كيفية كتابة الكود دون الحاجة إلى حفظه،
الأمر شبيه بتعلم الحروف والكتابة، فأنت لاتحفظ كل ماتكتبه.

🔷️ أنا الانجليزي عندى ضعيف، هل المبرمج ضروري أنه يكون محترف الإنجليزية ؟
خلينا متفقين ان اللغة الانجليزية هي الاساس ليصبح الشخص قادر على البرمجة، لانها بتعتمد على اللغة الانجليزية كاملة بالاضافة الى المهارات الاخرى وان مصادر تعلم البرمجة بإحترافيه بتكون انجليزية بحد كبير جدا.
بس يابوحميد لو أنا الانجليزية عندى ضعيفة اقدر اتعلم البرمجة !
الاجابة: نعم. فالبرمجة بصورة عامة لا تحتوي على قدر كبير من المفردات الإنجليزية، و بالإمكان تعلمها حتى دون معرفة معناها ولكن من المستحسن اكيد تكون الانجليزية عندك جيدة.

25/08/2021

الناس اللي محتاجه مسار تعلم وتمشي عليه في web application pe*******on testing
او bug Bounty لبشمهندس ابراهيم حجازي
شوف اول كومنت

12/08/2021

من الحاجات المهمة جدا اللي لازم تدور عليها وانت بتشتري لاب توب أو حتى كمبيوتر عادي إن يكون في الجهاز وسيط تخزين "هارد" من نوع SSD 🚀
وسيط التخزين ده في الغالب بتكون مساحته قليلة يعني ممكن 128 أو 256 جيجابايت لأن سعره بيكون أغلى، لكنه مهم جدا وهيساعدك إن جهازك يكون سريع جدا لأنه بيكون عليه نظام التشغيل وملفات البرامج.. وطبعا متوفر منه نسخ بمساحة كبيرة زي الـHDD لو محتاج.
➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
الفرق إن الـSSD مش بيعتمد على أي حركة ميكانيكية زي الهارد HDD واللي بيعتمد على الدوران ووجود ذراع بيقرأ البيانات أو بيكتبها، وبالتالي بيكون استخدامه أسرع ومش بيكون ليه صوت زي الهارد من نوع HDD، ده غير إنه أفضل في مقاومة الصدمات وتحمل درجات الحرارة العالية، كمان استهلاكه للطاقة أقل ↘↘
في قطع SSD دلوقتي بتوفر سرعات خرافية زي مثلا وسيط سامسونج SSD 980 PRO بيوفر سرعة كتابة 5,100 ميجابايت في الثانية، وسرعة قراءة تصل إلى 7,000 ميجابايت في الثانية ⬆⬆
➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
ده مقال مهم فيه معلومات قيّمة عن وسائط التخزين SSD وأنواعها المختلفة وازاي تختار SSD بشكل صحيح 👇
https://bit.ly/3lnAfsQ
ده مقال مهم بردو عن الفرق بين الهارد SSD & HDD 👇
https://bit.ly/37xPlG3
#منقول من نتاوي

06/08/2021

03/08/2021

01/08/2021

الناس اللي عايزة تبدأ في مجال اكتشاف ثغرات ابليكشن الاندرويد دول تلات مقالات بيتكلموا عن التوول اللي انت محتاجها وازاي تظبط environment for mobile security assessment
ده لينك المقال الاول
https://medium.com//guide-to-basic-tool-setup-for-android-pe*******on-testing-part-1-d46aff412e8c
وده لينك المقال الثاني
https://medium.com//guide-to-basic-tool-setup-for-android-pe*******on-testing-part-2-89249fdd2604
وده لينك المقال الثالث
https://medium.com//guide-to-basic-tool-setup-for-android-pe*******on-testing-part-3-16a80e4cce58
لو عايز تكمل في الاتجاه ده فانت محتاج تفهم مبادئ الاندرويد وهي مش صعبة لان نواتها بتعتمد على اللينكس فهتلاقيها قريبة من اللينكس وكمان هتحتاج تفهم اي كود جافا تقراه وبالتالي محتاج تذاكر جافا وكمان اساسيات ازاي تعمل ابليكشن اندرويد وازاي تتعامل مع التوول اللي في المقالات دي علشان تبتدي تكتشف ثغرات الموبايل وده كورس كويس جدا مدته 12 ساعة ومعاه فيديو تاني تلات ساعات بيشرح اساسيات برمجة ابليكشن الاندرويد
https://www.youtube.com/watch?v=fis26HvvDII

منقول من Daoud Youssef
وبالتوفيق للجميع ان شاء الله

Team of code

21/10/2021

06/10/2021

27/09/2021

11/09/2021

01/09/2021

28/08/2021

25/08/2021

12/08/2021

06/08/2021

03/08/2021

01/08/2021

Address

Telephone

Website

Alerts

Contact The Business

Shortcuts

Share

Category