4 مطلب | 4Content

مجموعه “۴ مطلب” – شماره ۹ (۹۸/۹/۱۵)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم و امیدوارم مطالبی که این هفته منتشر می کنیم از هفته قبلی بهتر باشه.

۱- حملات بر پایه پروفایل

یکی از حملاتی که در password attacks داریم حملات بر پایه پروفایل هستن.

فرض کنید شما می خواید رمز حساب کاربری من در یک وب سایت رو به دست بیارید.

روش اول اینه که لیست پسورد بزرگی رو به برنامه بدید و برنامه برای شما تک تک پسوردها رو تست کنه.احتمال موفقیت چقدره؟طبیعتا خیلی زیاد نیست

روش دوم اینه که شما بر اساس علایق من یک لیست پسورد درست کنید.در این روش برنامه از شما اطلاعاتی رو در مورد من میگیره.مثلا اسم،فامیل،شماره تماس،تاریخ تولد،اسم حیوان خانگی،محل تولد و …

البته ممکنه شما بعضی از این اطلاعات رو نداشته باشید که مشکلی در کار ایجاد نمی کنه.

بعد از دریافت اطلاعات ، برنامه با این کلمات و عبارات یک لیست پسورد اختصاصی و متناسب با شخصیت و ویژگی های من رو برای شما تولید می کنه.حالا فکر می کنید این لیست بهتر جواب میده یا قبلی؟؟ 😉 

این ویدئو یوتیوب که در مورد این حملات هستش رو از دست ندید

۲-ابزار cc.py

Common Crawl یک مخزن باز از داده های خزیدن وب است که توسط هر کسی به صورت رایگان قابل دسترسی و تجزیه و تحلیل است.
Cc.py نشانی های اینترنتی هدفی را که شما به آن داده اید از مجموعه داده مشترک Crawl استخراج می کند. این ابزار این امکان را به شما می دهد لیستی از URL های موجود در دامنه هدف خود را که توسط Common Crawl جمع آوری شده است به سرعت به دست آورید.

نیازی به گفتن نیست که من قبلاً آن را به زرادخانه خودم قرار داده ام.

لینک گیت هاب

۳- مطلب جالب در مورد بایپس های xss

مجموعه “4 مطلب” – شماره 9 (98/9/15)

با استفاده از این مقاله یاد میگیرید که چطور با کمک گرفتن از Html ، در حملات xss محدودیت ها را دور بزنید و در اصطلاح waf bypassing داشته باشید.

لینک مقاله

۴- گوگل هکینگ

گوگل هکینگ

سوالی که معمولا بچه های کلوپ امنیت ، در مورد گوگل هکینگ می پرسند اینه که آیا گوگل هکینگ فقط دستور site و inurl هستش.در جواب همیشه گفتم خیر.دیتورات دیگه ای هم وجود داره اما این ۲ دستور کاربرد بیشتری دارند.در ادامه من همیشه پیشنهاد می کنم در گوگل عبارت google hacking book رو جستجو کنند که اون ها رو به یک کتاب نسبتا قدیمی در زمینه گوگل هکینگ میرسونه.

اما این هفته مطلب بهتری رو پیدا کردم که از این به بعد اگر کسی در مورد گوگل هکینگ سوال بپرسه این منبع رو بهش معرفی می کنم

مشاهده مطلب

مجموعه “۴ مطلب” – شماره ۹ (۹۸/۹/۱۵)

مجموعه “۴ مطلب” – شماره ۸ (۹۸/۹/۸)

سلام خدمت شما

این اولین ۴ مطلب در آذر ۹۸ هستش.

متاسفانه هفته گذشته به علت قطعی یک هفتگی اینترنت در ایران امکان نوشتن “۴ مطلب” نبود.البته چون اینترنت نبود در اصل فعالیتی هم در اینترنت نداشتم که بتونم گلچین مطالب رو در اختیارتون قرار بدم.

این قطع شدن اینترنت برای من هم مثل بقیه مردم مشکل ساز شد.کلاس های حضوری آنلاین که با نام کلوپ امنیت برگزار می کنیم کنسل شد و مجبور شدیم جلسات رو ۱ هفته عقب بندازیم،اما از اونجایی که من آدمی نیستم که دست روی دست بزارم از این فرصت استفاده کردم و دوره تست و تامین امنیت در php رو ضبط کردم و در فرانش منتشر کردم 🙂 

این شد که ۴ مطلب این هفته روی سایت قرار گرفت.امیدوارم مفید واقع بشه

۱- ایده جالب

آشنایی با هکرها

به سایتی برخوردم که سعی می کرد مردم را با هکرها و خطراتی که ممکنه در دنیای مجازی اون ها رو تهدید کنه آشنا کنه.

نکته جالب اینجاست که بعد از یکسری توضیحات کامل در مورد هکرها،پسوردها،باج افزارها و … میاد لینک پرداختی رو قرار میده و میگه این اطلاعات اگر به دردتون خورده یه مبلغی رو به من کمک کنید.

شاید به نظر ایده ساده ای بیاد ولی نمونه این سایت ها رو زیاد دیدم که اتفاقا پول خوبی هم به دست میارن.

آدرس وب سایت مورد نظر

۲-مقاله فردی که در چند ساعت به سورس بیش از ۵۰۰۰ سایت دسترسی پیدا کرد

در این مقاله نفوذگر توضیح می دهد که چطور با استفاده از git به سورس بیش از ۵۰۰۰ سایت دسترسی پیدا کرده است.

این مقاله را از طریق این لینک مطالعه کنید.

۳- مطلب جالب

مردی در ایتسگاه قطار منتظر قطار بود و در مدتی که منتظر بود صدای ۲ نفر رو که پشت سرش بودن میشنید.اون ها در مورد یک کلاهبرداری بزرگ از طریق اوسینت و مهندسی اجتماعی صحبت می کردند.

این فرد چیزهایی که شنیده رو به صورت یک مطلب جالب نوشته که از طریق این سایت می تونید این داستان یا شاید بهتره بگیم مقاله رو مطالعه کنید.

۴- عکس ارسالی یکی از کاربران دوره کلوپ امنیت

این هفته یکی از شاگردان خوب دوره کلوپ امنیت (سبحان عزیز) ، ۲ تا عکس برام فرستاد که خیلی جالب بود.

این دوست عزیز به تازگی در دوره کلوپ امنیت ما شرکت کرده و از یکی از وب سایت هایی که مشغول تست نفوذ بوده برام عکس فرستاده.

همون طور که در تصویر مشخصه سبحان مشغول تست نفوذ بوده که سایت بهش پیغامی به این شکل میده

 

مجموعه “4 مطلب” – شماره 8 (98/9/8)

طراح سایت گفته:

سلام هکر، در سایت من چکار می کنی؟آیپی تو ۱۰۴٫۲۴۸٫۹٫۱۱۰ هستش،لطفا برو خونتون!!!

سبحان هم در جواب گفته :

خواهیم دید! :mrgreen:  

مجموعه “4 مطلب” – شماره 8 (98/9/8)

 همون طور که در تصویر مشخصه ، سبحان ایمیل،یوزر و پسورد مدیران وب سایت رو به دست آورده

 

 

 

 

 

مجموعه “۴ مطلب” – شماره ۷ (۹۸/۸/۲۴)

سلام خدمت شما

با قسمت دیگه ای از مجموعه “۴ مطلب” در خدمتتون هستم.

این هفته می خواستم یکم تنبلی کنم و مطلب نزارم.پیش خودم گفتم هفته بعد توضیح میدم که گرفتار بودم و امکان گذاشتن مطلب نبود.ولی بعد دیدم اگر برنامه رو یکم دقیق تر بچینم می تونم اون وسط ۱ ساعت وقت خالی کنم.

این شد که ۴ مطلب این هفته روی سایت قرار گرفت.امیدوارم مفید واقع بشه

۱- ویدئوهای کوتاه ولی موثر

خیلی از شاگردا رو می بینم که برای تبدیل شدن به یک متخصص در حوزه هک و امنیت واقعا مشتاق هستند.یه بخشی که همیشه اون ها رو خوشحال می کنه و براشون جذابیت داره تعریف کردن پروژه هایی هستش که قبلا انجام دادم.وقتی از پیاده سازی حمله حرف میزنم احساس شور و شوق رو توی صداشون حس می کنم.

امروز تصمیم گرفتم لینک یکسری ویدئو کوتاه که مربوط به نفوذگران وب سایت HackeOne هست رو قرار بدم.اون ها در این ویدئوها از داستان های تست نفوذ خودشون میگن :mrgreen:

لینک ویدئو در یوتیوب

۲-آموزش ویدئویی نوشتن گزارش باگ خوب

هرچند این مدت مطالب زیادی در مورد ساختار یک گزارش باگ قوی رو در سایت قرار دادم ، ولی از اونجایی که این مورد اهمیت زیادی داره دیدن این ویدئو خالی از لطف نیست.

لینک ویدئو در یوتیوب

۳- مقالات مفید این هفته

این هفته چنتا مقاله خوندم که این ۳ مورد برام خیلی جذاب بود.پس اینجا قرار میدم تا شما هم استفاده کنید.

مقاله اول

مقاله دوم

مقاله سوم

۴- نظری که باعث شد انگیزه بگیرم

به نظرم وقتی میشه تو کاری موفق شد که واقعا دوستش داشته باشی و از انجام دادنش لذت ببری.

مثلا من به زمینه کاری خودم علاقه دارم.حالا این علاقه رو من چطوری میسنجم؟؟

وقتی حاضرم از تفریح خودم بزنم و کار کنم یا وقتی حاضرم کار کنم حتی اگر درآمد کمی داشته باشم ، این نشون میده که من از کارم لذت می برم.

البته این مقیاسی هستش که من باهاش کارم رو میسنجم.شاید این مقیاس برای شخص دیگه متفاوت باشه.

نظر من اینه وقتی کاری رو اینقدر دوست داشته باشی ۱۰۰% ازش نتیجه هم میگیری.چون تو کارت خلاقیت داری،پشت کار داری و انجام کار خستت نمی کنه.

اما با وجود همه اینا بعضی وقت ها آدم نیاز داره که برای کارش تشویق بشه.شاید اگر زمانی که کم سن و سال بودم پدرم برای کار تست نفوذ تشویقم نمی کرد هیچ وقت وارد این حوزه نمیشدم.

اون می تونست من رو از انجام دادنش منع کنه (کاری که خیلی از خانواده ها انجام میدن).مثلا بگه خطرناکه،آینده نداره یا هرچیز دیگه.احتمالا اگر این حرف هارو میزد قانع میشدم.چرا؟چون تو اون سن به نظر حرف پدر و مادر معتبرترین حرف دنیاست.

ولی خوشحالم که پدرم همچین آدمی نبود.به خاطر این طرز فکرش همیشه تحسینش می کنم.میگه “آدم باید چیزی رو که دوست داره دنبال کنه.حتی اگر همه دنیا مخالفش باشند”.

این هفته یکی از کاربران از ونکوور کانادا تو سایت فرانش برام پیام گذاشت.شاید فقط یه پیام ساده باشه ولی برای من خیلی ارزشمنده.چون می بینم ایرانی های خارج از کشور هم دارن کار رو دنبال می کنند.

ونکوور کانادا

 

 

مجموعه “۴ مطلب” – شماره ۶ (۹۸/۸/۱۷)

سلام خدمت شما

با قسمت دیگه ای از مجموعه “۴ مطلب” در خدمتتون هستم.

مثل سری های قبل سعی می کنم مطالب جالبی که طی یک هفته گذشته با اون ها رو به رو بودم رو به اشتراک بزارم.

۱- کتاب عالی برای شروع تست نفوذ

این هفته به صورت اتفاقی با کتابی آشنا شدم که به گفته نویسنده برای ورود به حوزه امنیت اطلاعات عالیه.

البته چیزی که بیشتر نظر من رو به خودش جلب کرد این بود که نویسنده تاکید کرده بود هدف بیشتر تست نفوذ و نکاتی پیرامون بحث باگ بانتی هستش.

راستش اول خیلی علاقه ای به مطالعه کتاب نداشتم چون مطالعه کتاب انگلیسی وقت گیره از طرفی قیمت کتاب زمانی که من وارد وب سایت شدم ۱۰ دلار بود که با توجه به قیمت امروز دلار حدود ۱۱۰ هزار تومانی هزینه برام داشت.

ولی وقتی سرفصل رو دیدم خودم رو قانع کردم که برای تهیه کتاب هزینه کنم.(معمولا این موقع ها اینطوری خودم رو راضی می کنم که “بهروز برای افزایش اطلاعاتت باید پول خرچ کنی وگرنه از علم روز عقب می مونی 😀 )

توی مدت زمان ۲ هفته کتاب تموم شد و الان از این که برای این کتاب هزینه کردم  کاملا راضیم 😉 

کتاب رو می تونید از این لینک خریداری کنید!

اما از اونجایی که شاید پرداخت هزینه برای کتاب انگلیسی رو منطقی نمی دونید و از طرفی هم ممکنه هزینه تهیه کتاب برای بعضی از دوستان سنگین باشه ، لینک دانلود رو براتون قرار میدم که از همین نسخه ای که من تهیه کردم استفاده کنید.

پ.ن : هرچند این استدلال ۱۰۰ درصد اشتباهه ولی اینطوری خودم رو قانع کردم که ما تحریم هستیم پس ایرادی نداره برای کتاب هزینه پرداخت نکنید.

لینک دانلود رایگان

۲-مجموعه پسوردهای پیش فرض

خیلی وقت ها به دلیل پیکربندی نادرست ، با در اختیار داشتن پسورد پیش فرض می تونید تست نفوذ موفقی رو داشته باشید.

در این لینک می تونید مجموعه ای از پسوردهای پیش فرض رو مشاهده کنید.

۳- بایپس در Sql Injection

بسیاری از بچه ها ایمیل زدن و تعدادی هم در شبکه های اجتماعی پرسیده بودن که چطور میشه سایتی که هنگام تزریق دستورات Sql injection به دستور tables در عبارت information_schema.tables حساس است رو بایپس کنیم.

به عنوان دستور جایگزین بنده ۴ دستور رو به شما دوستان عزیز معرفی می کنم که امکان استفاده از هر ۴ دستور رو دارید.

information_schema.partitions

information_schema.statistics

information_schema.key_column_usage

information_schema.table_constraints

 

۴- سرویس های ارزش افزوده

هرچند متاسفانه در این لحظه که مطلب رو منتشر می کنم اقدام جدی برای مقابله با زالوهای ارزش افزوده انجام نشده ولی اخیرا وزیر ارتباطات اعلام کرده با شماره گیری *۸۰۰*۶# می تونیم بررسی کنیم که در ۳ سال گذشته چه مقدار از اعتبارمون خرج این سرویس ها شده که در مرحله بعدی امکان پیگیری برای برگشت پول وجود داره.

هرچند هیچ اعتقادی به امکان بازگشت پول ندارم ولی با بررسی که انجام دادم ، خوشبختانه قربانی این سرویس ها نبودم. 😆 

سرویس های ارزش افزوده

مجموعه “۴ مطلب” – شماره ۵ (۹۸/۸/۱۰)

سلام خدمت شما

با قسمت دیگه ای از مجموعه “۴ مطلب” در خدمتتون هستم.

مثل سری های قبل سعی می کنم مطالب جالبی که طی یک هفته گذشته با اون ها رو به رو بودم رو به اشتراک بزارم.

۱- انگیزه بگیر :mrgreen:  

خیلی وقت ها کاربرا سوال می کنن که از حوزه هک و امنیت هم میشه کسب درآمد کرد؟؟

هرچند سوال برای من دیگه واقعا تکراری شده ولی هربار سعی می کنم با صبر و حوصله برای کاربر توضیح بدم که راه های کسب درآمد در این حوزه چی هستن.

یکی از راه هایی که همیشه برای بچه ها مثال میزنم بحث باگ بانتی هستش.

در اینجا مطلبی رو مطالعه خواهید کرد که یکی از پنتسترهای معروف سایت bugcrowd.com در مورد گزارش هایی که ۶ ماه آخر فعالیتش ارائه کرده توضیح داده.

۲- تجربیات

تعدادی از محققان تجربیات خودشون در زمینه باگ بانتی رو با هشتگ #BugBountyTip به اشتراک گذاشتن که مجموعه ای از این تجربیات رو می تونید در این مطلب مشاهده کنید.

۳- معرفی ابزار

این ابزار با قابلیت جستجو خاصی که داره ممکنه در بعضی از وب سایت ها اطلاعات حساسی مثل فایل های پشتیبان ، رمزهای عبور و … رو در اختیارتون قرار بده.از اونجایی که کار کردن با برنامه بسیار ساده هستش برای این مورد فیلم آموزشی قرار ندادم.

این ابزار به دلیل دارا بودن انواع تنظیمات ، جزء بهترین ابزارها برای ساخت لیست پسورد است.

توصیه می کنم به زرادخانه تست نفوذ خودتان اضافه کنید 😆 

۴- دور زدن Cloudflare

قبلا در بخش های مختلف نحوه دور زدن Cloudflare رو آموزش دادم اما این هفته روش دیگه ای رو پیدا کردم که اینجا به اشتراک میزارم.

کافیه وارد این سایت بشید و در قسمت پایین (کادر) ، آدرس وب سایتی که از Cloudflare استفاده می کنه رو وارد کنید.

 

مجموعه “۴ مطلب” – شماره ۴ (۹۸/۸/۳)

سلام خدمت شما

این اولین مجموعه “۴ مطلب” هستش که در آبان ماه خدمت شمکا عزیزان ارائه می کنم.

باز هم مثل گذشته سعی کردم بهترین مطالبی که طی یک هفته گذشته برخورد داشتم رو گلچین کنم و در اختیارتون قرار بدم.

۱- بهترین کنفرانس هفته

در این بخش مجموعه ای از کنفرانس های جذاب پیرامون بحث هک و امنیت و به ویژه باگ بانتی وجود داره که از این لینک می تونید مشاهده کنید.

در بین این کنفرانس ها ، صحبت های فرانس روزن (Frans Rosén’s) برای من خیلی جذاب بود.

فرانس در مورد این توضیح می دهد که چطور بسیاری از آسیب پذیری های مهم رو که باعث کسب ۴۵،۰۰۰ دلار جایزه شده رو پیدا کرده.

۲- معرفی سایت

اگر دوست دارید بدون پرداخت هزینه برنامه نویسی رو یاد بگیرید به این سایت سر بزنید.

جالبی که سایت داره اینه که برنامه نویسی رو همراه با مثال ، تمرین و البته امتحان گرفتن به شما آموزش میده.

منظور از امتحان چیه؟

هر بخشی که به شما آموزش میده از شما یک تست میگیره و باید جواب بدید و اونجاست که مشخص میشه داشتید یاد میگرفتید یا خودتونا گول میزدید که بلدید 😀 

۳- فیلم های سینمایی در زمینه هک و امنیت

خیلی از کاربران دنبال فیلم های سینمایی در زمینه هک و امنیت بودند.خب سریال mr.robot رو همه میشناسن و از نظر نزدیک بودن به واقعیت فکر نمی کنم بهتر از این سریال داشته باشیم.

حتی دوره آموزشی رو قبلا پیرامون تکنیک های استفاده شده توسط نقش اول فیلم(الیوت) ، رکورد کردم با عنوان “تکنیک های Mr.Robot” که می تونید از این دوره آموزشی استفاده کنید.

اما گذشته از این سریال در این بخش لیستی از فیلم های سینمایی با موضوع هک و امنیت رو برای شما دوستان عزیز قرار میدم که دانلود کنید و لذت ببرید. 😉 

۴- بهترین اتفاق هفته 🙂 

این هفته یکی از کاربران که از طریق سایت با بنده آشنا شده بود عکسی رو فرستاد و گفت که کتاب مهندسی اجتماعی شمارو از کتابخانه آستان قدس رضوی گرفتم و دارم می خونم و خیلی خوبه و …

دقیقا نمی دونم کتاب چطوری به کتابخانه آستان قدس رسیده ولی این اتفاق خیلی خیلی برام شیرینه.

کتاب مهندسی اجتماعی-بهروز منصوری

 

 

مجموعه “۴ مطلب” – شماره ۳ (۹۸/۷/۲۶)

سلام خدمت شما

امروز ۲۶ مهر ۹۸ هستش و خدا را شکر توفیق این رو دارم که با یک بخش جدید از مجموعه ۴ مطلب در خدمتتون باشم 🙂

۱-ابزار قوی برای آنالیز شبکه

بچه هایی که مدت زیادی در زمینه تست نفوذ فعالیت می کنند به خوبی اطلاع دارن که هر پنتسری برای خودش یه زرادخانه تست نفوذ داره 😀

در این پست ابزاری رو معرفی کردم که حتما باید به این زرادخانه اضافه بشه تا قدرت اون چندین برابر بشه 😈

۲-نکته کلیدی

اگر در مراحل تست نفوذ بر روی سایت با ارور ۴۰۳ مواجه شدید و مثلا آدرس شما به این شکل بود:

www.site.com/index.html

می تونید ارور رو بایپس کنید و برای این کار کافیه آدرس را به این شکل وارد کنید:

/www.site.com/index.html

این کار رو در وب سایت های زیادی انجام دادم و نتیجه گرفتم.پس حتما به عنوان نکته مهم به خاطر بسپارید.

۳-چطور یک گزارش آسیب پذیری خوب بنویسم؟! 🙄

در مجموعه ۴ مطلبی که هفته گذشته منتشر کردم،مجموعه ای از قالب های گزارش باگ رو براتون قرار دادم.

هرچند اون مجموعه عالی بود ، ولی بد نیست که خودمون هم نحوه گزارش نویسی رو بلد باشیم.گاهی وقت ها در بعضی از سایت ها این گزارش های آماده خیلی مفید نیست و بهتره خودمون دست به کاربشیم.

خب پس تنبلی نکن و این مطلب رو بخون ۸-)

۴-مجموعه ابزارهای کاربردی

در این بخش لینکی از گیت هاب برای شما عزیزان قرار دادم که در اون لیستی از ابزارهای پرکاربرد در زمینه هک و امنیت قرار گرفته است.این ابزارهای ارزشمند رو از دست ندید!

این هفته یک بخش اضافی هم برای شما عزیزان قرار دادم :

۲ کانال تلگرام در زمینه باگ بانتی

https://t.me/bug_bounty_channel

https://t.me/thebugbountyhunter

مجموعه “۴ مطلب” – شماره ۲ (۹۸/۷/۱۹)

سلام خدمت شما

با بخش دیگه ای از مجموعه ۴ مطلب در خدمتتون هستم.

۱-قالب گزارش باگ

خیلی از بچه ها همیشه این مشکل رو دارند که نمی دونن چطوری باید به مدیر وب سایت اطلاع بدن که سایتشون آسیب پذیر هستش.

در واقع مشکل اصلی نوع نوشتن متن پیام هستش.تصمیم گرفتم مجموعه ای از قالب های گزارش باگ برای حفره های امنیتی مختلف رو در اختیارتون قرار بدم تا دیگه این مشکل رو نداشته باشید.

برای مشاهده اینجا کلیک کنید

۲-هشتگ در توییتر

اگر به گزارش باگ و بحث باگ بانتی علاقه دارید ، پیشنهاد می کنم هشت های زیر رو حتما در توییتر جستجو کنید تا بتونید مطالب جالبی پیرامون این موضوع رو مشاهده کنید.

فراموش نکنید حرفه ای شدن یک شبه اتفاق نمی افته،اول باید از روی دست بزرگترها دید و یاد گرفت 😉

#bugbountytip
#bugbountytips
#togetherwehiharder
#bountyprotip
#XBugBountyTips

۳-مقاله ارزشمند

بارها و بارها اشاره کردیم که ساخت دورک و استفاده از اون چقدر اهمیت داره و چه اطلاعات حساسی رو می تونه در اختیار نفوذگر قرار بده.

پیشنهاد می کنم این مقاله رو مطالعه کنید و ببینید که نویسنده مقاله چطور با ساخت چند دورک ساده به اطلاعات حساسی دست پیدا کرده و به شرکت های بزرگ گزارش باگ داده.

 

۴-زمان هک کردن از موسیقی هم لذت ببرید 😉

اگر دنبال موزیک مناسب هنگام کار تست نفوذ هستید ، موزیک های این کانال یوتیوب رو از دست ندید.

مجموعه “۴ مطلب” – شماره ۱ (۹۸/۷/۱۲)

سلام خدمت شما

خیلی خوشحالم که اولین قسمت از مجموعه “۴ مطلب” رو براتون می نویسم.

۱-ویدئو عالی با موضوع osint for pentest

پیشنهاد می کنم مطالب این ویدئو رو مشاهده کنید(البته زبان انگلیسی نسبتا قوی برای دیدنش نیاز دارید)

این ویدئو آموزشی در مورد تاثیر اوسینت در انجام پروژه های تست نفوذ یا بهتره بگیم در جمع آوری اطلاعات پیرامون تارگت مورد نظر است.

۲-مقاله جالب در مورد security.txt

همون طور که احتمالا اطلاع دارید اخیرا فایلی به نام security.txt در سایت ها ایجاد میشه که اگر نفوذگر یک آسیب پذیری در وب سایت پیدا کرد بدونه باید چطوری با مدیران وب سایت در ارتباط باشه و اصلا باید به چه کسی باگی که پیدا کرده رو گزارش بده.

حالا در این مقاله ، یک گروه تحقیقاتی با بررسی که انجام دادند متوجه شدند که از بین ۱۰۰ هزار سایت برتر از نظر الکسا فقط ۶۲ سایت این فایل رو ایجاد کردند!

البته در این مقاله از دلایلی که ممکنه باعث بشه سایت ها این فایل رو اصلا ایجاد نکنند هم صحبت شده.

۳-عجیب ترین سوال هفته !!

عجیب ترین سوال هفته(مجموعه "4 مطلب" - شماره 1 (98/7/12))

برای این مورد واقعا توضیح خاصی ندارم.فکر کنم بهتر باشه بنویسم “بدون شرح”

۴-اتفاق خوب هفته

در هفته ای که گذشت یکی از دانشجویان خوب و پر تلاش کلوپ امنیت موفق شدند با گزارش باگ از یک وب سایت از کشور عمان مبلغ ۴۰۰۰ دلار جایزه دریافت کنند که به شخصه خیلی خوشحال شدم که باز هم یکی دیگه از بچه ها تونست وارد بحث کسب درآمد در این حوزه قدرتمند بشه.

دوباره برمیگردم 😉

اگر از مطالعه این مطلب لذت بردی یا نکته ای داشت که به دردت می خورد خوشحال میشم اون رو به اشتراک بگذاری یا حداقل یک نظر یا پیشنهاد بدی که بدونم این مطالب برای یکی مفید بوده.