Olivia
Online
الحمدلله حصلت على أول CVE لي:
CVE-2026-32856
تم اكتشاف الثغرة بالتعاون مع @Dr_kasbr
بإذن الله القادم أفضل.
@Who_Ami77 فنانن 🫡
@7xs_h فيه تلريون طريقه انك تخترق حساب عن طريق fishing او leaks او ممكن سحب الحساب من الدعم الفني لو تبحث بتحصل طرق واجد مو شرط يكون الضحيه عندك وتقعد تشبك باجهزته
@Omarzzu ما شاء الله، مبدععع🫡🫡
https://t.co/YU0vDtMYme
@hwwh الله يبارك فيك❤️❤️
@gostyy8 الله يبارك فيكك🫡🫡
@reouii Thx🫡
@Avv168 الله يبارك فيك🫡🫡
@abdalla_ib 🫡 الله يبارك فيك
قبل فترة جربت شيء غريب شوي…
قلت خلني أخلي AI يسوي اختبار اختراق للكود حقي بدل ما أستخدم scanners المعتادة.
النتيجة؟ طلع ثغرات ما كنت منتبه لها.
تابع الثريد ووريكم كيف سويتها 👇🏻
@al0dan اشكرك على الفكرة 🫡🫡
كيف قدرنا نكتشف ثغرة؟
🔴Chaining Fortinet WAF Bypass and Microservice Architecture Exploitation to Compromise 6+ Internal Domains
With @Mohnad @stuipds
مساكم الله بالخير جميعا , مقالة اليوم عن استغلال عدة ثغرات وصلنا من خلاله بتحكم كامل على احد اكبر الشركات
- بيانات +40 ألف موظف وشركات متعاقدة (بكامل التفاصيل)
- فصل أي موظف وإغلاق بصمة الوجه وبطاقات الدخول للفروع
- Fortinet WAF bypass through path Confusion
- Microservice Compromise Lateral Movement to 10+ Internal Domains
# البداية
في بداية فحصنا طلعنا عدة ثغرات، وبعد وقت من الفحص صادفنا Error
والواضح من الخطأ إنه قاعد يستقبل الـ username كبراميتر ويحطه بالـ URL path الى Internal domain
فالي قاعد يصير إنه يستقبل المدخل من المستخدم،
والـ front-end API يرسل طلب
والـ back-end API يأخذ القيمة ويحطه بالمسار، ومن خلاله يرجّع معلومات المستخدم.
وبديهي أول سؤال بيجي ببالك هل ممكن نشوف معلومات شخص آخر؟
والإجابة ايه بمجرد ما نسوي path traversal راح نتخطى عملية التحقق الي تكون من ال front-end API ونجيب معلومات أي مستخدم بشكل كامل
لكن هذا ما يهمنا، كان هدفنا الأساسي إننا نوصل إلى Internal domain
وبعد عدة محاولات، توصلنا إلى إننا نوصل إلى مسار داخلي ويحتوي على Swagger Documentation تحتوي على مسارات لأكثر من عملية.
ومن خلال المسارات اللي وصلنا لها، قدرنا نطلع ثغرات حرجة وكثيرة جدًا، مثل ما راح نستعرض لكم الحين (;
الحمدلله من قبل ومن بعد — تخطيت حاجز المليون ريال في منصة مكافآت الثغرات @BugBountySA
كانت رحلة مليئة بالتجارب والتحديات.
فخور بأن أكون جزءًا من الجهود الوطنية لحماية وتعزيز أمن الأصول والأنظمة الحيوية في المملكة.
شكر خاص للاتحاد السعودي للأمن السيبراني والبرمجة والدرونز @SAFCSP على تمكين الباحثين ودعم منظومة الأمن السيبراني في المملكة.
Reached SAR 1,000,000+ in rewards on https://t.co/79eQj3KM56 🎯
Hard work, persistence, and continuous learning deliver results.
On to the next million. 🚀
Last Seen Users on Sotwe
ruru ^_~☆ 
Seen from Thailand
My Everything
Seen from Vietnam
Ambedkar International Mission (AIM), Australia
Seen from Singapore
sungchann224__
Seen from Indonesia
Black Bull Vids
Seen from Turkey
bursaplayboyy
Seen from Netherlands
Bắc Giang fun
Seen from Vietnam
寸止めくん@第二世代
Seen from Korea
vk..ck.zâm..
Seen from Vietnam
อาจารย์ ขอกินน้ำหน่อย
Seen from Thailand
Most Popular Users
Elon Musk
@elonmusk
240.6M followers
Barack Obama
@barackobama
119.2M followers
Donald J. Trump
@realdonaldtrump
111.7M followers
Cristiano Ronaldo
@cristiano
110.5M followers
Narendra Modi
@narendramodi
107M followers
Rihanna
@rihanna
97.6M followers
NASA
@nasa
92.2M followers
Justin Bieber
@justinbieber
90.9M followers
KATY PERRY
@katyperry
87.6M followers
Taylor Swift
@taylorswift13
81.5M followers
Lady Gaga
@ladygaga
73M followers
Virat Kohli
@imvkohli
69.8M followers
Kim Kardashian
@kimkardashian
69.8M followers
YouTube
@youtube
68.7M followers
Bill Gates
@billgates
63.9M followers
Neymar Jr
@neymarjr
62.6M followers
The Ellen Show
@theellenshow
62.4M followers
CNN
@cnn
61.9M followers
X
@x
60.8M followers
Selena Gomez
@selenagomez
60.7M followers