نوشته‌ها

مجموعه “۴ مطلب” – شماره ۱۱ (۹۹/۴/۲۷)

مجموعه “۴ مطلب” – شماره ۱۱ (۹۹/۴/۲۷)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم . این اولین “۴ مطلب” در سال ۹۹ هستش.این چند ماه چرا ۴ مطلب جدید ادامه نداشت؟

چون این مدت مشغول نوشتن کتاب جدیدم بودم که از اونجایی که طبعاً نوشتن کتاب زمان‌بر هستش تقریبا کل زمانم رو درگیر این کار بودم.

البته اینم بگم که چون “بهروز نمی‌تونه کار نکنه”(دوستان همیشه اینطوری میگن 😀 )

این مدت یکسری فعالیت دیگه هم داشتم که اینجا لیست می‌کنم که نگید بهروز تنبل شده 😆  :

  1. نوشتن و چاپ کتاب تکنیک‌های تست و نفوذ به وب‌سایت‌ها
  2. فروردین ۹۹ دوره پروژه امنیت وب (OWASP) را در فرانش منتشر کردم
  3. اردیبهشت ۹۹ دوره بازگردانی پیج‌های هک شده و دیسیبل شده اینستاگرام رو رکورد کردم
  4. خرداد ۹۹ دوره تست نفوذ وب SEc542 رو در فرانش منتشر کردم
  5. تیر ۹۹ یعنی این ماه دوره امنیت و راه‌های مقابله با نفوذ ۹ (چالش‌های ذهن نفوذگر) رو رکورد کردم که اوایل ماه بعد روی فرانش خواهد بود.
  6. یکسری ویدئو  آموزشی در سایت قرار دادم و ۱-۲ ویدئو هم در اینستاگرام.

اینم باید اضافه کنم که برنامه ویژه برای سایت دارم.امیدوارم ۶ ماه دیگه که برمیگردم و این مطلب رو مرور می‌کنم به خودم افتخار کنم که این تصمیم رو گرفتم 😉 

با خودم قرار گذاشتم که هر دوشنبه ۱ ویدئو آموزشی در سایت به صورت رایگان منتشر کنم و هر جمعه هر “۴ مطلب” رو خیلی جدی ادامه بدم.

در کنارش فعالیت ویژه‌ای رو در اینستاگرام خودم خواهم داشت.

 

خب!کافیه! خیلی درد و دل کردم و حرف زدم.بریم سراغ “۴ مطلب” این هفته ۸-) 

۱- ویدئو جمع‌آوری اطلاعات در باگ‌بانتی

Hema Kumar یک ویدئو خیلی خوب منتشر کرده که به افراد تازه‌کار در حوزه باگ‌بانتی کمک می‌کنه که در مورد تارگت مورد نظر جمع‌آوری اطلاعات انجام بدن.

این ویدئو رو به دوستانی که تازه وارد این حوزه شدن پیشنهاد می‌کنم.

ویدئو جمع‌آوری اطلاعات در باگ‌بانتی

۲- ویدئو بهترین مشاغل حوزه امنیت سایبری

بد نیست اطلاعاتی در مورد بازار کار حوزه امنیت سایبری داشته باشید.البته اینم باید ذکر کرد که بازار کار داخل کشور با خارج یکم متفاوته.حالا یه فکرایی تو سرم دارم که در آینده چنتا ویدئو حرفه‌ای در مورد کسب درآمد از حوزه هک و امنیت منتشر کنم.

امیدوارم در حد ایده باقی نمونه و فرصت بشه و این ایده رو عملیاتی کنم.

لینک ویدئو

۳- اخبار هک

یه سایت جاالب پیدا کردم که خبرهای هک و امنیت رو منتشر می‌کنه.البته چون به صورت پادکست هستش برای دوستانی مناسبه که با زبان انگلیسی خصومت شخصی ندارند 😈 

لینک سایت رو این پایین قرار میدم که اگر کسی دوست داشت استفاده کنه.

لینک مقاله

۴- مقاله در مورد CSRF

در این مقاله به صورت خیلی ساده و شفاف یک حمله csrf شبیه سازی شده که می‌تونید با این آُیب‌پذیری آشنا بشید.

مشاهده مطلب

 

مجموعه “۴ مطلب” – شماره ۱۱ (۹۹/۴/۲۷)

مجموعه “۴ مطلب” – شماره ۱ (۹۸/۷/۱۲)

سلام خدمت شما

خیلی خوشحالم که اولین قسمت از مجموعه “۴ مطلب” رو براتون می نویسم.

۱-ویدئو عالی با موضوع osint for pentest

پیشنهاد می کنم مطالب این ویدئو رو مشاهده کنید(البته زبان انگلیسی نسبتا قوی برای دیدنش نیاز دارید)

این ویدئو آموزشی در مورد تاثیر اوسینت در انجام پروژه های تست نفوذ یا بهتره بگیم در جمع آوری اطلاعات پیرامون تارگت مورد نظر است.

۲-مقاله جالب در مورد security.txt

همون طور که احتمالا اطلاع دارید اخیرا فایلی به نام security.txt در سایت ها ایجاد میشه که اگر نفوذگر یک آسیب پذیری در وب سایت پیدا کرد بدونه باید چطوری با مدیران وب سایت در ارتباط باشه و اصلا باید به چه کسی باگی که پیدا کرده رو گزارش بده.

حالا در این مقاله ، یک گروه تحقیقاتی با بررسی که انجام دادند متوجه شدند که از بین ۱۰۰ هزار سایت برتر از نظر الکسا فقط ۶۲ سایت این فایل رو ایجاد کردند!

البته در این مقاله از دلایلی که ممکنه باعث بشه سایت ها این فایل رو اصلا ایجاد نکنند هم صحبت شده.

۳-عجیب ترین سوال هفته !!

عجیب ترین سوال هفته(مجموعه "4 مطلب" - شماره 1 (98/7/12))

برای این مورد واقعا توضیح خاصی ندارم.فکر کنم بهتر باشه بنویسم “بدون شرح”

۴-اتفاق خوب هفته

در هفته ای که گذشت یکی از دانشجویان خوب و پر تلاش کلوپ امنیت موفق شدند با گزارش باگ از یک وب سایت از کشور عمان مبلغ ۴۰۰۰ دلار جایزه دریافت کنند که به شخصه خیلی خوشحال شدم که باز هم یکی دیگه از بچه ها تونست وارد بحث کسب درآمد در این حوزه قدرتمند بشه.

دوباره برمیگردم 😉

اگر از مطالعه این مطلب لذت بردی یا نکته ای داشت که به دردت می خورد خوشحال میشم اون رو به اشتراک بگذاری یا حداقل یک نظر یا پیشنهاد بدی که بدونم این مطالب برای یکی مفید بوده.

هشدار سیسکو برای 14 آسیب پذیری خطرناک

هشدار سیسکو برای ۱۴ آسیب پذیری خطرناک

کمپانی سیسکو در جدیدترین هشدارهای منتشره از بخش امنیتی خود اعلام کرده که ۲۵ آسیب‌پذیری کشف شده در برخی محصولات آن دارای درجه اهمیت بالاتری هستند.

هشدار سیسکو برای 14 آسیب پذیری خطرناک

بیشتر آسیب‌پذیری‌ها بر روی محصولات سخت‌افزار شبکه‌ای هستند که مشکلاتی همچون حملات DoS بر روی سیستم‌عامل‌های IOS و IOS XE را در این سخت‌افزارها موجب می‌شوند.

دو مورد از این آسیب‌پذیری‌ها بر روی محصولات سوئیچ‌های سری Catalyst 6800 و محصولات Webex Meetings Client است.

از دیگر آسیب‌پذیری‌های منتشر شده می‌توان به انتشار اطلاعات حافظه، تزریق دستورات سیستمی، دور زدن محدودیت‌های دسترسی، اجرای کدهای مخرب را نام برد.

برخی دیگر از آسیب‌پذیری‌ها دارای درجه اهمیت بیشتری هستند زیرا نفوذگر می‌تواند با دسترسی از راه دور، این آسیب‌پذیری‌ها را Exploit کرده و به Device آسیب‌پذیر نفوذ کند.

یکی از این آسیب‌پذیری‌ها که حمله به آن از راه دور انجام می‌گیرد، حمله DoS به بخش Web Interface سیستم عامل IOS XE است که نفوذگر توسط ساخت و ارسال نوع خاصی از درخواست‌های HTTP می‌تواند باعث Reload شدن سیستم‌عامل آن سخت‌افزار شبکه‌ای شود.