ar
Feedback
BlueRever (Main)

BlueRever (Main)

الذهاب إلى القناة على Telegram

Waterfall of technical knowledge

إظهار المزيد
1 834
المشتركون
-124 ساعات
+27 أيام
+230 أيام
أرشيف المشاركات
هنا يتدخل علم البيانات (Data Science). بينما ينظر CVSS إلى الخطورة التقنية، ينظر EPSS إلى "الاحتمالية المستقبلية" بناءً على نماذج التعلم الآلي. - الآلية: يحلل النظام بيانات التهديدات الحالية، ونشاط الويب المظلم، ونوع الثغرة، ليخرج بنسبة مئوية (مثلاً 85%). - المعنى: تعني النسبة أن هناك احتمالية 85% أن يقوم المهاجمون بتطوير أداة لاستغلال هذه الثغرة خلال الـ 30 يوماً القادمة. هذا يساعد المؤسسات الضخمة على إدارة ترقيع آلاف الأجهزة بذكاء، والبدء بالأكثر عرضة للاستهداف أولاً. تاسعاً وعاشراً: إثبات المفهوم (PoC) مقابل كود الاستغلال (Exploit) يخلط الكثيرون بين المصطلحين، لكن الفرق التقني شاسع: - إثبات المفهوم (PoC): هو كود يكتبه باحث أمني لإثبات أن الثغرة موجودة فعلاً. غالباً ما يكون كوداً غير ضار، مهمته فقط إحداث خلل بسيط أو إظهار رسالة تفيد بإمكانية الوصول. هدفه تنبيه الشركات لإصلاح الخلل. - كود الاستغلال (Exploit): هو تسليح للثغرة (Weaponization). يتم كتابته من قبل مهاجمين أو فرق اختبار الاختراق المتقدمة (Red Teams) بهدف اختراق النظام فعلياً، كالحصول على جلسة تحكم عن بعد (Reverse Shell) أو استخراج قواعد البيانات. --- خريطة توضيحية لتدفق المعلومات (دورة حياة الثغرة): [المطور يرتكب خطأ برمجي] -> يُصنف كـ (CWE) | [يتم اكتشاف الخطأ في برنامج معين] -> يُمنح معرف (CVE) ويُحدد المنتج المتأثر بـ (CPE) | [تُحلل الثغرة رسمياً] -> تُدرج في (NVD) وتُمنح درجة خطورة (CVSS) | [الباحثون يدرسون الثغرة] -> يتم نشر كود مبدئي (PoC) | [نماذج الذكاء الاصطناعي تحلل الموقف] -> تُمنح الثغرة نسبة توقع هجوم (EPSS) | [المهاجمون يطورون سلاحاً] -> يتحول الـ PoC إلى (Exploit) باستخدام أساليب (CAPEC) | [رصد هجمات حقيقية في العالم] -> تُدرج الثغرة فوراً في قائمة الطوارئ (KEV) --- خلاصة تطبيقية للقراءة التحليلية: عندما تستلم تقريراً عن ثغرة وتجد البيانات التالية: - ID: CVE-2024-1234 - CVSS: 9.8 (Critical) - EPSS: 2% - KEV: False التحليل الأمني الصحيح: هذه الثغرة خطيرة جداً من الناحية التقنية (9.8) ويمكن استغلالها بسهولة وعن بعد. ولكن، نماذج التهديد تشير إلى أن احتمالية استغلالها من قبل المهاجمين حالياً منخفضة جداً (2%)، ولم يتم رصد أي هجوم حقيقي يستخدمها حتى الآن (KEV: False). لذلك، يجب ترقيعها بالتأكيد، ولكن يمكن جدولتها ضمن خطة التحديثات الأسبوعية، ولا تستدعي إيقاف خوادم الشركة لإجراء ترقيع طارئ في منتصف الليل. الفهم الدقيق لهذه المصطلحات هو ما يفصل بين الإدارة العشوائية للثغرات، وبين إدارة المخاطر المبنية على الاستخبارات الدقيقة.

عند تحليل أي تقرير استخبارات تهديدات (Threat Intelligence) أو نشرة أمنية، ستواجه سلسلة من الاختصارات المتداخلة. بالنسبة للمبتدئين، قد تبدو وكأنها مرادفات لشيء واحد، ولكن في العمليات الأمنية (SecOps)، كل اختصار يمثل بُعداً مختلفاً تماماً في دورة حياة الثغرة وطريقة التعامل معها. في هذا المقال التفصيلي، سنفكك هذه المفاهيم ونشرح الروابط التقنية بينها. أولاً: المعرف الموحد للثغرة (CVE) Common Vulnerabilities and Exposures لا يعتبر الـ CVE مقياساً للخطورة، بل هو مجرد "فهرس" أو بطاقة هوية موحدة. تدير هذا النظام مؤسسة MITRE بالتعاون مع جهات مرجعية تُعرف باسم (CNAs). - الهدف الأساسي: توحيد لغة التخاطب بين الباحثين، وأدوات الفحص، ومطوري الأنظمة. - الهيكلة: يتكون المعرف من السنة المكتشفة فيها الثغرة ورقم تسلسلي، مثل: CVE-2023-26324. - المفهوم التقني: وجود رقم CVE يعني فقط أن هناك ثغرة تم الاعتراف بها رسمياً، لكنه لا يقدم أي تفاصيل تقنية حول كيفية الترقيع أو الاستغلال. ثانياً: النظام العالمي لتقييم الخطورة (CVSS) Common Vulnerability Scoring System بمجرد تعريف الثغرة، يجب قياس تأثيرها. هنا يتدخل نظام CVSS ليقدم تقييماً رقمياً من 0.0 إلى 10.0. ولكن هذا الرقم لا يأتي من فراغ، بل يُحسب بناءً على معايير دقيقة تُسمى (Metrics)، أهمها: - موجه الهجوم (Attack Vector): هل الثغرة تتطلب وصولاً محلياً للجهاز أم يمكن استغلالها عبر الشبكة؟ - التعقيد (Attack Complexity): هل استغلال الثغرة سهل أم يتطلب ظروفاً استثنائية؟ - الصلاحيات (Privileges Required): هل يحتاج المهاجم إلى حساب مستخدم عادي أم يمكنه الهجوم دون أي صلاحيات؟ - تفاعل المستخدم (User Interaction): هل يتطلب الأمر أن يضغط الضحية على رابط ليتم الهجوم؟ - التأثير (CIA Triad): ما هو حجم الضرر الواقع على (السرية، السلامة، والتوافر). ثالثاً: القاموس المشترك لنقاط الضعف (CWE) Common Weakness Enumeration الفرق الجوهري بين CVE و CWE هو أن الأول يشير إلى "الحادثة"، بينما الثاني يشير إلى "السبب الجذري" أو الخطأ البرمجي الذي أدى للحادثة. - التفاصيل التقنية: يمثل CWE شجرة ضخمة من الأخطاء البرمجية والمعمارية. - مثال عملي: الإخفاق في التحقق من مدخلات المستخدم هو ضعف برمجي يحمل الرقم CWE-89. هذا الضعف الواحد قد يتسبب في ظهور آلاف الثغرات الفردية (CVEs) في برامج مختلفة على مستوى العالم، والتي تُعرف لاحقاً باسم حقن قواعد البيانات (SQL Injection). رابعاً: تصنيف أنماط الهجوم (CAPEC) Common Attack Pattern Enumeration and Classification إذا كان CWE يركز على "أخطاء المطورين"، فإن CAPEC يركز حصرياً على "عقلية المهاجمين". - المفهوم: يوثق هذا النظام المنهجيات والتقنيات التي يستخدمها المخترقون لاستغلال نقاط الضعف (CWE). - الأهمية: يساعد فرق الفريق الأزرق (Blue Teams) في بناء قواعد اكتشاف (Detection Rules) وفهم كيف سيتم استغلال الثغرة في بيئة حقيقية، ويتقاطع بشكل كبير مع إطار عمل MITRE ATT&CK. خامساً: التعداد المشترك للمنصات (CPE) Common Platform Enumeration تكمن أهمية CPE في الأتمتة. أدوات فحص الثغرات (مثل Nessus أو Qualys) لا تقرأ أسماء البرامج كما يقرؤها البشر، بل تبحث عن سلسلة نصية معيارية تحدد بدقة: (المُصنّع، المنتج، والإصدار). - الهيكلة المعيارية تبدو هكذا: cpe:2.3:a:apache:http_server:2.4.58 - هذا السطر يخبر الماسح الأمني بالبحث عن خوادم أباتشي بنسخة محددة، ومطابقتها مع قائمة الثغرات المعروفة. سادساً: قاعدة البيانات الوطنية للثغرات (NVD) National Vulnerability Database هي المستودع الحكومي الأمريكي (بإدارة NIST) الذي يجمع كل ما سبق. - دورها: NVD تأخذ المعرف الأساسي (CVE) وتقوم بإثرائه بالبيانات. حيث تضيف إليه تقييم الخطورة (CVSS)، وتربطه بالمنتجات المتأثرة (CPE)، والضعف البرمجي (CWE). تعتبر هذه القاعدة المحرك الأساسي لمعظم أنظمة الحماية التجارية. سابعاً: الثغرات المستغلة فعلياً (CISA KEV) Known Exploited Vulnerabilities تمثل هذه القائمة الكابوس الحقيقي لمديري الأنظمة. تديرها وكالة الأمن السيبراني الأمريكية (CISA). - المفهوم: هناك ملايين الثغرات، لكن نسبة صغيرة منها فقط يتم استغلالها من قبل عصابات الفدية أو المجموعات المدعومة من الدول (APT). - الأهمية: إذا ظهرت الثغرة في قائمة KEV، فهذا يعني أن هناك هجمات فعلية ونشطة تحدث الآن باستخدامها. هنا تسقط جميع الحسابات الأخرى، وتصبح هذه الثغرة أولوية قصوى للترقيع الفوري متجاوزة أي ثغرات أخرى حتى وإن كانت تحمل تقييم CVSS أعلى. ثامناً: نظام توقع احتمالية الاستغلال (EPSS) Exploit Prediction Scoring System

### 🚀 اقتحم عالم الأمن السيبراني المتقدم مع BlueStore! 💻🛡️ هل تبحث عن القوة، الدقة، والأدوات التي لا تتوفر للجميع؟ BlueStore يفتح لك الأبواب للحصول على أحدث البرمجيات والبيانات بأفضل الأسعار في السوق! 💎 لماذا تختار BlueStore؟أدوات حصرية: من أدوات التحكم عن بُعد (RATs) إلى برمجيات الاستغلال المتقدمة. ✅ قواعد بيانات ضخمة: وصول إلى بيانات مسربة ومحدثة (Global Databases). ✅ دورات احترافية: تعلم الـ Black Hat، الـ Bug Bounty، وهندسة البرمجيات العكسية. ✅ أسعار تنافسية: تبدأ خدماتنا من 0.30$ فقط! --- ### 🔥 أبرز منتجاتنا الحالية: 🤖 BlueBot - العميل الذكي (AI-Agent): أول عميل ذكي بقدرات برمجية للتحكم وتوزيع الأدوات بشكل آلي بالكامل! 🌑 📡 أدوات التحكم المتقدمة (RATs): *   CraxRat: الأداة الأقوى بـ 6$ فقط! *   VenomRat: للتحكم الكامل في أنظمة ويندوز. *   G700 Rat: يدعم أحدث إصدارات أندرويد (Android 13). 📊 قواعد بيانات (Databases): *   قواعد بيانات تيك توك وتلجرام المسربة 2025. *   قواعد بيانات T-Mobile وشركات عالمية. *   قوائم (Combo Lists) ضخمة لعمليات الفحص. 🎓 الأكاديمية التعليمية: *   دورة الهكر الأخلاقي الشاملة (Black Hat). *   دورة اختراق شبكات الـ SS7. *   أساسيات الهندسة العكسية. --- ### ✨ عروض خاصة: ⚠️ Eagle Rat: متاح الآن مع الكود المصدري (Source Code) لضمان الأمان والخصوصية الكاملة! ⚠️ Combo Lists: احصل على 10 ملفات ضخمة بـ 3$ فقط! --- 🔗 تصفح المتجر الآن واكتشف المزيد: https://c2bluevenom.netlify.app/bluestore 📩 للتواصل والاستفسار: عبر التليجرام: @blue24bluer BlueStore: Advanced Tools at the Lowest Price. 🌐🌀 #CyberSecurity #HackingTools #DarkWeb #Infosec #BlueStore #Coding #Programming #AdvancedTools #TechNews

في ناس كتير بتتعلم Web Pentesting و Mobile Security… لكن أول ما تسمع كلمة Hardware Hacking بتحس إن المجال ده محتاج معمل كامل ومعدات بمبالغ كبيرة. 😅 الحقيقة إن مشروع زي PwnPad بيحاول يغيّر الفكرة دي تماماً. 🔧 PwnPad هو منصة تعليمية مفتوحة المصدر لتعلم Hardware Hacking بشكل عملي، من خلال تحديات حقيقية بتاخدك خطوة بخطوة في مفاهيم مهمة زي: ⚡ تصميم الـ PCB ⚡ تحليل الدوائر الإلكترونية ⚡ Reverse Engineering ⚡ Side-Channel Attacks ⚡ واكتشاف الثغرات في الأجهزة المادية الجميل في المشروع إنه مش مجرد Documentation أو Slides… لكنه مبني على فكرة "اتعلم بإيدك". يعني بدل ما تقرأ عن الهجمات، هتنفذها وتفهمها عملياً. في وقت بقت فيه هجمات الـ IoT والأجهزة الذكية والأنظمة المدمجة بتزيد بشكل كبير، فهم طبقة الهاردوير بقى ميزة قوية لأي باحث أمني أو Digital Forensics Investigator أو Pentester. أحياناً الثغرة الأخطر مش بتكون في الكود… لكنها موجودة على الـ PCB نفسها. 👀 لو نفسك تدخل عالم Hardware Hacking ومش عارف تبدأ منين، فالمشروع ده يعتبر نقطة انطلاق ممتازة. #CyberSecurity #HardwareHacking #EmbeddedSecurity #IoT #DigitalForensics #PenetrationTesting #OpenSource #AhmedMElSayed

Let's talk about BlueVenom ------ اي أفكار ؟ اقتراحات ؟ ------ #bluevenom

اعلان بسيط 😇 تم تغير الرابط من ==> https://c2bluevenom.netlify.app الى ==> https://bluerever.netlify.app

إلى حين الانتهاء من عملية التحديث والتحقق. Log Analysis إجراء مراجعة شاملة لـ: Web Access Logs Reverse Proxy Logs WAF Logs Authentication Logs للكشف عن أي نشاط سابق مرتبط بالثغرة. Security Assessment رغم أن الثغرة لا توفر تنفيذ تعليمات برمجية عن بعد (Remote Code Execution)، إلا أن خطورتها الحقيقية تكمن في كونها ثغرة كشف معلومات استراتيجية (Strategic Information Disclosure) يمكن أن تتحول إلى نقطة انطلاق لسلسلة اختراق كاملة. في بيئات WordPress الإنتاجية، غالباً ما تكون البيانات المسربة كافية لتمكين المهاجم من تنفيذ هجمات تصيد احترافي، واستغلال ثغرات إضافية، أو الوصول إلى البنية البريدية الرسمية للمؤسسة، ما يجعل معالجة هذه الثغرة أولوية أمنية قصوى لجميع مديري المواقع المتأثرة.

Gravity SMTP Vulnerability Under Active Exploitation: Over 100,000 WordPress Sites Exposed شهدت الساحة الأمنية مؤخراً تصاعداً ملحوظاً في محاولات استغلال ثغرة حرجة تؤثر على إضافة Gravity SMTP الخاصة بمنصة WordPress، وهي إضافة تُستخدم لدمج وإدارة خدمات البريد الإلكتروني الاحترافية مثل Amazon SES وGoogle Workspace وZoho Mail. بحسب التقارير الأمنية، تجاوز عدد محاولات الاستغلال المرصودة 17 مليون محاولة خلال فترة زمنية قصيرة، ما يشير إلى حملات مسح واستغلال آلية واسعة النطاق تستهدف المواقع المعرضة للخطر على الإنترنت. Technical Overview CVE: CVE-2026-4020 Affected Versions: 1.2.1 – 1.2.6 Patched Version: 2.1.5 تكمن الثغرة في واجهة REST API الخاصة بالإضافة، وتحديداً ضمن نقطة النهاية:
/wp-json/gravitysmtp/v1/tests/mock-data
اعتمد المطورون على دالة صلاحيات (permission_callback) تم ضبطها بشكل غير صحيح لتعيد القيمة:
return true;
بشكل دائم، مما أدى فعلياً إلى تعطيل آلية التحقق من الهوية والتفويض (Authentication & Authorization). ونتيجة لذلك أصبح بإمكان أي مستخدم غير مصادق عليه (Unauthenticated User) الوصول إلى معلومات حساسة دون الحاجة إلى تسجيل الدخول أو امتلاك أي صلاحيات داخل الموقع. Vulnerability Classification يمكن تصنيف الثغرة ضمن عدة فئات أمنية: Improper Access Control فشل مباشر في تطبيق ضوابط التحكم بالوصول (Access Control) على نقطة REST API حساسة. Information Disclosure الثغرة تؤدي إلى كشف معلومات داخلية عالية الحساسية يمكن استخدامها في مراحل لاحقة من الهجوم. Reconnaissance Enabler رغم أن الثغرة لا توفر تنفيذ أوامر مباشرة (RCE)، إلا أنها تمنح المهاجم قاعدة معلومات متكاملة تساعده على تنفيذ هجمات أكثر تعقيداً لاحقاً. وفقاً لمنهجية Cyber Kill Chain يمكن اعتبارها مرحلة:
Reconnaissance
↓
Weaponization
↓
Privilege Escalation Attempts
↓
Post-Exploitation
Exposed Data أظهرت التحليلات أن التقرير المسرب يحتوي على كمية كبيرة من البيانات التشغيلية (Operational Intelligence) التي قد تشمل: Mail Service Credentials Amazon SES API Keys Google OAuth Tokens Zoho Mail Credentials SMTP Authentication Parameters Infrastructure Intelligence PHP Version Installed PHP Extensions Web Server Configuration Database Engine Version WordPress Internal Enumeration Active Plugins List Plugin Versions Database Table Prefixes WordPress Configuration Details Attack Scenarios 1. Business Email Compromise (BEC) في حال تسريب مفاتيح خدمات البريد الإلكتروني، يمكن للمهاجم استخدام البنية البريدية الرسمية للشركة لإرسال رسائل: Phishing Malware Delivery Credential Harvesting مع الاستفادة من السمعة الشرعية للدومين الأصلي. 2. Targeted Exploitation معرفة: إصدار PHP الإضافات النشطة مكونات الخادم تسمح للمهاجم ببناء سلسلة هجمات دقيقة تستهدف ثغرات أخرى موجودة في البيئة نفسها. 3. Infrastructure Mapping يمكن استخدام البيانات المسرّبة لإنشاء خريطة كاملة للبنية التقنية للموقع:
Web Server
↓
WordPress Stack
↓
Database Layer
↓
Mail Infrastructure
مما يقلل بشكل كبير من زمن الاستطلاع المطلوب قبل تنفيذ الهجوم. Threat Activity أفادت منصات الرصد الأمني أن جهات التهديد بدأت بتنفيذ عمليات مسح جماعية للإنترنت بحثاً عن المواقع المعرضة للخطر. تم تسجيل: أكثر من 17 مليون محاولة استغلال. أكثر من 4 ملايين محاولة خلال يوم واحد. مئات عناوين IP المشاركة في حملات المسح الآلية. ويشير هذا السلوك إلى اعتماد المهاجمين على Botnets وأنظمة فحص أوتوماتيكية واسعة النطاق. Detection & Threat Hunting ينبغي على فرق الدفاع البحث عن الطلبات التالية داخل سجلات الخادم:
/wp-json/gravitysmtp/v1/tests/mock-data
أمثلة على مؤشرات الاختراق (IOCs): Access Logs
GET /wp-json/gravitysmtp/v1/tests/mock-data HTTP/1.1
Suspicious Recon Activity تعدد الطلبات من نفس المصدر. عمليات مسح REST API واسعة النطاق. ارتفاع غير طبيعي في طلبات WordPress JSON API. Defensive Measures Immediate Containment تحديث إضافة Gravity SMTP فوراً إلى:
Version 2.1.5+
Credential Rotation يجب التعامل مع جميع المفاتيح والرموز المخزنة داخل الإضافة على أنها مكشوفة سابقاً: Rotate API Keys Revoke OAuth Tokens Reset SMTP Credentials حتى لو لم يتم العثور على دليل مباشر على الاستغلال. Web Application Firewall (WAF) إضافة قواعد حظر مؤقتة لمنع الوصول إلى:
/wp-json/gravitysmtp/v1/tests/mock-data

كيف سقط أخطر هاكر مطلوب بسبب 250 دولار فقط؟ 🤯 في عام 2023 بدأ اسم هاكر غامض يُعرف باسم IntelBroker ينتشر بقوة داخل مجتمع الأمن السيبراني. كان يظهر باستمرار في منتدى BreachForums وينشر بيانات مسروقة من شركات ومؤسسات كبرى حول العالم. مع مرور الوقت ارتبط اسمه باختراقات استهدفت جهات وشركات معروفة، وأصبح واحداً من أشهر الأسماء في عالم الجرائم الإلكترونية. وخلال سنوات قليلة نشر مئات المواضيع والمنشورات المتعلقة ببيانات مسربة وعروض بيع معلومات حساسة. لكن بينما كان الجميع يعتقد أنه مجهول الهوية تماماً، كانت السلطات الأمريكية تراقبه بصمت. في يناير 2023 تواصل عميل سري تابع للـFBI معه عبر الإنترنت لشراء بيانات مسروقة مقابل 250 دولار. المشكلة أن IntelBroker كان يفضل التعامل بعملات رقمية أكثر خصوصية، لكن في تلك العملية وافق على استلام المبلغ عبر Bitcoin. بعد إتمام التحويل بدأت رحلة التتبع. المحققون لم يكتفوا بمراقبة المعاملة نفسها، بل تتبعوا المحافظ المرتبطة بها حتى وصلوا إلى حسابات ومنصات كانت مرتبطة بهويته الحقيقية. ومع مرور الوقت بدأت الأدلة تتراكم: حسابات بريد إلكتروني، حسابات عملات رقمية، ونشاطات رقمية أخرى ربطت الاسم المستعار IntelBroker بشخص حقيقي يدعى Kai Logan West. وفي عام 2025 ألقي القبض عليه في فرنسا بعد تحقيق استمر لسنوات، واتهمته السلطات الأمريكية بالتورط في اختراق أكثر من 40 جهة والتسبب بخسائر تجاوزت 25 مليون دولار.

في البرمجه في حاجه غريبه اوي ان كل ما مستواك بيعلي ثقتك ف نفسك بتقل..اه والله زي ما بقولك كدا المبتدئ بيخلص كورسين من هنا ويحس انه تنين مجنح ومستني جوجل تكلمه وبعد اول مشروع بيحس انه ملك البرمجه وان السوق كله تحت ايده محدش ادي خلاص بس بعد كام سنه سحله وايرورز وتاسكات بتضرب بيكتشف الكارثه ان كل ما بيتعلم اكتر..كل ما بيكتشف قد اي لسه ميعرفش عشان كدا طبيعي جدا تلاقي طالب ف سنه اولي بيتناقش ويهبد بثقه اكتر من سينيور عنده 10 سنين خبره مش عشان الطالب اشطر , خالص ..عشان هو لسه مشافش حجم الجبل ال مستنيه كل ما بتكبر ف المجال وبتتهرس ف مشاريع حقيقيه بتبقي اهدي عشان بتبقي عرفت ان التكنولوجيا بحر ملوش اخر ومفيش حد بيعرف كل حاجه ف لو حاسس انك كل ما بتذاكر بتكتشف انك مش فاهم حاجه ..اطمن دي غالبا اول مره تبدا تشوف حجم المجال بجد ويمكن عشان كدا اكتر جمله هتسمعها من الناس الخبره ..انا لسه بتعلم وعامه برضو الجامد مبيقولش علي نفسه انه جامد #منقول

Linux Privilege Escalation Handbook🐧

photo content

+2
http.txt0.84 KB

قام أحدهم باستنساخ نتفليكس. ثم استنسخ سبوتيفاي. ثم استنسخ إنستغرام. ثم استنسخ إير بي إن بي. ثم استنسخ واتساب. ثم استنسخ تيك توك. ثم استنسخ أمازون. ثم وضع الشفرة المصدرية لكل هذه التطبيقات على غيت هاب. مجانًا. ليس تطبيقًا واحدًا. ولا عشرة. أكثر من 100 نسخة مفتوحة المصدر من أكبر التطبيقات في العالم. مع الشفرة المصدرية. مع عروض توضيحية. مع تفاصيل التقنيات المستخدمة. يُطلق عليه اسم Clone-Wars. حصد 34,555 نجمة على غيت هاب. قام بتطويره مطور من أصل هندي يُدعى غوراف غويال. بدأ بجمع نسخ مفتوحة المصدر من التطبيقات الشهيرة في قائمة واحدة في ديسمبر 2020. في مارس 2021، ارتفع عدد نجومه من صفر إلى أكثر من 4000 نجمة في 7 أيام. وظل على قائمة التطبيقات الرائجة على غيت هاب لمدة 5 أيام متتالية. نشر أحدهم هذا المقال على موقع Hacker News، وتصدّر الصفحة الرئيسية. إليكم محتواه: تطبيقات مشابهة لـ Netflix: React، واجهة برمجة تطبيقات TMDB، واجهة مستخدم كاملة للبث المباشر. تطبيقات مشابهة لـ Spotify: مشغل موسيقى، قوائم تشغيل، بحث، ألبومات. تطبيقات مشابهة لـ Instagram: موجز الأخبار، قصص، إعجابات، تعليقات، رسائل خاصة. تطبيقات مشابهة لـ WhatsApp: مراسلة فورية، إشعارات قراءة الرسائل، محادثات جماعية. تطبيقات مشابهة لـ Airbnb: بحث، حجز، خرائط، مدفوعات. تطبيقات مشابهة لـ Amazon: منتجات، سلة تسوق، إتمام الشراء، مدفوعات Stripe. تطبيقات مشابهة لـ TikTok: موجز فيديوهات قصيرة، تحميل، إعجابات. تطبيقات مشابهة لـ Twitter: موجز الأخبار، متابعة، تغريد، إعادة تغريد. تطبيقات مشابهة لـ Slack: قنوات، سلاسل محادثات، دردشة فورية. تطبيقات مشابهة لـ Trello: لوحات، بطاقات، سحب وإفلات. تطبيقات مشابهة لـ YouTube: مشغل فيديو، بحث، تعليقات. وأكثر من 90 تطبيقًا آخر. كل نسخة مُستنسخة تحتوي على شفرة المصدر، وعرض توضيحي مباشر، وقائمة بالتقنيات المستخدمة. React، Next.js، Node، Firebase، MongoDB، GraphQL، Tailwind. جميع التقنيات الحديثة مُتاحة. إليكم أهمية هذا: تتقاضى معسكرات تدريب البرمجة ما بين 10,000 و20,000 دولار أمريكي لتعليمكم كيفية بناء تطبيقات كهذه. وتتقاضى دورات Udemy ما بين 50 و200 دولار أمريكي لكل دورة. تطبيق واحد في كل مرة. إطار عمل واحد في كل مرة. يُوفر لكم هذا المستودع أكثر من 100 تطبيق مُكتمل البناء مع شفرة المصدر التي يُمكنكم قراءتها، ونسخها، والتعلم منها. كل ذلك مجانًا. والأمر الأكثر إثارة: أفضل طريقة لتعلم بناء تطبيق مثل Netflix هي الاطلاع على تجربة شخص قام ببناء Netflix بالفعل. ليس من خلال دروس تعليمية تُعلمكم ميزة واحدة في كل مرة. بل من خلال نسخة مُستنسخة كاملة وجاهزة للعمل مع جميع الميزات مُتصلة. لا تتعلمون هندسة البرمجيات من الدروس التعليمية. بل تتعلمونها من خلال قراءة مشاريع حقيقية. أكثر من 100 تطبيق. أكثر من ١٠٠ عرض توضيحي. أكثر من ١٠٠ شفرة مصدرية. مستودع واحد. دورة تدريبية مكثفة: من ١٠,٠٠٠ إلى ٢٠,٠٠٠ دولار. تُدرّس من ٢ إلى ٣ مشاريع. يوديمي: من ٥٠ إلى ٢٠٠ دولار للدورة الواحدة. مشروع واحد لكل دورة. Clone-Wars: مجانًا. أكثر من ١٠٠ مشروع. جميع التطبيقات الكبيرة مُستنسخة. ٣٤,٥٥٥ نجمة. مرخصة بموجب رخصة AGPL-3.0. جميع التطبيقات التي تستخدمها. مُستنسخة. مفتوحة المصدر. مجانية للتعلم. https://github.com/GorvGoyl/Clone-Wars

PPP10HUP This is a channel dedicated to cybersecurity professionals and technicians, where information and products are exchanged, and buying and selling operations are conducted, with data transferred exclusively through secret channels. Here, discussions are permitted regarding the latest leaks, security vulnerabilities, and databases, as well as Combo List, Database, and Leaks. It is an open market for exchanging services, with confidentiality, reliability, and free trial samples. Payments are accepted through digital currencies (monero-USDT-btc, etc). It is a space dedicated for professionals to engage in buying and selling activities. PPP10HUP هذه قناة مخصصة للمتخصصين في الأمن السيبراني والتقنيين، حيث يتم تبادل المعلومات والمنتجات، وإجراء عمليات البيع والشراء، حيث تُنقل البيانات حصريًا عبر قنوات سرية. يُسمح هنا بمناقشة أحدث التسريبات والثغرات الأمنية وقواعد البيانات، بالإضافة إلى Combo List و Database و Leaks. إنها سوق مفتوحة لتبادل الخدمات, مع ضمان السرية والموثوقية وتقديم عينات تجريبية مجانية. يتم قبول الدفع عبر العملات الرقمية (monero-USDT-btc، وغيرها). إنها مساحة مخصصة للمتخصصين لممارسة أنشطة البيع والشراء. https://t.me/database_hup

Silverbullet Pro Config Decryptor Source Python 3.14 pip install -r requirements.txt python3 Decrypto_New.py python3 Decrypto
Silverbullet Pro Config Decryptor Source Python 3.14
pip install -r requirements.txt
python3 Decrypto_New.py
python3 Decrypto_Old.py

Repost from N/a
Market 0x0 This is a platform dedicated to cybersecurity professionals and technicians, where information and products are exchanged, and buying and selling operations are conducted, with data transferred exclusively through secret channels. Here, discussions are permitted regarding the latest leaks, security vulnerabilities, and databases, as well as accounts for Netflix, Grok, ChatGPT, TikTok, and others. It is an open market for exchanging services, products, tools, training courses, and other diverse resources. It is a space dedicated for professionals to engage in buying and selling activities. Market 0x0 هذه منصة مخصصة للمتخصصين في الأمن السيبراني والتقنيين، حيث يتم تبادل المعلومات والمنتجات، وإجراء عمليات البيع والشراء، حيث يُنقل البيانات حصريًا عبر قنوات سرية. يُسمح هنا بمناقشة أحدث التسريبات والثغرات الأمنية وقواعد البيانات، بالإضافة إلى حسابات منصات نتفليكس، و Grok، و ChatGPT، و TikTok، وغيرها. إنها سوق مفتوحة لتبادل الخدمات والمنتجات والأدوات والدورات التدريبية، و RATs وغيرها من الموارد المتنوعة. إنها مساحة مخصصة للمتخصصين لممارسة أنشطة البيع والشراء. @market0x0 t.me/market0x0

OpenAI is adding “LOCKDOWN MODE” to #ChatGPT. It won’t stop prompt injections. It’s built to reduce what attackers want next: a way to leak your data out. The mode limits tools that connect to the web or external services, including browsing, images, deep research, agent mode, and file downloads. Read ➝ https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.html

الثغرات الأكثر شيوعًا في المشاريع الجديدة على GitHub ليست دائمًا ثغرات برمجية معقدة أو أخطاء في الذاكرة أو تجاوزات صلاحيات متقدمة، بل غالبًا تكون نتيجة تسريب بيانات حساسة من قبل المطورين أنفسهم أثناء عملية التطوير. ومع ازدياد عدد المشاريع المفتوحة المصدر والمشاريع الناشئة التي يتم نشرها يوميًا، أصبحت المستودعات العامة على GitHub مصدرًا غنيًا للمفاتيح السرية وبيانات الوصول والملفات الحساسة التي لم يكن من المفترض أن تصبح متاحة للعامة. في كثير من الأحيان يبدأ الأمر عندما يقوم مطور بإنشاء مشروع جديد بسرعة بهدف الاختبار أو التعلم أو إطلاق نسخة أولية من منتج جديد. يرفع ملفات المشروع إلى GitHub دون مراجعة كاملة للمحتويات، ليكتشف لاحقًا أن المستودع يحتوي على معلومات خطيرة يمكن أن تسمح بالوصول إلى خدماته أو بيانات مستخدميه. من أكثر الأخطاء شيوعًا رفع ملفات البيئة (Environment Files) مثل ملفات .env التي تحتوي عادة على كلمات مرور قواعد البيانات ومفاتيح API ومعلومات الاتصال بالخوادم. هذه الملفات مصممة ليتم استبعادها من أنظمة التحكم بالإصدارات، لكن الكثير من المطورين يرفعونها بالخطأ خصوصًا في المراحل الأولى من المشروع. كما تنتشر حالات تسريب مفاتيح الخدمات السحابية مثل مفاتيح AWS وGoogle Cloud وAzure. امتلاك هذه المفاتيح قد يمنح المهاجم إمكانية الوصول إلى موارد سحابية كاملة، وتشغيل خدمات جديدة على حساب الضحية، أو استخراج البيانات المخزنة في قواعد البيانات والتخزين السحابي. من الأخطاء المتكررة أيضًا تضمين ملفات النسخ الاحتياطية داخل المشروع. قد تحتوي هذه الملفات على قواعد بيانات كاملة، أو سجلات مستخدمين، أو بيانات تجريبية تمثل بيانات حقيقية تم استخدامها أثناء التطوير. وفي بعض الحالات تم العثور على ملايين السجلات الحساسة داخل مستودعات عامة بسبب ملف Backup نسيه المطور قبل النشر. تزداد المشكلة خطورة عندما تتضمن المشاريع مفاتيح التوقيع الرقمية أو الشهادات الخاصة. بعض المطورين يرفعون ملفات تحتوي على مفاتيح SSH أو شهادات TLS أو مفاتيح توقيع التطبيقات. هذه البيانات لا تسمح فقط بالوصول إلى الخوادم، بل قد تمكن المهاجم من انتحال هوية الخدمة أو نشر تحديثات مزيفة للمستخدمين. ومن الظواهر الشائعة كذلك رفع ملفات الإعدادات الداخلية الخاصة بالبنية التحتية. قد تحتوي هذه الملفات على عناوين IP داخلية، وأسماء الخوادم، ومخططات الشبكات، ومسارات الخدمات المختلفة. ورغم أن هذه المعلومات لا تمنح وصولًا مباشرًا، إلا أنها تقدم للمهاجم صورة واضحة عن بيئة العمل وتساعده في التخطيط لأي هجوم مستقبلي. المثير للاهتمام أن كثيرًا من هذه البيانات لا تبقى مكشوفة لفترات طويلة. هناك جهات وأفراد يشغلون أدوات آلية تراقب GitHub بشكل مستمر بحثًا عن مفاتيح أو بيانات حساسة يتم نشرها حديثًا. في بعض الحالات يتم اكتشاف المفاتيح واستخدامها خلال دقائق فقط من رفعها إلى مستودع عام. ولهذا السبب فإن حذف الملف بعد ساعات أو حتى دقائق لا يعني أن الخطر انتهى، لأن البيانات قد تكون تمت أرشفتها أو نسخها بالفعل. المشكلة لا تقتصر على الملفات الحالية فقط، بل تمتد إلى سجل التعديلات الكامل. فحتى لو حذف المطور ملفًا حساسًا من النسخة الحالية للمشروع، قد تبقى البيانات موجودة داخل تاريخ Git ويمكن استعادتها بسهولة ما لم يتم تنظيف السجل بالكامل وإلغاء المفاتيح المكشوفة. لهذا أصبحت إدارة الأسرار (Secrets Management) جزءًا أساسيًا من أمن التطبيقات الحديثة. تعتمد المؤسسات المتقدمة على أنظمة مخصصة لتخزين المفاتيح السرية، وتستخدم أدوات فحص تلقائية للكشف عن أي بيانات حساسة قبل السماح برفع الكود إلى المستودعات العامة. في النهاية، تكشف حوادث التسريب المتكررة على GitHub حقيقة مهمة في عالم الأمن السيبراني: أخطر الثغرات ليست دائمًا تلك التي تتطلب مهارات تقنية عالية لاستغلالها، بل قد تكون ملفًا واحدًا تم رفعه بالخطأ، أو مفتاح API نُسي داخل المشروع، أو نسخة احتياطية لم ينتبه إليها أحد قبل الضغط على زر النشر.