نوشته‌ها

ویدیو پیدا کردن فایل‌‌‌‌های مهم سایت

سلام.من بهروزم و با ویدیو پیدا کردن فایل‌‌‌‌های مهم سایت در خدمتتون هستم.

منظور از فایل‌های مهم، فایل‌هایی مثل backup، config و … هستند که با این روش خیلی ساده می‌تونید روی سایت پیداشون کنید.

به خوبی اطلاع دارید که اگر این فایل‌ها رو داشته باشیم میشه زمینه لازم برای تست نفوذ به سایت.

خیلیا رو دیدم که دستی این موارد رو تست می‌کنن.

ولی تو این مورد به نظرم استفاده از ابزار بهتره چون سرعت کار به شدت بالا میره.

برای نمونه تصویر زیر خروجی بررسی یک سایت داخلیه.

ویدیو پیدا کردن فایل‌‌‌‌های مهم سایت

 

در این روش از ابزار burp suite استفاده خواهیم کرد.

دیدن این ویدیو رو به همه علاقه‌مندان به حوزه هک و امنیت توصیه می‌کنم 😉 

 

 

“ویدیو پیدا کردن فایل‌‌‌‌های مهم سایت”

مجموعه ۴ مطلب – شماره ۲۷

سلام بهروز منصوری هستم و با قسمت جدیدی از مجموعه ۴ مطلب – شماره ۲۷ در خدمتتون هستم.

همچنان شمال هستم و اینطور که به نظر میرسه، احتمالا هفته آینده هم شمال خواهم بود.

تقریبا شمال زده شدم 🙄 

شوخی کردم 😀 

این هفته رشت هستم و اینقدر هوا عالیه که بعضی وقت‌ها به سرم میزنه یه خونه تو رشت بگیرم.

الان که دارم این مطلب رو می‌نویسم تو یکی از محله‌های رشت به نام گلسار هستم.به نظرم محیط خوبی داره و آینده خوبی برای سرمایه گذاری.

خبر جدید این که با یک نفر صحبت کردم که تصاویر سایت رو از این به بعد ایشون طراحی کنن.

چون می‌دونید که کار گرافیکی من افتضاحه 😀 

با وجود این دوست عزیز انشاالله تصاویر با کیفیت‌تر و جذاب‌تری خواهیم داشت.

بریم سراغ ۴ مطلب این هفته.

۱- تصاحب حساب ساده و دریافت ۱۸۰۰ دلار بانتی

باگ بانتی

باگ بانتی یعنی این که شما یه false رو تبدیل کنی به true و ۱۸۰۰ دلار هم بگیری 😀 

حالا نکته اینجاست که چندسال تجربه پشت همین کار ساده وجود داره.

وگرنه هرکسی می تونست اون true لعنتی رو بزاره.

ولی این دلیل نمیشه که نفر بعدی که این کارو انجام میده تو نباشی.

من نمی دونم چطوری باید بهت بفهمونم که با شرکت تو دوره کلوپ امنیت نفر بعدی می‌تونی تو باشی ➡ 

این مقاله رو مطالعه کن و با روش کار این شکارچی باگ آشنا شو.

 

۲- برنامه‌های خوب رو بشناس!

ابزارهای هک و امنیت

مقاله‌ای که براتون لینکش رو قرار میدم شاید از نظر نحوه پیاده سازی نکته خاصی نداشته باشه ولی از نظر ابزارهایی که هکر استفاده کرده خیلی مهمه.

خیلی وقت‌ها مقالات رو مطالعه می‌کنیم تا با روش‌های استفاده شده توسط هکر آشنا بشیم.

این مقاله یکی از همون دست مقالاته.پس مطالعه کن

در ضمن، به خاطر اهمیت این ابزارها، احتمالا در آینده برای هر ابزار ویدیو جداگانه‌ای رو در سایت منتشر خواهم کرد. 😉 

۳- گزارش باگ برای تازه‌کاران

آموزش ابزار Dirhunt

اینقدر گفتم گزارش باگ راحته دیگه اعصابت خورد میشه نه؟ 😀 

والا به پیر به پیغمبر راحته.

تو این گزارش رو بخون.ببین طرف چکار کرده.اگه راحت نبود بیا بگو بهروز راحت نبود 😆 

تنها نکته این گزارش استفاده از ابزاری به نام Dirhunt هستش که انشاالله در آینده یه ویدیو برای این مورد هم رکورد خواهم کرد.

۴- هکر خوش‌شانس دوست داشتنی

این سومین گزارشی هستش که از یه هکر قرار میدم و جالبه همه گزارش‌هایی که داشته همه خیلی ساده بودن و به راحتی بانتی رو دریافت کرده.

در این مقاله به راحتی با استفاده از افزونه no redirect صفحه مدیریت رو بایپس کرده و ۲۰۰ دلار بانتی دریافت کرده.

 

آخر هفته خوبی داشته باشید 😉 

“مجموعه ۴ مطلب – شماره ۲۷”

مجموعه “۴ مطلب” – شماره ۱۰ (۹۹/۱/۱)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم . اول یک عذرخواهی کنم از همه دوستان بابت فاصله‌ای که در انتشار ۴ مطلب افتاد و لازم می‌دونم در مورد این موضوع توضیحاتی رو خدمتتون ارائه کنم.

وقعیت من تا شماره ۱۴ این مجموعه رو منتشر کردم ولی متاسفانه مشکلی برای هاستینگ به وجود اومد و چون نسخه پشتیبان درستی هم تهیه نکرده بودند یکسری از مطالب سایت حذف شد و تنبلی من هم مزید بر علت شد که این مجموعه روال عادی خودش رو ادامه نده.علی ای حال(این کلمه رو خیلی دوست دارم 😀 ) با آخرین قسمت از مجموعه ۴ مطلب در سال ۹۸ در خدمتتون هستم.

۱- حرکت لاکپشتی حوزه امنیت در ایران

این هفته یکی از بچه‌های کلوپ امنیت در تلگرام پیام داد که اینجا براتون قرار میدم، دیدن پیامش خالی از لطف نیست.

گزارش باگ سایت دانشگاه

طرف حاضره سایت رو از اول طراحی کنه ولی بابت گزارش باگ هزینه نکنه.بعد میگن چرا حوزه امنیت در ایران پیشرفتش سریع نیست!!

 

۲-ارائه خوب در مورد password cracking

password cracking

در این ویدئو، Jon Gorenflo در مورد کرک پسورد صحبت می‌کنه که مطالبی که بیان میشه بسیار کاربردی و مفیده.

لینک ویدئو

۳- تست نفوذ ساده

تست نفوذ ساده

این مقاله مشخص می‌کنه که تست نفوذ همیشه کار پیچیده‌ای نیست.در این مقاله به کمک متاسپلویت دسترسی خوبی رو به دیتابیس خواهیم داشت.

لینک مقاله

۴- email spoofing

حمله spoofing یا حمله جعل، شرایطى است که در آن یک شخص یا برنامه، خود را به عنوان شخص یا برنامه دیگری معرفی کرده و با جعل داده‌ها موفق به به دست آوردن اطلاعات مهم می‌شود.

در این نوع حملات معمولا مهاجمین آدرس‌های IP و همچنین آدرس‌های سخت افزاری خود یا MAC ها را دست‌کاری و تغییر داده و به سیستم هدف این‌طور القا می‌کنند که در حال برقراری ارتباط درستی هستند و این در حالی است که سیستم هدف فریب اینکار را خورده است. در این حالت سیستم هدف به دلیل اینکه به آن آدرس IP و یا MAC اعتماد دارد به سیستم مهاجم اجازه دسترسی به منابع تعیین شده در سیستم را خواهد داد و به این شکل مهاجم موفق به نفوذ به سیستم هدف و قربانى مى‌‍شود.

در این مقاله درمورد جعل ایمیل صحبت شده است.

مشاهده مطلب

 

پیشاپیش عید رو به همه شما دوستان عزیز تبریک میگم.هرچند ویروس کرونا باعث شد، پایان سال ۹۸ همراه با تلخی‌های فراوان باشه اما انسان به امید زندست و امیدوارم سال ۹۹ سرشار از موفقیت و سلامتی باشه.

ارادتمند بهروز منصوری

 

مجموعه “۴ مطلب” – شماره ۱۰ (۹۹/۱/۱)

صاحبان خودروهای هوشمند مراقب باشند

صاحبان خودروهای هوشمند مراقب باشند

بسیاری از کارشناسان فعال در حوزه امنیت سایبری هشدار داده اند خودروهای هوشمند سازی پذیری بالایی در برابر نفوذ هکرها و مجرمان سایبری دارند.(صاحبان خودروهای هوشمند مراقب باشند)

صاحبان خودروهای هوشمند مراقب باشند

در سال های اخیر صنعت خودروسازی با همکاری غول‌های تکنولوژی در جهان فناوری و سیستم های هوشمند جدیدی را به خودروهای تولید شده خود معرفی و عرضه کرده‌اند تا بتوانند نظر و رضایت مشتریان و رانندگان را جلب کرده و به این ترتیب سهم خود را در بازارهای جهانی افزایش دهند.

حالا به تازگی کارشناسان فعال در حوزه امنیت سایبری با بررسی و تحقیقات جدید خود دریافت و هشدار دادند که نرم افزار و سخت افزارهای موجود در خودروهای مدرن و هوشمند آسیب پذیری بسیار بالایی در برابر نفوذ هکرها و مجرمان سایبری دارند که به خاطر سهل انگاری خودروسازان است چراکه آنها خطر نفوذ هکرها از طریق سیستم های هوشمند خودرو و احتمال سرقت آن را دست کم گرفته‌اند.

آنها در ادامه گزارش خود خاطر نشان کردند هکرها با تهیه ابزارهای هک به سادگی قادر خواهند بود ایموبلایزرهای خودرو را قطع کرده و و خودرو را به سرقت ببرند.

انتشار گزارش‌های این چنینی وظیفه و مسئولیت خودروسازان را چندین برابر بیشتر خواهد کرد تا به فکر ارائه سیستم‌های هوشمند با امنیت بسیار بالاتر افتاده و پروتکل‌های امنیتی بهتر و جدیدتری را برای خودروهای تولید شده خود اتخاذ کنند.

گوشی‌های همراه مقامات ۲۰ کشورهک شد

گوشی‌های همراه مقامات ۲۰ کشورهک شد

یک نرم افزار ساخته شده توسط شرکت اسرائیلی NSO Group برای جاسوسی از مقامات رسمی دست کم ۲۰ کشور از طریق اپلیکیشن واتس‌اپ استفاده شده است.

گوشی‌های همراه مقامات ۲۰ کشورهک شد

به گزارش خبرگزاری رویترز، مقامات دولتی کشورهای زیادی که با آمریکا در ارتباط هستند هدف نرم افزار هکری شدند که از طریق پیام‌های برنامه واتس‌اپ از تلفن‌های کاربران جاسوسی می‌کرد.

به گفته این خبرگزاری روز سه شنبه ۲۹ اکتبر واتس‌اپ شکایتی را علیه گروه اسرائیلی ان اس او که سازنده ابزارآلات هکری هست، تنظیم کرد.

این پیام رسان که متعلق به فیسبوک می‌باشد، تایید کرده است که گروه ان اس او بسترهای نرم افزاری هک رایانه‌ای این نرم افزار را ساخته و به فروش رسانده است.

براساس منابع رویترز نرم افزار ان اس او گروپ به هکرها اجازه داده است تا به اطلاعات ذخیره شده در تلفن‌های مقامات و نظامیان دسترسی پیدا کنند.

رویترز بدون اشاره به اسامی تمامی کشورهایی که این اتفاق برای آنها رخ داده است اعلام نکرد که چه کسی این نرم افزار را استفاده کرده است.

منابع رویترز همچنین تاکید کردند که برخی از اهداف در آمریکا، امارات متحده عربی، بحرین، مکزیک، پاکستان و هند بودند.

واتس‌اپ همچنین شرکت NSO Group را به هدف قرار دادن ۱۰۰ مدافع حقوق بشر، خبرنگار و اعضای جامعه مدنی در جهان متهم کرده است.

شرکت مذکور که در “هرتزلیا” در شمال تل آویو قرار دارد در ماه مه گذشته اعلام کرده بود که فناوری این شرکت از طریق واسطه مجوزها به دولت‌ها فروخته شده است تا علیه جنایت و تروریسم به کار گرفته شود.