30396
Vɪᴘ_Sᴇᴄᴜʀɪᴛʏ: - cyber security - bug bounty - red team - blue team -->ادمین اصلی : [ @VC0D3R ] -->سایت: [ https://VipSecurity.zone ] -->تبلیغات: [ @vipsecurityads ]
#اخبار #خبر
📌 کنفرانس NahamCon2025 Winter Edition قراره DEC 17 و 18 بصورت مجازی برگزار بشه.
ℹ️ یک کنفرانس مجازی کاملا رایگان که در برنامه twitch/YouTube قراره ارائه بشه
🗓 ارائه های روز اول ( 17 DEC | چهارشنبه 26 آذر )
🗓 ارائه های روز دوم ( 18 DEC |پنجشنبه 27 آذر ) .
💥 علاوه بر کنفرانس، CTF هم دارن که ازDEC 17 تا 18 برگزار میشه که مسابقه 24 ساعت هست و +3000$ جایزه داره .
🔗 https://www.nahamcon.com
حتما شرکت کنید چون کلی نکات و چیزای جدید یادمیگیرید مخصوصا باگ هانترا :) 🔥
📣 @Vip_Security
🌐 www.VipSecurity.zone
#اخبار #خبر #React2Shell
⚠️ آسیب پذیری بحرانی در RSC (React Server Component) با شناسه CVE-2025-55182 با نام React2Shell
❗️ امتیاز CVSS: ۱۰.۰ (بحرانی)
⚙️ پیچیدگی حمله: کم
🔒 امتیازات مورد نیاز: هیچ
ℹ️ تعامل با کاربر: هیچ
⚠️ میزان تأثیر: احتمال نفوذ کامل به سیستم
در ۲۹ نوامبر، Lachlan Davidson یک آسیبپذیری امنیتی در React گزارش داد که با سوءاستفاده از نقصی در نحوه رمزگشایی payload های ارسالی به اندپوینت های React Server Function، امکان اجرای کد از راه دور غیرمجاز را فراهم میکند.
حتی اگر برنامه شما هیچ اندپوینت React Server Function را پیادهسازی نکرده باشد، اگر برنامه شما از React Server Components پشتیبانی کند، ممکن است همچنان آسیبپذیر باشد.
❗️فریمورک هایی که RSC را به صورت پکیج ارائه میدهند، مانند:
Next.js (App Router + RSC)
افزونههای Vite RSC
ابزارهای Parcel RSC
RedwoodSDK Waku و غیره
- 19.0
- 19.1.0
- 19.1.1
- 19.2.0
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
🔴منبعی معتبر برای یادگیری امنیت اطلاعات 🤩
از اصول پایه تا تکنیکهای پیشرفته تست نفوذ و تحلیل بدافزار🤩
با تأکید بر روشهای قانونی و اخلاقی 🤩
همراه شما در بهبود دفاع سازمانی🦇🦇💀
🤩 /channel/addlist/CCXRIUz86blkM2M0 🤩
#اخبار #خبر
⚠️ آسیب پذیری بحرانی در جنگو
❗️ آسیب پذیری بحرانی با شناسه ی CVE-2025-64459 و با امتیاز 9.1 و از نوع SQLi در جنگو (Django) گزارش و اصلاح شده.
📌 نسخه های در حال پشتیبانی که تحت تاثیر هستن (نسخه های قدیمی و فاقد پشتیبانی هم احتمالا تحت تاثیر هستن):
6.0 (currently at beta status)
5.2, 5.1
4.2
Django 5.2.8
Django 5.1.14
Django 4.2.26
‼️ آسیبپذیری 0-Click واتساپ با استفاده از فایل DNG مخرب , مورد سوءاستفاده قرار گرفت
📌 آسیبپذیری اجرای کد از راه دور (RCE) واتساپ که پلتفرمهای iOS، macOS و iPadOS اپل را تحت تأثیر قرار میدهد، به همراه یک poc، به تفصیل شرح داده شده است.
📌 زنجیره حمله از دو آسیبپذیری مجزا، که با نامهای CVE-2025-55177 و CVE-2025-43300 شناسایی شدهاند، برای به خطر انداختن یک دستگاه هدف بدون نیاز به تعامل کاربر سوءاستفاده میکند.
📌 این سوءاستفاده که در یک (PoC) نشان داده شده است، با ارسال یک فایل تصویری مخرب (DNG) ساخته شده به طور خاص به حساب واتساپ قربانی آغاز میشود.
📌 به عنوان یک حمله "zero-click"، این آسیبپذیری به طور خودکار پس از دریافت پیام مخرب فعال میشود و آن را به ویژه خطرناک میکند زیرا قربانیان هیچ فرصتی برای جلوگیری از به خطر افتادن ندارند.
📣 @Vip_Security
🌐 www.VipSecurity.zone
#اخبار #خبر
⚠️ بزرگترین حمله ی زنجیره تامین در تاریخ
❗️ هکرها بعد از نفوذ به حساب یک نگه دارنده (Maintainer) پکیج از طریق فیشینگ، بدافزار رو در پکیج های NPM تزریق کردن. این پکیج ها در مجموع بیش از ۲.۶ میلیارد بار در هفته دانلود میشن.
📌 نگه دارندهای که حسابش هک شده، تأیید کرده که ایمیل فیشینگ از
support[at]npmjs[dot]help
اومده، سایتی که وانمود میکرد دامنهی رسمی npmjs.com هستش.
❓ در این ایمیل فیشینگ اومده: بعنوان بخشی از تعهد مداوم ما به امنیت حساب کاربری، از همه کاربران درخواست میکنیم که اعتبارنامه های احراز هویت دو مرحلهای (2FA) خودشون رو بروزرسانی کنن. سوابق ما نشون میده که بیش از 12 ماه از آخرین بروزرسانی 2FA شما میگذره. برای حفظ امنیت و یکپارچگی حساب کاربری خودتون، لطفاً این بروزرسانی رو در اسرع وقت انجام بدید. لطفاً توجه داشته باشید که حسابهای کاربری با اعتبارنامههای 2FA قدیمی، از 10 سپتامبر 2025 بطور موقت قفل خواهند شد تا از دسترسی غیرمجاز جلوگیری بشه.
📌 هکرها علاوه بر این نگهدارنده، سایر توسعهدهندگان رو هم با همین ایمیل هدف قرار دادن.
📌 بررسی ها نشان داد که سایت جعلی npmjs[.]help یک فرم ورود داشته که اطلاعات کاربری وارد شده رو به آدرس زیر ارسال میکرده:
https://websocket-api2[.]publicvm.com/images/jpg-to-png.php?name=[name]&pass=[password]
تیم NPM پس از کشف حادثه، برخی نسخه های مخرب (از جمله نسخهی آلودهی پکیج debug که به تنهایی بیش از ۳۵۷ میلیون بار در هفته دانلود میشه) رو حذف کرد.
طبق گزارش Aikido Security که این حمله زنجیره تأمین رو آنالیز کرده، هکرها بعد از تصاحب حسابها، کد مخرب رو به فایلهای index.js اضافه کردن. این کد مثل یک Interceptor مبتنی بر مرورگر عمل میکنه و قادر هستش ترافیک شبکه و API ها رو شنود و تغییر بده.
کد مخرب تنها کاربرانی رو تحت تأثیر قرار میده که از طریق وب به برنامه های آلوده دسترسی پیدا میکنن. این کد با مانیتور کردن آدرسها و تراکنشهای رمزارز، اونارو به کیف پولهای هکرها تغییر مسیر میده. در نتیجه، تراکنش بجای ارسال به آدرس اصلی، توسط هکرها دزدیده میشه.
بدافزار با تزریق خودش به مرورگر وب عمل میکنه و آدرسها یا انتقالهای مربوط به کیف پولهای اتریوم، بیتکوین، سولانا، ترون، لایتکوین و بیتکوینکش رو مانیتور میکنه. هنگام دریافت پاسخهای شبکه که شامل تراکنشهای رمزارز هستن، مقصد تراکنش رو با آدرسهای هکرها جایگزین میکنه و تراکنشها رو پیش از امضا میدزده.
پکیج هایی که تاکنون هک و آلوده شدن در مجموع بیش از ۲.۶ میلیارد دانلود هفتگی دارن:
❗️ backslash (0.26m downloads per week)
❗️ chalk-template (3.9m downloads per week)
❗️ supports-hyperlinks (19.2m downloads per week)
❗️ has-ansi (12.1m downloads per week)
❗️ simple-swizzle (26.26m downloads per week)
color-string (27.48m downloads per week)
❗️ error-ex (47.17m downloads per week)
❗️ color-name (191.71m downloads per week)
is-arrayish (73.8m downloads per week)
❗️ slice-ansi (59.8m downloads per week)
❗️ color-convert (193.5m downloads per week)
❗️ wrap-ansi (197.99m downloads per week)
❗️ ansi-regex (243.64m downloads per week)
❗️ supports-color (287.1m downloads per week)
❗️ strip-ansi (261.17m downloads per week)
❗️ chalk (299.99m downloads per week)
❗️ debug (357.6m downloads per week)
❗️ ansi-styles (371.41m downloads per week)
#اخبار #خبر
⚠️ گوگل این هفته به عنوان بخشی از مجموعه patch اندروید سپتامبر ۲۰۲۵، اصلاحاتی را برای مجموع ۱۱۱ آسیبپذیری CVE منحصر به فرد، از جمله آسیبپذیریهای روز صفر مورد سوءاستفاده، منتشر کرد.
📌 این آسیبپذیریهای مورد سوءاستفاده، که هر دو از نوع اprivilege escalation هستند، بر Runtime اندروید (CVE-2025-48543) و هسته لینوکس (CVE-2025-38352) تأثیر میگذارند.
📌 در توصیهنامه گوگل آمده است: «نشانههایی وجود دارد که موارد زیر ممکن است تحت سوءاستفاده محدود و هدفمند قرار گرفته باشند: CVE-2025-38352، CVE-2025-48543».
📌 رفع اشکال هسته لینوکس، یک وضعیت رقابتی مربوط به مدیریت تایمرهای پردازنده POSIX، در ماه ژوئیه اعلام شد و به نظر میرسد که همه توزیعهای اصلی patch شدهاند.
📌 در حالی که هیچ گزارشی از سوءاستفاده از این آسیبپذیری قبل از هشدار جدید گوگل وجود ندارد، اما توسط بنوا سون (Benoît Sevens) از گروه Threat Analysis گوگل (TAG) گزارش شده است، که نشان میدهد ممکن است در حملات جاسوسی مورد سوءاستفاده قرار گرفته باشد.
📌 در توصیهنامهی گوگل، جزئیاتی در مورد نقص امنیتی Android Runtime ارائه نشده است، به جز تأثیر آن بر نسخههای ۱۳، ۱۴، ۱۵ و ۱۶ پروژهی متنباز اندروید (AOSP).
❗️ آسیبپذیری روز صفر Android Runtime به عنوان بخشی از patch امنیتی 2025-09-01 برطرف شده است که 58 اشکال دیگر را در Framework، System و Widevine DRM برطرف میکند.
‼️ گوگل هشدار میدهد که شدیدترین این موارد، یک نقص اجرای کد از راه دور (RCE) با شدت بحرانی در System component (CVE-2025-48539) است که میتواند بدون نیاز به privilege اضافی مورد سوءاستفاده قرار گیرد.
📣 @Vip_Security
🌐 www.VipSecurity.zone
🏷️ عضویت = دسترسی به کلی کانال کاربردی.فقط یه کلیک کافیه!
🔸/channel/addlist/tol7VV26jFIxZWQ0
💎 قیمت این کانال : 20000000 تومان 💎
👈 عضو نشدن در این کانال مساوی از دست رفتن 2000 پکیج پولی 🔥
/channel/+xwe8_cz1Cew0NWZh
📌 ریپو بسیار کاربردی که اسلاید های مربوط به کنفرانس های مربوط به امنیت سایبری رو قرار داده.
✔️ اسلاید های black hat USA 2025 هم تو ریپو هست
https://github.com/onhexgroup/Conference
📣 @Vip_Security
🌐 www.VipSecurity.zone
🔗دوستان امشب به مناسبت تولد ادمین⬇️ ورود به کانال های (VIP) تلگرام رایــ❄️ــگان شد.💯
ظرفیت محدود سریع عضو شو📰
🔗دوستان امشب به مناسبت تولد ادمین⬇️ ورود به کانال های (VIP) تلگرام رایــ❄️ــگان شد.💯
ظرفیت محدود سریع عضو شو📰
📌 پروگرم Vercel (شرکت سازنده فریمورک Next Js ) برای بایپس WAF خودشون واسه آسیب پذیری React2Shell برنامه بانتی راه انداختن که تا ۵۰ هزار دلار بانتی میدن حتما چک کنید
🔗 https://hackerone.com/vercel_platform_protection?type=team
📣 @Vip_Security
🌐 www.VipSecurity.zone
🗿تو هنوز رمز وایفای رو از مامانت میگیری؟ 😒
وقتشه خودت استاد امنیت سایبری بشی!🙏
👩💻 ما اینجا یاد میدیم چطوری مثل یه هکر واقعی فکر کنی، ولی مثل یه قهرمان رفتار کنی! 👻
از هک اخلاقی و تست نفوذ گرفته تا ابزارهای خفن و ترفندهای باحال همه چی هست، جز خلاف 😎
📲 عضو شو، حرفهای شو، و بذار بقیه فکر کنن جادو بلدی!🦇/channel/addlist/g2mxrg0RPCtjNTU8
🔴منبعی معتبر برای یادگیری امنیت اطلاعات 🤩
از اصول پایه تا تکنیکهای پیشرفته تست نفوذ و تحلیل بدافزار🤩
با تأکید بر روشهای قانونی و اخلاقی 🤩
همراه شما در بهبود دفاع سازمانی🦇🦇💀
🤩 /channel/addlist/CCXRIUz86blkM2M0 🤩
🚨لیست بروز چنل های هک و امنیت 🚨
🔴 اختصاصی ترین دوره های هک و امنیت👇
@secsnap🤩
سرور های کرکی و قانونی 👇
@VPSfarsi🤩
پنتست وب 👇
@secabuser3🤩
تحلیل آسیب پذیری 👇
@skull_memories🤩
اموزش رد تیم👇
@RedTeamVillageRtv🤩
ابزار و دوره های اوسینت👇
@OsintGit🤩
کتابخانه و دوره های امنیت و تست نفوذ👇
@LibrarySecOfficial🤩
آموزش باگ بانتی و منابع آن👇
@BackupLso🤩
ابزارهای هک وای فای / گوشی👇
@Ripper_sec🤩
شبیه سازی حملات ردتیم و APT👇
@DarkBitx🤩
هوش مصنوعی و یادگیری ماشین👇
@ai_pack🤩
دوره های اموزشی از صفر تا صد 👇
@PACK_OMEGA🤩
آموزش های Red Team و باگ بانتی👇
@Vip_Security🤩
پک رایگان برنامه نویسی،شبکه و امنیت👇
@P4_ir🤩
تیم نوب هکر 👇
@Noobhackers_tim🤩
رابرت بیا هکر شو 👇
@mandegar_sec🤩
🔴سرور مجازی رایگان 👇
@VPSfarsi🤩
فیلتر شکن با قیمت مناسب 👇
@nickavpn🤩
دیتا ساینس و شبکه های مخابراتی👇
@AMISEFSTUDIO🤩
شبکه های کامپیوتری👇
@network_secsnap🤩
🔴مهندسی معکوس پهباد
@secsnap🤩
🚨لیست بروز چنل های هک و امنیت 🚨
🔴 اختصاصی ترین دوره های هک و امنیت👇
@secsnap🤩
سرور های کرکی و قانونی 👇
@VPSfarsi🤩
پنتست وب 👇
@secabuser3🤩
تحلیل آسیب پذیری 👇
@skull_memories🤩
اموزش رد تیم👇
@RedTeamVillageRtv🤩
ابزار و دوره های اوسینت👇
@OsintGit🤩
کتابخانه و دوره های امنیت و تست نفوذ👇
@LibrarySecOfficial🤩
آموزش باگ بانتی و منابع آن👇
@BackupLso🤩
ابزارهای هک وای فای / گوشی👇
@Ripper_sec🤩
شبیه سازی حملات ردتیم و APT👇
@DarkBitx🤩
هوش مصنوعی و یادگیری ماشین👇
@ai_pack🤩
آموزش های Red Team و باگ بانتی👇
@Vip_Security🤩
پک رایگان برنامه نویسی،شبکه و امنیت👇
@P4_ir🤩
رابرت بیا هکر شو 👇
@mandegar_sec🤩
🔴سرور مجازی رایگان 👇
@VPSfarsi🤩
فیلتر شکن با قیمت مناسب 👇
@nickavpn🤩
دیتا ساینس و شبکه های مخابراتی👇
@AMISEFSTUDIO🤩
شبکه های کامپیوتری👇
@network_secsnap🤩
🔴مهندسی معکوس پهباد
@secsnap🤩
🗿تو هنوز رمز وایفای رو از مامانت میگیری؟ 😒
وقتشه خودت استاد امنیت سایبری بشی!🙏
🤩. /channel/addlist/JJT_nixUJPxjZGQ0
👩💻 ما اینجا یاد میدیم چطوری مثل یه هکر واقعی فکر کنی، ولی مثل یه قهرمان رفتار کنی! 👻
از هک اخلاقی و تست نفوذ گرفته تا ابزارهای خفن و ترفندهای باحال همه چی هست، جز خلاف 😎
📲 عضو شو، حرفهای شو، و بذار بقیه فکر کنن جادو بلدی!🦇
#اخبار #خبر
‼️ آسیب پذیری RCE در برنامه Notepad ++
📌 یک آسیبپذیری تازه کشفشدهی hijacking DLL در Notepad++، میتواند به مهاجمان اجازه دهد کد دلخواه را روی دستگاه قربانی اجرا کنند. این نقص که با شناسهی CVE-2025-56383 ردیابی میشود، در نسخه ۸.۸.۳ وجود دارد و بهطور بالقوه بر تمام نسخههای نصبشدهی این نرمافزار تأثیر میگذارد و میلیونها کاربر را در معرض خطر قرار میدهد. این آسیبپذیری به یک مهاجم محلی اجازه میدهد تا با قرار دادن یک فایل DLL مخرب در مکانی که برنامه آن را بارگذاری میکند، به اجرای کد دست یابد. این نوع حمله، یکپارچگی برنامه را تضعیف میکند و میتواند برای ایجاد پایداری یا افزایش امتیازات در یک سیستم آسیبدیده مورد استفاده قرار گیرد.
📣 @Vip_Security
🌐 www.VipSecurity.zone
💢 کانال رسمی یوتیوبی Vip Security
دوستان عزیز کانال یوتیوبی مارو ساب اسکرایب (Subscribe ) کنید ، خیلی از ویدئو ها مخصوص کانال یوتیوبی ما هست و در کانال و سایت قرار داده نمیشه، منتظر ویدئو های بسیار جذاب در کانال یوتیوبی ما باشید....
❌ فراموش نکنید حتما ساب اسکرایب کنید و زنگوله رو هم فعال کنید تا از قرار گیری ویدئو های جدید مطلع شوید
✅ https://www.youtube.com/channel/UCV9jbDCxVqEterQZOTbn5Hg
📌 شماره 72، نشریه ی Phrack، بصورت آنلاین از این لینک قابل دسترس هستش.
❓ مجله Phrack یکی از قدیمیترین و معروفترین مجلههای هکری دنیاست. از سال ۱۹۸۵ منتشر شده و موضوعاتش بیشتر دربارهی هک، امنیت، شبکه، اکسپلویتنویسی و فرهنگ هکریه. همیشه به صورت رایگان روی اینترنت منتشر میشه و شمارههاش بیشتر به شکل فایلهای متنی ساده هستن.
🙂 خیلی از تکنیکهای معروف هک برای اولین بار توی همین مجله معرفی شدن و به همین دلیل بین هکرها یه جور کتاب مقدس هکری حساب میشه.
📣 @Vip_Security
🌐 www.VipSecurity.zone
📑 به پاس حمایت های فراوان شما دوستان عزیز کانال های (VIP) تلگرام رایــــگان شد.👇👇
📰عضو شو ظرفیت محدوده📰
✈️Link VIP : /channel/addlist/tol7VV26jFIxZWQ0
➕این فرصت استثنائی رو از دست نده
ورود به چنل VIP 👇
ورود چنل VIP سیگنال های رایگان.
گروه پرسش و پاسخ در مورد تست و نفوذ 🛡
قوانین رعایت بشه ( در bio گروه درج شده )‼️
جوین بدید 👇🏿
@Vip_SecurityGP
به مناسبت ۲ ساله شدن عمر چنلمون چنل vip که قیمت یک میلیون هست به ۱۰ نفر اول رایگان میدیم و بعد از ۱۰ نفر به طور خودکار لینک باطل میشه جوین بدین👇👇👇
/channel/+xBGx0GnMbV1iNDUx
/channel/+xBGx0GnMbV1iNDUx
#تبلیغ_نیست
💎 قیمت این کانال : 20000000 تومان 💎
👈 عضو نشدن در این کانال مساوی از دست رفتن 2000 پکیج پولی 🔥
/channel/+MNxO9u_zSnk2ZTUx