بلاگ | blog

اهمیت robots.txt در تست نفوذ

اهمیت robots.txt در تست نفوذ

یک Robots.txt درواقع یک فایل متنی ساده است که در مسیر اصلی فضای سایت شما یا روت دایرکتوری (Root Directory) قرار می‌گیرد. در حقیقت وظیفه این فایل معرفی بخش‌های قابل دسترسی و بخش‌های محدود شده برای دسترسی ربات‌ها یا با تعریفی دقیق‌تر، خزندگان سطح وب (Web Crawlers) که از سوی موتورهای جستجو به منظور بررسی و ثبت اطلاعات سایت‌ها ایجاد شده اند می‌باشد.

با درج دستوراتی خاص در این فایل، شما می‌توانید به ربات‌های موتورهای جستجو بگوئید که کدام صفحات، کدام فایل‌ها و کدام بخش‌های سایت شما را دیده و آن‌ها را ایندکس کنند و کدام صفحات را نادیده بگیرند. به عبارت دیگر، اولین چیزی که ربات‌های موتورهای جستجو با آن برخورد می‌کنند، همین فایل Robots.txt است. به محض رویارویی با این فایل، خزندگان سطح وب شروع به بررسی محتوا و لیست داخل این فایل کرده تا بخش‌های قابل دسترسی را پیدا کنند.

 

اهمیت robots.txt در تست نفوذ

 

همانطور که گفته شد، این فایل باید در روت اصلی هاست شما قرار بگیرد. در این حالت آدرس دسترسی به این فایل به صورت زیر خواهد بود :

www.site.com/robots.txt

در این ویدئو آموزش در مورد اهمیت robots.txt در تست نفوذ صحبت خواهیم کرد.

ارائه ۲ مقاله ارزشمند در وب سایت exploit-db

ارائه ۲ مقاله ارزشمند در وب سایت exploit-db

سلام خدمت شما

امروز ۲ مقاله جدید برای وب سایت معتبر exploit-db ارسال کردیم که خوشبختانه هر دو مورد تایید و روی وب سایت قرار گرفت.

ارائه ۲ مقاله ارزشمند در وب سایت exploit-db

مورد اول : پیرامون بحث تشخیص شخصیت های رفتاری با OSINT و Datasploit

لینک مقاله

مورد دوم : تست نفوذ وردپرس با استفاده از WPScan و MetaSploit

لینک مقاله

 

ارائه 2 مقاله ارزشمند در وب سایت packetstormsecurity

ارائه ۲ مقاله ارزشمند در وب سایت packetstormsecurity

سلام خدمت شما

امروز ۲ مقاله جدید برای وب سایت معتبر packetstormsecurity ارسال کردیم که خوشبختانه هر دو مورد تایید و روی وب سایت قرار گرفت.

ارائه 2 مقاله ارزشمند در وب سایت packetstormsecurity

 

مورد اول : WordPress Penetration Testing Using WPScan And Metasploit  به زبان انگلیسی

مورد دوم : WordPress Security به زبان فارسی

سرچ ایمیل در دیتابیس سایت های هک شده

سرچ ایمیل در دیتابیس سایت های هک شده

گاهی اوقات هک شدن یک سایت فقط برای مدیر آن خطرناک نیست،هک شدن یک سایت می تواند ضربه بزرگی به کاربران سایت بزند.

در این ویدئو آموزشی به شما نشان می دهیم که چگونه می توانید از قرار گرفتن ایمیل خودتان در دیتابیس سایت های هک شده معروف اطلاع پیدا کنید ، تا در صورتی که این اتفاق افتاده بود به سرعت اطلاعات ثبت نامی خودتان را تغییر دهید.

 

 

آموزش ابزار Namechk

آموزش ابزار Namechk

ابزار Osint بر اساس سایت namechk.com برای چک کردن نام کاربری در بیش از ۱۰۰ وب سایت، انجمن ها و شبکه های اجتماعی استفاده می شود.

 

آموزش ابزار Namechk

 

نحوه استفاده :

Search available username:    ./namechk.sh <username> -au

Search available username on specifics websites:    ./namechk.sh <username> -au -co

Search available username list:    ./namechk.sh -l -au

Search used username:    ./namechk.sh <username> -fu

Search used username on specifics websites:    ./namechk.sh <username> -fu -co

Search used username list:    ./namechk.sh -l -fu

 

در این ویدئو نحوه نصب و کار کردن با این ابزار را به شما عزیزان آموزش خواهیم داد.

 

کتاب هنر فریب (مهندسی اجتماعی)

کتاب هنر فریب (مهندسی اجتماعی)

کتاب هنر فریب (مهندسی اجتماعی)

« مهندسی اجتماعی » یا Social Engineering اساسا عبارت است از: هنر دسترسی به ساختمان ها، سیستم ها یا داده ها با بهره برداری از روان شناسی انسانی بدون نفوذ یا استفاده از تکنیک های هک فنی.  به عنوان مثال، یک مهندس اجتماعی به جای تلاش برای یافتن یک آسیب پذیری نرم افزاری، با تظاهر به اینکه یک شخص پشتیبان IT است، تلاش می کند تا یک یا چند کارمند را به منظور افشای رمز عبور خودشان فریب دهد.

کتاب هنر فریب (مهندسی اجتماعی)

حتی اگر در هوشیاری و آمادگی کامل باشید، زمانی که نوبت به حفاظت از مرکز داده ها، توسعه های ابری و امنیت ساختمان تان میرسد، با وجود اینکه بر روی فناوری های دفاعی سرمایه گذاری کرده اید و سیاست های امنیتی و فرایند های مناسب را در اختیار گرفته و کارامدی آنها را سنجیده و به طور مرتب ارتقایشان داده اید، باز هم یک مهندس اجتماعی میتواند راه خودش را باز کرده و به هدفش برسد.

آگاهی، اولین معیار دفاع است. کارکنان باید آگاه باشند که این روش وجود دارد و با رایج ترین تکنیک های مورد استفاده آشنا شوند.

ترفندهای مهندسی اجتماعی همیشه در حال تکامل هستند و آموزش آگاهی باید تازه و به روز باشد. به عنوان مثال، همان طور که سایت های شبکه های اجتماعی رشد و تکامل می یابدن، مهندسان اجتماعی سعی در استفاده از آنان دارند.

اما فقط کارمندان معمولی نیستند که باید از مهندسی اجتماعی آگاهی داشته باشد. رهبر ارشد و مدیران ارشد نیز اهداف مورد نظر مهاجمین هستن.

در این کتاب به روش های مختلفی که نفوذگران مهندسی اجتماعی استفاده می کنند اشاره می کنیم.برای درک بهتر مسئله تمام موارد به صورت مثال هایی در قالب داستان ارائه شده است.این کتاب نقشه راه قدرتمندی برای درک چگونگی کار مهندسان اجتماعی به شما ارائه می کند و این کار را با استفاده از داستان هایی سرگرم کننده انجام می دهد.در پایان هر داستان دستورالعمل های عملی برای کمک به شما جهت حفاظت در مقابل این مهندسان ، شرح داده شده است.

لازم به ذکر است که برای مطالعه این کتاب پیش نیاز خاصی مد نظر نبوده و صرفا علاقه شما به یادگیری این مباحث کافی است.

سعی شده در تمامی روش های ممکن مورد بررسی و ارزیابی دقیق موشکافانه قرار گیرد و موردی از قلم نیفتد تا در پایان کار شما خواننده عزیز توانایی پیاده سازی این نوع از حملات قدرتمند را داشته باشید.

 

برای تهیه نسخه pdf کتاب می توانید از این بخش اقدام کنید

آموزش ابزار Th3inspector

آموزش ابزار Th3inspector

با آموزش ابزار Th3inspector در خدمت شما دوستان عزیز هستیم.ابزاری که در زمینه جمع آوری اطلاعاتی مانند اطلاعات مربوط به سایت،اطلاعات مربوط به شماره تلفن و … می تواند بسیار کاربردی باشد.

تصویری از محیط داخلی ابزار :

 

آموزش ابزار Th3inspector

مثال هایی از دستورات این ابزار :

لیست کردن تمام دستورات :

perl Th3inspector.pl -h

گرفتن اطلاعات یک سایت :

perl Th3inspector.pl -i example.com

گرفتن اطلاعات یک شماره تلفن :

perl Th3inspector.pl -n xxxxxxx

پیدا کردن آیپی آدرس و ایمیل های مربوط به سرور :

perl Th3inspector.pl -mx example.com

پیدا کردن آیپی اصلی سایت که با کلودفلر حفاظت شده:

perl Th3inspector.pl -c example.com

دستور لازم برای نصب در لینوکس :

git clone https://github.com/Moham3dRiahi/Th3inspector.git
cd Th3inspector
chmod +x install.sh && ./install.sh

دستور لازم برای نصب در ویندوز :
Download Perl
Download Th3inspector
cpan install JSON
Extract Th3inspector into Desktop
Open CMD and type the following commands:
cd Desktop/Th3inspector-master/
perl Th3inspector.pl


آموزش ابزار trade

آموزش ابزار trade

در این پارت از آموزش نحوه کار کردن با ابزار trade به عنوان یکی از ابزارهای بسیار خوب در زمینه جمع آوری اطلاعات و کلاینت هکینگ آشنا خواهید شد.

آموزش در محیط کالی لینوکس است.

 

تست امنیت وردپرس با WPSeku

تست امنیت وردپرس با WPSeku

تست امنیت وردپرس با WPSeku

وردپرس یک سیستم مدیریت محتوا (CMS) آزاد و متن باز است که توسط میلیون ها نفر از سراسر جهان برای اجرای وبلاگ ها و وب سایت های کاملا کاربردی مورد استفاده قرار می گیرد. از آنجایی که این CMS بیشتر مورد استفاده قرار می گیرد، حفره‌های امنیتی بیشتری هم روزانه در مورد این سیستم مدیریت محتوا منتشر می‌شود.

با این حال، اگر ما از شیوه های بهترین شیوه ها امنیتی صحیح استفاده کنیم، این مشکلات امنیتی را می توان حل کرد. در این ویدئو ما به شما نحوه استفاده از WPSeku، اسکنر آسیب‌پذیری وردپرس در لینوکس را آموزش می‌دهیم که می تواند برای پیدا کردن حفره های امنیتی وردپرس جلوگیری از این تهدیدات بسیار موثر باشد.

WPSeku یک اسکنر آسیب پذیری وردپرس است که با استفاده از پایتون نوشته شده است، می توان از آن برای اسکن وردپرس جهت یافتن مشکلات امنیتی استفاده کرد.

کامندهای ابزار:

Usage: ./wpseku.py [--target|-t] http://localhost

-t --target Target URL (eg: http://localhost)
-x --xss Testing XSS vulns
-s --sql Testing SQL vulns
-l --lfi Testing LFI vulns
-q --query Testable parameters (eg: "id=1&test=1")
-b --brute Bruteforce login via xmlrpc
-u --user Set username, default=admin
-p --proxy Set proxy, (host:port)
-m --method Set method (GET/POST)
-c --cookie Set cookies
-w --wordlist Set wordlist
-a --agent Set user-agent
-r --redirect Redirect target url, default=True
-h --help Show this help and exit

 

ابزار John The Ripper

ابزار John The Ripper

ابزار John The Ripper ابزار کرکر پسورد مورد علاقه بیشتر هکرها در جهان است. این ابزار دارای ویژگی های زیادی می باشد. همچون تشخیص خودکار الگوریتم های هشینگ و رمزنگاری رایج , توانایی استفاده از فایل های دیکشنری و حملات بروت فورس و …

 

ابزار John The Ripper

با استفاده از ابزار John The Ripper می توان قوانین جدیدی(Rules) به فایل های دیکشنری اضافه کرد , آنها را ویرایش نمود و لیست کلمات قوی تری را ایجاد نمود.

هدف اصلی ابزار John The Ripper ایجاد لیست کلمات نیست , بلکه کرک پسوردها می باشد. هرچند ویژگی های فراوان آن به ما اجازه می دهد تا لیست کلمات بهتری را ایجاد نماییم.

در این ویدئو آموزشی نحوه کار کردن با این ابزار قدرتمند را به شما آموزش می‌دهیم.