Anas Hmaidy | أنس حميدي

Description
قناة علمية غير ربحية تهتم بالأمن السيبراني والبرمجة و التكنلوجيا بشكل عام، تهدف إلى نشر المقالات العلمية وآخر الأحداث التقنية.

LinkedIn: https://www.linkedin.com/in/anas-hmaidy

Contact: @AnasHmaidy
We recommend to visit

- القناة الرسمية على التيليجرام استمتعو بالمشاهده ? ♥️ .

•┊اقتباسات ? •
•┊رمزيات ?
•┊فيديوهات ?

- @xxzbot // ? بوت تنزيل ستوريات انستا -

- @zzxzz // ? لـ التمويل -

Last updated 1 year, 8 months ago

- القناة الرسمية على التيليجرام استمتعو بالمشاهده ? ♥️ .

•┊فيديوهات ? •
•┊رمزيات ?
•┊اختصارات ?

- @zezbot // ?بوت زخرفه -

- @zzxzz // ? لـ التمويل -

Last updated 1 year, 8 months ago

- بوت تحميل من الأنستا ومن جميع مواقع التواصل الإجتماعي: ✅ .

- بوت التحميل من التيك توك: @EEEBOT

- بوت التحميل من الأنستا: @xxzbot

- بوت التحميل من اليوتيوب: @EMEBOT

- ? ? .

- للتمويل: @NNEEN

Last updated 1 year, 8 months ago

7 months ago

لما تعمل عملية Penetration Testing لتطبيقك هيك بتكون قللت من الثغرات الموجودة و زدت من نسبة الحماية و صار طريق الهاكر أصعب ليوصل للشي اللي بدو ياه عندك.

من فترة رفضت اعمل pentest لتطبيق رح يشتغل هون بالبلد لانو صاحب البزنس متوقع بالحرف (التطبيق ما يتم اختراقه) انو بعد ما يدفع مبلغ معين لأشخاص مختصة و يحط budget للحماية فخلص صار التطبيق غير قابل للاختراق و هيك بروح معنا العمر كلو من غير ما ناكل هم شي.

للأسف مافي شي آمن بنسبة كاملة، شركات كبيرة متل Google و لا Microsoft كل يوم عم يلتقا فيها ثغرات و عم يصير هجمات على شركات هيي اصلا دافعة ملايين على الحماية،طالما التطبيق او الحاسوب او الشبكة او الموقع موصلين عالكهربا وشغالين (و ناس بقولو حتى لو مافي كهربا) فحيكون في احتمالية للإختراق.

مجموعة المناقشة
https://t.me/anas_hmaidy_descussions

7 months ago
الي زمان ماعملت write-up وحابب ارجع …

الي زمان ماعملت write-up وحابب ارجع اكتب ان شاء الله بلكي هالكم اسبوع رح اشرح كيف لقيت Endpoint فيها ثغرة IDOR بتودي ل تسريب معلومات شخصية Personal Identifiable Information (PII) على إحدى المواقع متل بالصورة.

حاليا مقالاتي القديمة موجودة دائما على medium بتقدرو تقروها ولا تنسوا المتابعة من جوا :)

Don’t Trust the Cache: Exposing Web Cache Poisoning and Deception vulnerabilities

How One Bug Scored me Double Rewards

Click, Intercept, Hack: Checkmate on Access Control Vulnerability

Bugs & JS :A Closer Look at JavaScript for Successful Bug Hunting

مجموعة المناقشة
https://t.me/anas_hmaidy_descussions

7 months, 1 week ago

منقول عن الصديق mohammad almohammad
السلام عليكم

صار كذا حدا بيسألني مشان قصة الشغل ك bug hunter من سوريا وايش ترتيب الدفع والذي منه

تقريبا بكل المنصات بس يشمو ريحة انك بسوريا بيتوقف الدفع بحسابك ولو في مصاري معد فيك تسحبن لهيك اهم شي انو حسابك ما تفتحو بلا vpn

ال vpn لو كان مجاني او مدفوع ما بياثر انا مثلا مخصص متصفح ومنزل TunnelBear Extension هاد vpn مجاني فيك تضيفه لل Chrome كل ما تشغله اتاكد من ان ال ip اتغير لدولة تانية

طبعا session وحدة من سوريا رح تعملك مشاكل

بعد اول باونتي بالمنصة رح يطلبو منك تعبي ملف اسمو tax form هاد مشان الضرائب وهل قصص بيمشي الحال تعبيه ب معلومات عشوائية بس اذا طلبو منك تأكيد هوية رح تتورط

لهيك حاول تعبي هل ملف ب معلومات شخص عايش برا سوريا الافضل يكون بدول عربية او دول ما يكون عليها ضرائب خلي اسم حسابك بالمنصات كمان نفس اسم هل شخص

لان مجرد ما يكون في اختلاف باسم الحساب او الاسم الي حاطو بالتاكس فورم او الاسم الي عم تاكد عليه الهوية رح يتسكر حسابك هو تاكيد الهوية ما رح يطلبوه الا اذا مخربط بشي شغلة فايت عالحساب من سوريا مثلا

هيك بتكون خالص ان شاء الله وما رح تواجه مشاكل بعدين

بس اهم شي ال vpn يكون شغال دائما وانت فاتح حسابك

وان صار وسألوك عن شي فيك تتحايل عليهم عادي بس خليك عنفس الاسم الي فايت فيه من اول شي.

اضافة: اي حدا بيحتاج مساعدة مجموعة المناقشة مفتوحة دائما للجميع
https://t.me/anas_hmaidy_descussions

9 months, 1 week ago
كود php عم يقرأ ملف معين …

كود php عم يقرأ ملف معين أول شي بعدها عم يعمل مقارنة بين قيم قاعدة البيانات مع قيم username و password اللي جاي من طلب POST واذا تحقق الشرط بعدها قيمة admin حتصير true.

طيب شو الخطأ هون؟ ببساطة فيني اتخطى هالشي بدون ما اعرف قيمة اسم المستخدم وكلمة السر، لاحظ انو المطور عم يعمل loose compression بدال strict compression يعني بالبلدي حاطط == بدل === وهيك منقدر نصير ادمن بأنو ندخل : username = 0, password=0
اذا كان الإدخال integer معناها المقارنة حتكون بين string و int و php بيوجعها راسها ف حترجع true بهيك حالة و مبروك كسرنا حماية الادمن وال authentication.

هيك نوع من الهجمات اسمو Type Juggling و حالاتو كلها عم تتطبق على لغة php بس مابعرف اذا غير لغات متل java ولا C# بتقارن بنفس الطريقة.

Reference :
https://www.php.net/manual/en/language.types.type-juggling.php

9 months, 2 weeks ago

اهم 50 سؤال ممكن يساعدوك لمقابلات العمل بأي وظفية متعلقة بال Cyber Security

9 months, 3 weeks ago

كتاب من شركة OWASP بيحكي وبيشرح عن ال Code Review وكيف منطبقو مع شرح لأشهر الثغرات بتطبيقات الويب اللي ممكن تلاقيها.

10 months ago

مقالي الاخير على منصة medium جمعت فيه اغلب الطرق و التقنيات المستعملة بثغرات ال Web Cache.

يارب يعجبكن الشرح و لاتنسوا اللايك و المتابعة من جوا :)

https://anasbetis023.medium.com/dont-trust-the-cache-exposing-web-cache-poisoning-and-deception-vulnerabilities-3a829f221f52

Medium

Don’t Trust the Cache: Exposing Web Cache Poisoning and Deception vulnerabilities

Good Day!

مقالي الاخير على منصة medium جمعت فيه اغلب الطرق و التقنيات المستعملة بثغرات ال Web Cache.
10 months ago

كيف عم يتم استخدام ال css بعمليات الإختراق؟

-بفرض عندك صفحة فيها input مخفي فيو قيمة token معينة بتسمح للمستخدم يعمل action معين، وكان الموقع مصاب بثغرة css injection يعني انا كمهاجم بقدر افتح style و اكتب css بالموقع.

المهاجم هون بيكتب كم سطر css بحيث يسرق قيمة هي ال token و يبعتها للسيرفر اللي هو متحكم فيه. مثال بسيط

فيديو نزل من فترة عاليوتيوب بيشرح هالشي بالتفصيل:

https://youtu.be/3WjDnnmLlKo?si=3A9D4YX9TpfqoFrP

YouTube

Gareth Heyes – Blind CSS Exfiltration: Stealing user data from unknown web pages via CSS

This talk delves into a new hacking attack class of Blind CSS Exfiltration! A method to extract data using pure CSS from unknown web pages even when executing scripts is not an option due to strict Content Security Policy (CSP) or sanitization mechanisms…

10 months ago

مجموعة من اصدقائي كانو عم يشتغلو على لعبة desktop بتشتغل عاللينكس و الماك و الويندوز، انا جربتها من فترة واللعبة كتير حلوة.

Elder's Will
?هي لعبة حاسب 2d من تطوير فريق سوري.

? قصة اللعبة: وجود أب وابنه يتعرضان لحادث سيارة يؤدي لإصابة الأب والابن، يصبح الأب يمشي باستخدام العكازات وسيجتاز مهام اللعبة للحصول على علاج لابنه.

شاهد الترايلر على يوتيوب:
https://youtu.be/XjLrlsiS0nA?si=nreDgi1nJZ_dGftm

?بفضل الله بعد جهد كبير تم رفع الديمو المجاني على منصة ستيم .

? نحن Rovln فريق صغير بس شغوف, ورح نكون مبسوطين كتير بآرآئكم عن الديمو. قولولنا شو رأيكن ⬇️
https://store.steampowered.com/app/2733550/Elders_Will/

? لمعلومات أكتر عن Elder's Will زوروا موقعنا ⬇️
https://rovln.crd.co/

? تابع صفحتنا الرسمية عالفيسبوك لحتى تعرف كل شي جديد عن Elder's Will ⬇️
https://www.facebook.com/Rovln

? اشترك بقناتنا على يوتيوب⬇️
https://youtube.com/@RovlnCompany

#2dPlatformer #IndieGame #2dGame #Demo #Combat #EldersWill #Rovln

YouTube

Elder's Will - Announcement Trailer

Elder's Will is an upcoming action-adventure 2D platformer about a father fueled by love and unwavering resolve determined to save his son. After a devastating car crash, his son clings to life, and only a rare cure holds the key to his recovery. Try the…

10 months, 1 week ago
مع تطور الذكاء الصنعي لليوم عم …

مع تطور الذكاء الصنعي لليوم عم يطلع شي اسمو LLM PROMPT HACKING؛ LLM هي اختصار ل Large language Models وهيي أنظمة ذكاء أبرز الأمثلة عليها اليوم هو ChatGPT.

عملية الهجوم بتكون انو تقدر تكتب prompt بحيث تخدع او ت trick تطبيقات ال LLM لحتى تولد نصوص تعتبر malicious او خبيثة ،متل انو تخليه يعطيك بيانات حساسة او تخليه يطالع نص مش كويس و ويولد نصوص بعكس الشي اللي تدرب عليه.

موقع portswigger عامل لابات جديدة عن LLM Hacking مشان تدرب عل prompt injection صراحة لسا ماشفتن ولا حليتن و ماقريت كتير عن الموضوع بس يبدو شي ظريف و حلو طالما اليوم الشعب كلو رايح عالذكاء.

https://portswigger.net/web-security/llm-attacks

We recommend to visit

- القناة الرسمية على التيليجرام استمتعو بالمشاهده ? ♥️ .

•┊اقتباسات ? •
•┊رمزيات ?
•┊فيديوهات ?

- @xxzbot // ? بوت تنزيل ستوريات انستا -

- @zzxzz // ? لـ التمويل -

Last updated 1 year, 8 months ago

- القناة الرسمية على التيليجرام استمتعو بالمشاهده ? ♥️ .

•┊فيديوهات ? •
•┊رمزيات ?
•┊اختصارات ?

- @zezbot // ?بوت زخرفه -

- @zzxzz // ? لـ التمويل -

Last updated 1 year, 8 months ago

- بوت تحميل من الأنستا ومن جميع مواقع التواصل الإجتماعي: ✅ .

- بوت التحميل من التيك توك: @EEEBOT

- بوت التحميل من الأنستا: @xxzbot

- بوت التحميل من اليوتيوب: @EMEBOT

- ? ? .

- للتمويل: @NNEEN

Last updated 1 year, 8 months ago