نوشته‌ها

مجموعه “۴ مطلب” – شماره ۱۲ (۹۹/۵/۳)

مجموعه “۴ مطلب” – شماره ۱۲ (۹۹/۵/۳)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم .


۱- مقاله‌‌ ای که جواب سوال خیلیاست

برای شروع باگ بانتی از چه ابزاری استفاده کنم؟این سوال خیلیاست!

در این مقاله در مورد این موضوع صحبت می‌کنه و تاکیدش رو اینه که شروع کار برای همه یک شکل و یک مدل نیست.

بعد به این می‌پردازه که ابزار در باگ‌بانتی خیلی مهم نیست و باید تست نفوذ دستی انجام بشه.(موردی که من همیشه به دانشجویان کلوپ امنیت میگم)

مطالعه این مقاله که نوشتاری ساده و روال داره رو به دوستان عزیز پیشنهاد می‌کنم

لینک مقاله


۲- مقاله بررسی ۴ مشکل امنیتی در یک سایت

مقاله بررسی 4 مشکل امنیتی در یک سایت-مجموعه “4 مطلب” – شماره 12 (99/5/3)

هرچند در این مقاله اسم سایت رو به دلیل مسائل امنیتی مخفی کردن ولی حاوی نکات ارزشمندیست که می‌تونه به شما در پروژه‌های تست نفوذ کمک کنه.

لینک ویدئو

۳- دریافت جایزه ۲۰۰۰۰ دلاری از فیسبوک

این مقاله در مورد این است که چطور Vinoth Kumar با پیدا کردن آسیب‌پذیری DOM XSS از فیسبوک جایزه ۲۰۰۰۰ دلاری دریافت کرد. ۸-) 


April 17, 2020 – Initial Report Sent.
April 17, 2020 – Acknowledgment of Report.
April 20, 2020 – Fix pushed by Facebook.
April 29, 2020 – Confirmation of Fix by Facebook.
May 01, 2020 – $۲۰۰۰۰ Bounty Awarded by Facebook.

لینک مطلب


۴- یه خبر خوب!

خیلی وقت بود تصمیم گرفته بودم یکسری ویدئو رایگان تحت عنوان مینی دوره منتشر کنم که انتشار این ویدئوها در سایت شخصی خودم(همین سایت)، سایت فرانش و اینستاگرامم خواهد بود.

ویژگی خاصی که این دوره‌ها داره کیفیت بالا، مطلب دست اول و رایگان بودنشه.

هرچند تهیه این نوع محصولات وقت زیادی رو ازم میگیره ولی دوست دارم افرادی با این کار افراد بیشتری رو با حوزه هک و امنیت آشنا کنم.

علاوه بر این در اینستاگرامم تک ویدئوهای مختلف در مورد موضوعات جدید رو خواهم داشت که بتونه راهنمای خوبی در دنیای هک و امنیت باشه.

امیدوارم مخاطبان این ویدئوها با اشتراک گذاشتن اون‌ها، در رسیدن به هدفم کمکم کنند 🙂 

مجموعه “۴ مطلب” – شماره ۱۲ (۹۹/۵/۳)

ویدئو آموزش تست امنیت سایت (سایت شماره ۹)

ویدئو آموزش تست امنیت سایت (سایت شماره ۹)

سلام خدمت شما

با نهمین ویدئو آموزشی تست امنیت سایت در خدمت شما بزرگواران هستم.سایت قبلی از کشور کانادا بود و این‌بار سراغ سایتی از کشور چین رفتیم.

در مجموعه‌ی “تست امنیت سایت” سعی داریم، سایت‌هایی را بررسی کنیم که مراحل تست نفوذ آنها دارای نکات کوچک و بزرگی است که یادگیری این نکات سبب افزایش مهارت شما در بحث تست نفوذ می‌شود.

در این وب‌سایت خواهید دید که لود شدن سریع صفحه باعث حساسیت می‌شود و امکان تست نفوذ را از ما می‌گیرد و خیلی راحت این مشکل را برطرف می‌کنیم.

سایت مورد بررسی : sendpoints.cn

سایت مربوط به چین می‌باشد

 
 

مجموعه “۴ مطلب” – شماره ۱۰ (۹۹/۱/۱)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم . اول یک عذرخواهی کنم از همه دوستان بابت فاصله‌ای که در انتشار ۴ مطلب افتاد و لازم می‌دونم در مورد این موضوع توضیحاتی رو خدمتتون ارائه کنم.

وقعیت من تا شماره ۱۴ این مجموعه رو منتشر کردم ولی متاسفانه مشکلی برای هاستینگ به وجود اومد و چون نسخه پشتیبان درستی هم تهیه نکرده بودند یکسری از مطالب سایت حذف شد و تنبلی من هم مزید بر علت شد که این مجموعه روال عادی خودش رو ادامه نده.علی ای حال(این کلمه رو خیلی دوست دارم 😀 ) با آخرین قسمت از مجموعه ۴ مطلب در سال ۹۸ در خدمتتون هستم.

۱- حرکت لاکپشتی حوزه امنیت در ایران

این هفته یکی از بچه‌های کلوپ امنیت در تلگرام پیام داد که اینجا براتون قرار میدم، دیدن پیامش خالی از لطف نیست.

گزارش باگ سایت دانشگاه

طرف حاضره سایت رو از اول طراحی کنه ولی بابت گزارش باگ هزینه نکنه.بعد میگن چرا حوزه امنیت در ایران پیشرفتش سریع نیست!!

 

۲-ارائه خوب در مورد password cracking

password cracking

در این ویدئو، Jon Gorenflo در مورد کرک پسورد صحبت می‌کنه که مطالبی که بیان میشه بسیار کاربردی و مفیده.

لینک ویدئو

۳- تست نفوذ ساده

تست نفوذ ساده

این مقاله مشخص می‌کنه که تست نفوذ همیشه کار پیچیده‌ای نیست.در این مقاله به کمک متاسپلویت دسترسی خوبی رو به دیتابیس خواهیم داشت.

لینک مقاله

۴- email spoofing

حمله spoofing یا حمله جعل، شرایطى است که در آن یک شخص یا برنامه، خود را به عنوان شخص یا برنامه دیگری معرفی کرده و با جعل داده‌ها موفق به به دست آوردن اطلاعات مهم می‌شود.

در این نوع حملات معمولا مهاجمین آدرس‌های IP و همچنین آدرس‌های سخت افزاری خود یا MAC ها را دست‌کاری و تغییر داده و به سیستم هدف این‌طور القا می‌کنند که در حال برقراری ارتباط درستی هستند و این در حالی است که سیستم هدف فریب اینکار را خورده است. در این حالت سیستم هدف به دلیل اینکه به آن آدرس IP و یا MAC اعتماد دارد به سیستم مهاجم اجازه دسترسی به منابع تعیین شده در سیستم را خواهد داد و به این شکل مهاجم موفق به نفوذ به سیستم هدف و قربانى مى‌‍شود.

در این مقاله درمورد جعل ایمیل صحبت شده است.

مشاهده مطلب

 

پیشاپیش عید رو به همه شما دوستان عزیز تبریک میگم.هرچند ویروس کرونا باعث شد، پایان سال ۹۸ همراه با تلخی‌های فراوان باشه اما انسان به امید زندست و امیدوارم سال ۹۹ سرشار از موفقیت و سلامتی باشه.

ارادتمند بهروز منصوری

 

مجموعه “۴ مطلب” – شماره ۱۰ (۹۹/۱/۱)

شکاف امنیتی در ویندوز ۱۰ کشف شد

شکاف امنیتی در ویندوز ۱۰ کشف شد

سازمان امنیت ملی آمریکا یک شکاف امنیتی در سیستم عامل ویندوز ۱۰ کشف کرده که به هکرها اجازه می دهد به ارتباطات ایمن نفوذ کنند.

شکاف امنیتی در ویندوز ۱۰ کشف شد

این سازمان به مایکروسافت اطلاع داد تا مشکل برطرف شود.

درهمین راستا مایکروسافت یک وصله امنیتی رایگان ارائه کرد.

این شرکت اعلام کرده تاکنون هیچ شواهدی از دسترسی هکرها به این شکاف امنیتی رصد نکرده است.

به گفته مایکروسافت این شکاف امنیتی به مهاجمان اجازه می دهد امضای دیجیتالی که به قطعات نرم افزاری وابسته است را جعل کنند و در نتیجه یک کد ناسازگار و مخرب به عنوان یک نرم افزار قانونی نشان داده می شود.

این اختلال در محیط هایی مشکل ساز می شود که اجازه نامه دیجیتال برای تایید نرم افزار مورد نیاز ماشین ها نیاز است.

اطلاعات ۷۲۵ هزار متقاضی دریافت گواهی تولد در آمریکا فاش شد

هک شدن یک شرکت تجاری در آمریکا که به افراد امکان می دهد یک کپی جدید از گواهی تولد خودشان را دریافت کنند، باعث شده داده های ۷۲۵ هزار درخواست کننده در فضای آنلاین منتشر شود.

اطلاعات ۷۲۵ هزار متقاضی دریافت گواهی تولد در آمریکا فاش شد

سرقت داده های مذکور اطلاعات متنوع مربوط به گواهی های تولد درخواستی را نیز در معرض دید همگان قرار داده است.

اولین بار یک شرکت امنیتی به نام فیدوس اینفورمیشن وقوع این سانحه امنیتی را کشف کرد.

شرکت یادشده درخواست های مذکور را بر روی سرویس کلود آمازون موسوم به AWS ذخیره می کند و برای حفاظت از این اطلاعات از کلمات عبور استفاده نمی کند.

لذا هکرها با حدس زدن آدرس ذخیره سازی داده های مذکور و وارد کردن آنها در مرورگر خود توانسته اند به آنها دسترسی یابند.

نام شرکتی که داده های آن هک شده برای حفظ حریم شخصی و امنیت افرادی که از خدمات آن استفاده می کنند، فاش نشده است.

اطلاعات هک شده مواردی همچون اسامی داوطلبان، تاریخ تولد آنها، آدرس فعلی منزل آنها، ایمیل و شماره تلفن و غیره را در بر می گیرد.

بررسی ها نشان می دهد حتی داده هایی مانند آدرس قبلی افراد، اسامی اعضای خانواده و علت درخواست دریافت مجدد گواهی تولد هم از این طریق افشا شده است.

اطلاعات سرقت شده مربوط به سال ۲۰۱۷ است. شرکت یادشده هر روز حدود ۹۰۰۰ درخواست صدور مجدد گواهی تولد دریافت می کرد.

کشف ۴۴ میلیون حساب فاقد امنیت توسط مایکروسافت

یافته‌های گروه تحقیقاتی مایکروسافت نشان می‌دهد حدود ۴۴ میلیون حساب کاربری فعال در خدمات مختلف این شرکت وجود دارد که از کلمات عبور هک شده یا دارای مشکل امنیتی استفاده می‌کنند.

کشف ۴۴ میلیون حساب فاقد امنیت توسط مایکروسافت

این شرکت تمامی حساب های کاربری مورد استفاده کاربران خود را از ژانویه تا ماه مارس امسال بررسی کرد و پس از مقایسه آنها با داده‌های بیش از سه میلیارد حساب هک شده، به این نتیجه رسید که ۴۴ میلیون حساب کاربری فعال این شرکت به علت مذکور مشکل امنیتی دارند.

مایکروسافت با ارسال پیام‌هایی برای مالکان این حساب‌ها به آنها هشدار داده که باید هر چه سریع تر از کلمات عبور تازه‌ای استفاده کنند تا امنیتشان به خطر نیفتد. این شرکت برخی از پیام های خود را برای مدیران سایت هایی ارسال کرده که حساب های مذکور از طریق آنها مورد استفاده بوده اند.

انگشتری که اثر انگشت مصنوعی تولید می کند

انگشتری ساخته شده که می تواند اثرانگشت مصنوعی تولید کند. این اثر انگشت برای باز کردن قفل موبایل وتایید پرداخت آنلاین کاربرد دارد و فاش شدن آن نیز مانند اطلاعات بیومتریک فرد خطرناک نیست.

انگشتری که اثر انگشت مصنوعی تولید می کند

شرکت امنیت سایبری« کاسپراسکای» یک انگشتر ابداع کرده که می تواند اثر انگشت های یگانه ای بسازد و کاربر می تواند از آن برای باز کردن قفل موبایل یا احراز هویت برای پرداخت استفاده کند.

این انگشتر با پرینتر سه بعدی ساخته می شود و هدف از تولید آن راهی برای جلوگیری از سرقت اطلاعات بیومتریک افراد است.

اثر انگشت واقعی را نمی توان تغییر داد و در صورت لو رفتن، اطلاعات فرد برای همیشه فاش می شود. اما با کمک این وسیله می توان اثر انگشت هایی خاص تولید کرد.

محققان کاسپراسکای برای ساخت این انگشتر با «بنجامین وای» طراح ۳ بعدی همکاری کردند تا یک اثر انگشت مصنوعی بسازند.

این انگشتر از نوعی لاستیک ساخته شده که حاوی هزاران فیبررسانا است و در حلقه ای از جنس نقره قرار گرفته اند.

انگشتری که اثر انگشت مصنوعی تولید می کند

سطح این انگشتر را می توان مانند انگشت واقعی روی اسکنر بیومتریک فشار داد تا قفل موبایل و در را بازیا یک پراخت آنلاین را تایید کند.

برای تضمین یگانه بودن هریک از طرح های اثر انگشت در انگشتری معمولی از یک نرم افزار مخصوص استفاده می شود و سپس به وسیله فیبرهای رسانایی که به طور تصادفی توزیع شده اند، خاص و یگانه می شوند و قابل استفاده خواهند بود.

اگر انگشتر مذکور گم شود یا اثر انگشت تولیدی آن فاش شود، فرد می تواند یک حلقه دیگر را با طرح اثرانگشتی جدید جایگزین کند.

متاسفانه این انگشتر مجهز به ویژگی های امنیتی فقط به شکل طرح اولیه است و شرکت روسی مذکور تصمیمی برای تولید تجاری آن ندارد.

پوتین قانون الزامی شدن نصب اپلیکیشن های روسی را امضا کرد

پوتین یکی از مصوبات جدید دومای روسیه را تایید کرده که به موجب آن نصب برخی اپلیکیشن های روسی به طور پیش فرض بر روی گوشی ها، تلویزیون ها و رایانه های عرضه شده در این کشور الزامی می شود.

پوتین قانون الزامی شدن نصب اپلیکیشن های روسی را امضا کرد

مقامات روسیه که هجوم اپلیکیشن های آمریکایی به بازار فناوری اطلاعات و ارتباطات روسیه را تهدیدی برای اقتصاد و امنیت و کسب و کارهای فناوری محور در این کشور می دانند از مدتی قبل به دنبال الزامی کردن نصب برخی اپلیکیشن های روسی بر روی گوشی ها، تلویزیون های و رایانه های شخصی بوده اند که در این کشور برای فروش به بازار می آید.

بر اساس مصوبه تازه پارلمان روسیه، فروش گوشی های هوشمند، تلویزیون ها و رایانه هایی که بر روی آنها فهرستی از اپلیکیشن های روسی به طور پیش فرض نصب نشده باشند، ممنوع خواهد شد.

ولادیمیر پوتین رئیس جمهور روسیه این مصوبه را امروز امضا کرد تا آن را به صورت قانون درآورد. اجرای این قانون از اول جولای سال آینده میلادی آغاز می شود و قرار است تا آن زمان دولت روسیه فهرستی از این اپلیکیشن های روسی را اعلام کند.

دولت روسیه می گوید اجرای چنین قانونی به برنامه نویسان و توسعه دهندگان روس نیز امکان می دهد تا هر چه بهتر با شرکت های فناوری خارجی که هم اکنون بازار داخلی این کشور را قبضه کرده اند، رقابت کنند.

البته با توجه به سختگیری های برخی شرکت های فناوری آمریکایی مانند اپل در زمینه نصب برنامه های پیش فرض بر روی تولیداتشان مشخص نیست این طرح چگونه اجرا خواهد شد.

برخی صاحب نظران می گویند در صورت مقاومت گوگل، اپل و شرکت های مشابه در این زمینه امکان اخراج آنها از روسیه وجود خواهد داشت و لذا آنها تابع نظرات دولت روسیه خواهند بود.

پیام رسان سیگنال برای آیپد عرضه شد

پیام رسان سیگنال برای آیپد عرضه شد. این اپلیکیشن امنیت بالایی داشته و از زبان های مختلفی پشتیبانی می کند.

سیگنال بروزرسانی جدیدی دریافت کرد. در این آپدیت یک نسخه مخصوص برای آیپدهای اپل در نظر گرفته شده است. همانند نسخه دسکتاپ، کاربران می توانند به صورت همزمان از این پیام رسان در گوشی هوشمند و تبلت خود استفاده کنند.

بنابراین در تمام دستگاه ها می توان پیام ارسال و یا دریافت کرد. در این بروزرسانی شاهد رابط کاربری جدیدی برای تبلت های اپل هستیم.

بروزرسانی جدید پیام رسان سیگنال برای آپید بهینه سازی شده و دیگر به صورت مصنوعی در نمایشگرهای بزرگ، المان های آن تغییر اندازه نمی دهند.

با دریافت این آپدیت، گفتگوهای شما در حالت افقی و عمودی به نمایش گذاشته می شود، بنابراین نحوه نگه داشتن آیپد تاثیر منفی روی تجربه کاربری شما نخواهد داشت.

پیام رسان سیگنال برای آیپد عرضه شد

سیگنال ۳٫۰ به قابلیت تریم ویدیو در اپلیکیشن خود مجهز شده است. توسط این ویژگی می توانید ویدیوهای خود را به هایلایت تبدیل کنید.

در صورتی که خواهان ارسال پیام و یا تماس با کاربر دیگری در یک گروه باشید، می توانید با لمس آواتار آن، چنین کاری را انجام دهید.

در این آپدیت جدید شاهد پشتیبانی این اپلیکیشن از زبان های جدیدی هستیم که برای مثال می‌ توان به هندی، اوکراینی و ویتنامی اشاره کرد.

در نهایت باید به قابلیت فوروارد پیام ها اشاره کرد. کاربران می توانند قبل از فوروارد پیام ها، آن ها را ویرایش و اطلاعات به آن ها اضافه و یا از آن ها حذف کنند.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

فیس‌بوک و توییتر اعلام کردند که احتمالا اطلاعات صدها نفر از کاربرانی که وارد فروشگاه آنلاین گوگل پلی استور شده‌اند، افشا شده است.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

بر اساس گزارش وب سایت the verge، محققان و کارشناسان فعال در حوزه امنیت سایبری که این شرکت‌های تکنولوژی بزرگ را از وجود آسیب‌پذیری‌های جدید موجود در فروشگاه آنلاین و اینترنتی گوگل پلی استور مطلع و باخبر کرده اند، کشف و اعلام کرده اند که به واسطه این حفره امنیتی، توسعه دهندگان خارجی به داده ها و اطلاعات شخصی بسیاری از کاربران گوشی‌های اندرویدی که وارد حساب کاربری خود در فروشگاه آنلاین و اینترنتی گوگل پلی استور شده‌اند، دسترسی پیدا کرده و معلوم نیست از آنها برای چه اهداف و انگیزه‌هایی استفاده کنند.

این گزارش که نخستین بار توسط شبکه CNBC مطرح و رسانه ای شد، باری دیگر فیس بوک و توییتر، به عنوان بزرگترین شبکه‌های اجتماعی در جهان، را در تیررس شمشیر تیز و برنده منتقدان قرار داد و موجب شد امنیت آنها به خصوص فیس بوک برای چندمین بار زیر سوال برود.

هنوز هیچ نشانه ای دال بر اینکه کاربران گوشی های آیفون و سیستم های مبتنی بر iOS نیز به چنین مشکلی دچار شده اند، کشف و اعلام نشده است.

این آسیب پذیری که به نظر می رسد One Audience نام دارد، به توسعه دهندگان خارجی اجازه دسترسی به اطلاعات شخصی کاربران همچون آدرس پست الکترونیک (ایمیل) و نام کاربری آنها را می دهد.

البته به گفته شبکه cNBC، برخی دیگر از اپلیکیشن‌های حوزه عکاسی موجود در پلی استور همچون Photofy و Giant Square نیز با این مشکل امنیتی مواجه شده اند.

سخنگوی فیس بوک در این خصوص به گزارشگر وب سایت the verge گفت: ما سعی داریم علاوه بر رفع کردن هرچه سریعتر این مشکل امنیتی، به آن دسته از کاربرانی که احتمال می‌دهیم اطلاعاتشان در دسترس توسعه دهندگان قرار گرفته باشد، اطلاع دهیم تا هرچه زودتر نام کاربری و گذرواژه حساب خود در پلی استور و همچنین ایمیل شان را تغییر دهند./ایسنا