نوشته‌ها

مینی دوره مهندسی اجتماعی

مینی دوره مهندسی اجتماعی

ابتدا قبل از هر توضیحی ببینیم ویکی پدیا چه نظری در مورد مهندسی اجتماعی داره:

مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.

مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع‌آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسان‌هایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن آنها، به جمع‌آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

متاسفانه آمار نشان می دهد که این حملات هر روز در حال گسترش است و افراد زیادی قربانی این حملات به ظاهر ساده اما پیچیده می شوند.

شاید در سال‌های گذشته این حملات خیلی ابتدایی و ساده به نظر می‌رسید اما امروزه به دلیل پیشرفته شدن روش ها در بسیاری از موارد فقط افرادی که آموزش دیده اند قادر به شناسایی این نوع حمله اند.

از مهندسی اجتماعی به عنوان ضعف امنیتی که هیچگاه برطرف نمی شود ، یاد شده است.

این دوره آموزشی را از دست ندهید

 

قسمت اول

 

قسمت دوم

 

قسمت سوم

 

قسمت چهارم

 

قسمت پنجم(بخش پایانی)

 

کتاب تکنیک‌های تست و نفوذ به وب سایت

معرفی کتاب تکنیک‌های تست و نفوذ به وب سایت

بهروز منصوری و شهاب الدین علی آبادی فراهانی در کتاب تکنیک‌های تست و نفوذ به وب سایت ضمن بررسی برخی از خطرات و حملات مربوط به وب‌سایت‌ها شما را با مباحثی آشنا می‌کنند که بتوانید جهت پیشگیری و امن‌سازی وب سایت خود از آن‌ها استفاده نمایید.

معرفی کتاب تکنیک‌های تست و نفوذ به وب سایت

امروزه افراد بسیاری در سرتاسر دنیا به اینترنت دسترسی دارند.

افرادی که چه در زمان عضویت در یک شبکه اجتماعی و چه در زمان استفاده از وب سایت‌های بزرگ بانکی، نیازمند امنیت برای حفظ اطلاعات خود هستند.

در حال حاضر امنیت در فضای اینترنت روز به روز اهمیت بیشتری پیدا می‌کند.

با افزایش تعداد کاربران اینترنت، تعداد افرادی هم که در پی سوء استفاده در این فضا هستند رو به افزایش است.

به همین خاطر امنیت و حفاظت در اینترنت یکی از مهارت‌های پر اهمیت دنیای تکنولوژی محسوب می‌شود که می‌بایست در هر سطحی مورد توجه قرار بگیرد.

بنابراین چه کاربران عادی و چه متخصصان و طراحان وب سایت‌ها‌ همگی باید به دانشی درست برای حفظ امنیت دست پیدا کنند.

باید توجه داشت که حملات آنلاین اهداف گوناگونی دارند.

وب سایت شما ممکن است اطلاعات ارزشمندی برای دزدیده شدن داشته باشد و یا از آن برای نشر بدافزار‌ها استفاده شود.

همان طور که می‌دانیم یکی از مهم‌ترین اعضای یک برنامه کامپیوتری پایگاه داده آن است، پس یکی از قسمت‌هایی که معمولا هکرها علاقه خاصی به نفوذ در آن دارند، پایگاه داده نرم‌افزار خواهد بود.

دلیل این امر بسیار ساده است، زیرا پایگاه داده قلب تپنده نرم‌افزار بوده و اطلاعات مهمی مثل سوابق مشتریان یا اسناد محرمانه یک شرکت را دارد.

کتاب تکنیک‌های تست و نفوذ به وب سایت

در بخشی از کتاب تکنیک‌های تست و نفوذ به وب سایت می‌خوانیم:

در ایران معمولا پس از کشف آسیب ‌پذیری، مسیری بسیار بد طی می‌شود.

ابتدا هکر کلاه ‌سفید، در میان شبکه‌های اجتماعی و آشنایان به دنبال آشنایی می‌گردد تا بتواند باگ خود را به پول تبدیل کند.

در بهترین حالت بعد از پیدا کردن لینک در داخل سازمان، بحث بر سر شدت آسیب ‌پذیری به بدترین شکل ممکن صورت می‌گیرد.

بدین ‌صورت که هکر کلاه ‌سفید، اصرار بر خطرناک بودن آسیب ‌پذیری خود دارد، در عین حال، سازمان، ادعای امن بودن کرده و تقاضای دیدن POC برای تخمین شدت آسیب‌پذیری را دارد.

هکر کلاه سفید به دلیل ترس از (از دست دادن آسیب پذیری)، از دادن جزئیات امتنا می‌کند.

در اکثر مواقع هم بعد از ارائه جزئیات توسط هکر کلاه سفید، سازمان اظهار کم اهمیت بودن سامانه آسیب‌پذیر را می‌کند.

این روال بسیار غلط است، اصلا نیازی به کشف روال صحیح نیست، کافی است ببینیم سازمان‌ها و شرکت‌های بزرگ دنیا چه کار می‌کنند؟

 

 

چطور می توانم کتاب را تهیه کنم؟

برای تهیه کتاب کافیست وارد وب‌سایت زیر شوید و نسخه pdf کتاب را تهیه بفرمایید.

سایت فروش کتاب

 

 

 

ویدئو تست نفوذ سایت دانشگاه بمبئی

ویدئو تست نفوذ سایت دانشگاه بمبئی

سلام خدمت شما

ومبای با نام سابق بمبئی پایتخت ایالت ماهاراشترا از مهم‌ترین شهرهای کشور هند است.

بمبئی در زبان هندی به معنای ساحل خوب است.

این نام را استعمارگران پرتغالی بر این شهر نهادند.

در سال ۱۹۹۶ نام این شهر به «مومبای» تغییر یافت که نام یکی از خدایان زن هندی است.

اما در خارج از هند، این بندر بزرگ همچنان به بمبئی معروف است.

این شهر با وسعتی برابر ۶۰۳ کیلومتر مربع و جمعیتی بالغ بر ۱۳٫۳ میلیون نفر (در سال ۲۰۰۶) یکی از چهار شهر بزرگ و پرجمعیت کشور هندوستان و ۶ شهر پرجمعیت دنیا است.

هند را به یکی از کشورهای پیشرو در منطقه آسیا-اقیانوسیه است که با سرعت بالا در حال رشد و پیشروی است.

امروز تارگتی از بمبئی رو برای شما دوستان عزیز آماده کردیم که یکی از دانشجویان کلوپ امنیت یعنی آقای عبا این تارگت رو پیدا و بعد گزارش دادند.

 

سایت مورد بررسی : http://www.aspcdevrukh.ac.in

پیشنهاد می‌کنم ویدئو تست نفوذ سایت دانشگاه بمبئی رو از دست ندید.

 

مجموعه “۴ مطلب” – شماره ۱+۱۲(۹۹/۵/۱۰)

مجموعه “۴ مطلب” – شماره ۱+۱۲(۹۹/۵/۱۰)

سلام خدمت شما

با یک “۴ مطلب” دیگه در خدمتتون هستم .

آیا عدد ۱۳ نحسه؟؟؟ واقعیتش من به این چیزا اعتقاد ندارم.

مطالب زیادی نوشتن که نشون میده ۱۳ نحسه و مطالب زیادتری هم نوشتن که میگه ۱۳ نحس نیست.

این که شماره این ۴ مطالب رو ۱+۱۲ گذاشتم فقط یه شوخیه.جدی نگیرید 😀 

یه سری رو اینجا میزارم مطالعه کنید بد نیست.

دلایلی که میگن ۱۳ نحسه: :mrgreen: 

۱٫تعداد نفرات حاضر در شام آخر ۱۳ تن بوده است.

شام آخر در واقع وعده ی واپسین حضرت عیسی (ع) است.

در انجیل آمده است: ایشان آخرین غذای خود را در اورشلیم با رسولانش که تعداد آنها ۱۳ نفر بود تقسیم کرد و بعد از آن به صلیب کشیده شد.

از آن پس اکثر مسیحیان از نشستن ۱۳ نفر بر دور میز شام هراس دارند و خودداری می کنند.

۲٫به طور مشابه، افسانه ای از اهالی اسکاندیناوی نقل است: زمانی که ۱۲ عدد از خدایان در یک ضیافت دور هم جمع شده بودند، ناگهان مهمانی ناخوانده، خدای ۱۳ ام به نام لوکی، ظاهر می شود.

لوکی یکی از خدایان را به قتل می رساند و کشته شدن او به حوادث نحس دیگری از جمله: مرگ چندی دیگر از خدایان، سیلی از بلایای طبیعی و در نهایت از بین رفتن همه چیز از روی زمین منجر می شود و تنها دو بازمانده از نسل انسان باقی می ماند.

البته این قصه سر دراز دارد اما شما مطلب اصلی را متوجه شدید.

۳٫بیایید برای لحظه ای به موضوع مسیحیت بازگردیم.

بسیاری از مسیحیان معتقدند که حضرت عیسی (ع) در روز جمعه به صلیب کشیده شده است.

البته محققان بر این باورند که واقعه تقصیر جمعه ی ۱۳ نیست و این حادثه ی تلخ در جمعه ی ۳ آوریل سال ۳۳ بعد از میلاد روی داده است.

اما با این وجود، از نحوست عدد ۱۳ چیزی کم نمی کند.

بسیاری از مسیحیان اعتقاد دارند که هلاکت هابیل و قابیل نیز در این تاریخ اتفاق افتاده است.

۴٫اینگونه مرسوم است که شمار قدم‌های مجرم تا چوبه ی دار به عدد ۱۳ می‌رسد.

همچنین، در افسانه‌ها آمده است که طناب دار جلاد به طور مرسوم شامل ۱۳ چرخش می‌باشد. اما در واقع گویی ۸ بار می‌چرخد.

۵٫آپولو ۱۳ (عملیاتی برای رسیدن انسان به ماه) تاکنون تنها ماموریت ناموفق ماه به شمار می‌رود.

مخزن اکسیژن منفجر شد و تا روزها اطلاعات دقیقی از شمار فضانوردان زنده در دست نبود. اما در آخر همه ی آنها در سلامت و امنیت به خانه بازگشتند.

۶٫قتل شوالیه های معابد در ۱۳ ام ماه اکتبر ۱۳۰۷ صورت گرفته است.

شاه فرانسه فلیپ با همکاری پاپ کلیمنز در سیزده‌ام ماه دستور قتل شوالیه‌های معابد را صادر کرده است.

۷٫کاون (coven) به گروهی از جادوگران و خون آشام‌ها گفته می‌شود. نقل است یک کاون در واقع ۱۳ عضو دارد.

۸٫یک خرافات قدیمی وجود دارد مبنی بر اینکه: اگر حروف اسم شما به عدد ۱۳ برسد، بخت و اقبال شما شیطانی خواهد شد.

احمقانه به نظر می رسد.

اما هنگامی به که اسامی قاتلان معروفی چون:

Charles Manson ،Jack the Ripper ،Jeffrey Dahmer ،Theodore Bundy و Albert De Salvo که همگی شامل ۱۳ حرف هستند، بنگرید کمی قانع می‌شوید.

۹٫اغلب کودکان در سن ۱۳ سالگی به بلوغ و نوجوانی می‌رسند.

۱۰٫در مبحی معانی رمزی اعداد، عدد ۱۲ به نمایندگی از کمال و اتمام در نظر گرفته می‌شود.

تلاش برای اضافه کردن یک رقم ایده ی بدی محسوب می‌شود و در واقع نمایانگر حرص و آز شخص است.

پاداش این طمع با بدشانسی همراه خواهد بود.

۱۱٫در اواخر قرن ۱۸۰۰، گروهی به نام کلوب ۱۳ درصدد کم ارزش کردن این خرافه برآمدند که: اگر ۱۳ نفر دور میز شام جمع شوند، یکی از آنها در سال آینده خواهد مرد.

آنها در روز ۱۳ ام ماه دور یک میز ۱۳ نفره جمع شدند و برای اینکه اوضاع را بدتر کنند نمک را بدون اینکه به روی شانه‌هایشان بریزند، روی میز پاشیدند.

آنها همچنین، افرادی که دیر رسیده بودند را ۱۳ سنت جریمه کردند.

اعضای این باشگاه شامل پنج رئیس جمهور ایالات متحده نظیر: بنجامین هریسون، گراور کلیولند ویلیام مک کینلی، تئودور روزولت و چستر آلن آرتور می‌شدند.

البته شایان ذکر است که دو نفر از آنها به طرز وحشتناکی مورد اصابت گلوله قرار گرفتند و کشته شدند.

۱۲٫جمعه، ۱۳ اکتبر سال ۱۹۷۲، روزی نحس در تاریخ حمل و نقل هوایی محسوب می‌شود.

در این روز پرواز ۵۷۱ نیروی هوایی اروگوئه در آند سقوط کرد و در این حادثه بیست و نه نفر جان باختند.

دقیقا در همین روز و تاریخ، هنگامی که یک هواپیمای آئروفلوت شوروی درون دریاچه‌ای در یک کیلومتری باند فرودگاه سقوط کرد، ۱۷۴ نفر از مردم کشته شدند.

۱۳٫سیزدهمین کارت تاروت مرگ است.

همچنین دلایل دیگری از این قبیل نقل است که:

۱٫هلاکت قوم نوح در سیزدهم ماه صورت گرفته است.

۲٫در طول یک سال ماه سیزده بار به صورت کامل دیده می شود..

اما در بعضی باورها عدد ۱۳ خوش یمن است. مثلا: در تقویم مایا عدد ۱۳ خوش یمن محسوب می شود.

در این تقویم عدد ۱۳ به مفهوم خیز، حرکت به جلو و پیشرفت تعبیر می شود.

یک مورخ و پژوهشگر معتقد است که عدد ۱۳ در فرهنگ ایرانی نه تنها نحس نیست بلکه عددی است که نماد پیروزی و بهروزی مردم ایران بوده است.

این اعتقادات بیشتر متعلق به کشورهای غربی و مسیحیان بوده و گویی با فرهنگ ما منافات دارد.

شما چطور فکر می کنید؟ لطفا نظرات خود را با ما در میان بگذارید.

 

بهتره بریم سراغ بحث هک و امنیت و از خرافات فاصله بگیریم

مجموعه “۴ مطلب” – شماره ۱+۱۲(۹۹/۵/۱۰)

۱- جایزه ۵۰۰۰ دلاری بابت کشف باگ از Gmail

مجموعه “4 مطلب” – شماره 1+12(99/5/10)

در این مقاله، می‌خوانید که چطور فردی با پیدا کردن آسیب‌پذیری Dom xss جایزه ۵۰۰۰ دلاری از gmail دریافت کرده است.

لینک مقاله


۲- SSRF را بیشتر بشناسیم!

SSRF را بیشتر بشناسیم

خیلی وقت پیش مقاله‌ای رو به صورت فارسی در زمینه این آسیب پذیری منتشر کردم که اینجا می‌تونید مطالعه کنید.

ولی مطالعه مقاله فارسی دلیلی برای مطالعه نکردن مقاله امروز نیست.

در این مقاله فوق‌العاده، نویسنده هم پایه و اساس این آسیب‌پذیری را توضیح داده و در مورد دریافت چندین جایزه که مجموعا ۴۸۰۰ دلار شده صحبت کرده.

این نکته رو اضافه کنم که در مقاله تصاویر با کیفیتی وجود داره که باعث میشه لود شدن صفحه کمی طول بکشه.پس صبور باشید 😉 

لینک مقاله

۳- ساخت لیست پسورد

اگر قصد ساختن لیست پسورد برای تست نفوذ و باگ بانتی رو دارید این ویدئو رو از دست ندید.

لینک ویدئو در یوتیوب


۴- آیا javascript برای هک مناسبه؟!

شاید باور نکنید ولی این سوال رو حداقل هفته‌ای ۲-۳ نفر میپرسن.

احساس کردم یک ویدئو بهتر از یک متن می‌تونه جواب این سوال رو بده.

پس اگر این سوال، سوال شمام هست.این ویدئو رو از دست ندید ۸-) 

لینک ویدئو در یوتیوب

مجموعه “۴ مطلب” – شماره ۱+۱۲(۹۹/۵/۱۰)

ویدئو آموزش تست امنیت سایت (سایت شماره ۱۰)

ویدئو آموزش تست امنیت سایت (سایت شماره ۱۰)

سلام خدمت شما

با دهمین ویدئو آموزشی تست امنیت سایت در خدمت شما بزرگواران هستم.سایت قبلی از کشور چین بود و این‌بار سراغ سایتی از کشور پرتغال رفتیم.

در مجموعه‌ی “تست امنیت سایت” سعی داریم، سایت‌هایی را بررسی کنیم که مراحل تست نفوذ آنها دارای نکات کوچک و بزرگی است که یادگیری این نکات سبب افزایش مهارت شما در بحث تست نفوذ می‌شود.

خیلی از دانشجوها در مورد این موضوع سوال میپرسن که اگر سایت بعد از زدن کوتیشن به آدرس دیگری ریدایرکت کند تکلیف چیست؟

آیا سایت آسیب‌پذیر است یا نه؟

در این ویدئو به این سوال با یک تارگت پاسخ خواهیم داد.

سایت مورد بررسی : https://www.consuladoportugalgoa.com

سایت مربوط به کشور پرتغال می‌باشد

 

 

انتقال آسیب پذیری واتساپ به اپلیکیشن های google play

شرکت امنیت سایبری ترند میکرو (Trend Micro) اعلام کرد شکاف امنیتی پیشین واتساپ در اپلیکیش‌های Google Play مشاهده شده است.

انتقال آسیب پذیری واتساپ به اپلیکیشن های google play

محققان شرکت سیمنتک در اکتبر سال ۲۰۱۹ یک آسیب‌پذیری با شناسه‌ی CVE-2019-11932 در پیام‌رسان واتساپ (WhatsApp) را شناسایی کردند که این امکان را به هکرها می‌داد فیلم‌ها، عکس‌ها و پیام‌های صوتی را مشاهده و دست‌کاری کنند.

این نقص، در نسخه‌ی ۲٫۱۹٫۲۳۰ واتساپ در دستگاه‌های اندروید ۸٫۱ و ۹٫۰ اجازه‌ی اجرای کد از راه دور را می‌داد و در نسخه‌های قبلی فقط می‌توانست برای حملات انکار سرویس (DoS) استفاده گردد.

آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ی منبع باز به نام «libpl_droidsonroids_gif.so» قرار داشت که توسط واتساپ برای تولید پیش‌نمایش پرونده‌های GIF استفاده می‌شد. زمانی که فیس بوک از این اشکال مطلع گردید وصله‌‌ای رسمی را در نسخه‌ی واتساپ ۲٫۱۹٫۲۴۴ منتشر نمود و به کاربران توصیه کرد واتساپ خود را به‌روزرسانی کنند تا از این اشکال در امان بمانند.

اکنون کارشناسان شرکت ترند میکرو اعلام کرده‌اند آسیب‌پذیری ۲٫۱۹٫۲۴۴ اصلاح‌شده در پیام‌رسان واتساپ در بسیاری از اپلیکیش‌ها همچنان پابرجاست.

به گفته کارشناسان این شرکت، در فروشگاه Google Play، بیش از ۳۰۰۰ برنامه که از libpl_droidsonroids_gif.so استفاده می‌کنند، همچنان آسیب‌پذیر هستند و بسیاری از اپلیکیش‌های فروشگاه‌های دیگر من‌جمله ۱mobile ،۹Apps ،۹۱ market ،APKPure ،Aptoide ،۳۶۰ Market، PP Assistant ،QQ Market ،Xiaomi Market این آسیب پذیری را در خود دارند.

دستگیری ۹هکر وبکم در انگلیس

پلیس انگلیس ۹ نفر را در سرتاسر این کشور به دنبال هک کردن وبکم های متعدد و تجاوز به حریم شخصی و نقض امنیت کاربران اینترنت دستگیر کرده است.(دستگیری ۹هکر وبکم در انگلیس)

دستگیری ۹هکر وبکم در انگلیس

شناسایی هکرهای وب کم ها توسط پلیس انگلیس پس از آن انجام شد که نیروهای امنیتی موفق به کنترل وب سایتی شدند که به هکرها امکان می داد تا عملکرد افراد مختلف را از طریق وب کم های هک شده زیرنظر بگیرند.

هکرها از این طریق مخفیانه عملکرد و فعالیت افراد گوناگونی را در انگلیس و سایر کشورها زیر نظر داشتند. از این روش برای کلاه برداری، دزدی و اقدامات غیراخلاقی استفاده می شد.

پلیس سرانجام با هجوم به ۲۱ منطقه مختلف در ۱۲ مکان گوناگون در انگلیس توانست این نه هکر متخلف را شناسایی و دستگیر کند. پیش از این پلیس استرالیا هم جلوی فعالیت وب سایتی را گرفته بودکه بدافزاری را برای هک کردن و کنترل وب کم ها به فروش می رساند.

به نظر می رسد هکرهای انگلیسی هم از بدافزار یادشده استفاده می کردند، جالب اینکه قیمت بدافزار یادشده تنها ۲۵ دلار یا ۱۹ پوند بوده است.

 

مجموعه “۴ مطلب” – شماره ۸ (۹۸/۹/۸)

سلام خدمت شما

این اولین ۴ مطلب در آذر ۹۸ هستش.

متاسفانه هفته گذشته به علت قطعی یک هفتگی اینترنت در ایران امکان نوشتن “۴ مطلب” نبود.البته چون اینترنت نبود در اصل فعالیتی هم در اینترنت نداشتم که بتونم گلچین مطالب رو در اختیارتون قرار بدم.

این قطع شدن اینترنت برای من هم مثل بقیه مردم مشکل ساز شد.کلاس های حضوری آنلاین که با نام کلوپ امنیت برگزار می کنیم کنسل شد و مجبور شدیم جلسات رو ۱ هفته عقب بندازیم،اما از اونجایی که من آدمی نیستم که دست روی دست بزارم از این فرصت استفاده کردم و دوره تست و تامین امنیت در php رو ضبط کردم و در فرانش منتشر کردم 🙂 

این شد که ۴ مطلب این هفته روی سایت قرار گرفت.امیدوارم مفید واقع بشه

۱- ایده جالب

آشنایی با هکرها

به سایتی برخوردم که سعی می کرد مردم را با هکرها و خطراتی که ممکنه در دنیای مجازی اون ها رو تهدید کنه آشنا کنه.

نکته جالب اینجاست که بعد از یکسری توضیحات کامل در مورد هکرها،پسوردها،باج افزارها و … میاد لینک پرداختی رو قرار میده و میگه این اطلاعات اگر به دردتون خورده یه مبلغی رو به من کمک کنید.

شاید به نظر ایده ساده ای بیاد ولی نمونه این سایت ها رو زیاد دیدم که اتفاقا پول خوبی هم به دست میارن.

آدرس وب سایت مورد نظر

۲-مقاله فردی که در چند ساعت به سورس بیش از ۵۰۰۰ سایت دسترسی پیدا کرد

در این مقاله نفوذگر توضیح می دهد که چطور با استفاده از git به سورس بیش از ۵۰۰۰ سایت دسترسی پیدا کرده است.

این مقاله را از طریق این لینک مطالعه کنید.

۳- مطلب جالب

مردی در ایتسگاه قطار منتظر قطار بود و در مدتی که منتظر بود صدای ۲ نفر رو که پشت سرش بودن میشنید.اون ها در مورد یک کلاهبرداری بزرگ از طریق اوسینت و مهندسی اجتماعی صحبت می کردند.

این فرد چیزهایی که شنیده رو به صورت یک مطلب جالب نوشته که از طریق این سایت می تونید این داستان یا شاید بهتره بگیم مقاله رو مطالعه کنید.

۴- عکس ارسالی یکی از کاربران دوره کلوپ امنیت

این هفته یکی از شاگردان خوب دوره کلوپ امنیت (سبحان عزیز) ، ۲ تا عکس برام فرستاد که خیلی جالب بود.

این دوست عزیز به تازگی در دوره کلوپ امنیت ما شرکت کرده و از یکی از وب سایت هایی که مشغول تست نفوذ بوده برام عکس فرستاده.

همون طور که در تصویر مشخصه سبحان مشغول تست نفوذ بوده که سایت بهش پیغامی به این شکل میده

 

مجموعه “4 مطلب” – شماره 8 (98/9/8)

طراح سایت گفته:

سلام هکر، در سایت من چکار می کنی؟آیپی تو ۱۰۴٫۲۴۸٫۹٫۱۱۰ هستش،لطفا برو خونتون!!!

سبحان هم در جواب گفته :

خواهیم دید! :mrgreen: 

مجموعه “4 مطلب” – شماره 8 (98/9/8)

 همون طور که در تصویر مشخصه ، سبحان ایمیل،یوزر و پسورد مدیران وب سایت رو به دست آورده

 

 

 

 

 

http://www.bmansoori.ir/register/

داستان ناتمام ضعف‌های امنیتی اینتل

بیش از دو سال پیش بود که ضعف های امنیتی اسپکتر و ملت کشف شده در پردازنده های ساخته شده توسط شرکت آمریکایی اینتل که از سال ۱۹۵۵ میلادی به بعد وجود داشته و باعث شده بود هکرها به اطلاعات ذخیره شده بر روی حافظه رایانه های شخصی دسترسی پیدا کنند، جنجال برانگیز شد و بسیاری از رسانه های خبری به موضوع ضعف امنیت سایبری سخت‌افزارهای اینتل پرداختند.

http://www.bmansoori.ir/register/

در واقع این حفره های امنیتی در پردازنده های اینتل به گونه ای بوده است که به هکرها برای سالهای سال اجازه می داده علاوه بر سرقت کلمات و رمز عبور کاربران، تمامی اطلاعات ذخیره شده موجود در حافظه پردازنده رایانه و گوشی های همراه را به سرقت برده و از آن سوء استفاده کنند این سطح از دسترسی موجب می‌شد به تراشه های دیگری همچون ‏AMD و ARM نیز دسترسی یابند.
با اینکه بعد از انتشار این اخبار بارها اینتل اعلام کرد که در تلاش است هر چه سریع‌تر مشکلات امنیتی مربوطه را برطرف کند اما به نظر می رسد که همچنان درگیر مسائل امنیتی مربوط به سخت افزارهای توسعه داده شده خود بوده و موفقیتی در برطرف کردن این آسیب پذیری ها کسب نکرده است.
به تازگی گروهی از محققان فعال در دانشگاه وریج آمستردام گزارشی منتشر و خاطر نشان کرده اند: با اینکه اینتل قبلاً وعده داده بود نسل جدید پردازنده های خود را با هدف جلوگیری از سوء استفاده های امنیتی با رویکردی بهینه طراحی خواهد کرد اما نتایج کنونی نشان می دهد که در طراحی و ارتقاء امنیت سایبری این محصولات موفق نبوده است.
اینتل، یک شرکت تجهیزات رایانه‌ای در ایالات متحده آمریکاست که در زمینه تولید سخت‌افزارهای رایانه و تلفن همراه، با تمرکز بر مادربورد، کارت شبکه، چیپ‌ست، بلوتوث و حافظه‌های فلش، انواع ریزپردازنده، نیم‌رسانا، مدارهای مجتمع، واحدهای پردازش گرافیکی و سامانه‌های نهفته فعالیت می‌کند.
ارزش سهام اینتل از زمانی که خبر ضعف‌های امنیتی اسپکتر و ملت داون در فضای مجازی منتشر شد، کاهش شدیدی پیدا کرد و این شرکت آمریکایی با مشکلات حقیقی و حقوقی متعددی نیز دست و پنجه نرم کرد.

مجموعه “۴ مطلب” – شماره ۷ (۹۸/۸/۲۴)

سلام خدمت شما

با قسمت دیگه ای از مجموعه “۴ مطلب” در خدمتتون هستم.

این هفته می خواستم یکم تنبلی کنم و مطلب نزارم.پیش خودم گفتم هفته بعد توضیح میدم که گرفتار بودم و امکان گذاشتن مطلب نبود.ولی بعد دیدم اگر برنامه رو یکم دقیق تر بچینم می تونم اون وسط ۱ ساعت وقت خالی کنم.

این شد که ۴ مطلب این هفته روی سایت قرار گرفت.امیدوارم مفید واقع بشه

۱- ویدئوهای کوتاه ولی موثر

خیلی از شاگردا رو می بینم که برای تبدیل شدن به یک متخصص در حوزه هک و امنیت واقعا مشتاق هستند.یه بخشی که همیشه اون ها رو خوشحال می کنه و براشون جذابیت داره تعریف کردن پروژه هایی هستش که قبلا انجام دادم.وقتی از پیاده سازی حمله حرف میزنم احساس شور و شوق رو توی صداشون حس می کنم.

امروز تصمیم گرفتم لینک یکسری ویدئو کوتاه که مربوط به نفوذگران وب سایت HackeOne هست رو قرار بدم.اون ها در این ویدئوها از داستان های تست نفوذ خودشون میگن :mrgreen:

لینک ویدئو در یوتیوب

۲-آموزش ویدئویی نوشتن گزارش باگ خوب

هرچند این مدت مطالب زیادی در مورد ساختار یک گزارش باگ قوی رو در سایت قرار دادم ، ولی از اونجایی که این مورد اهمیت زیادی داره دیدن این ویدئو خالی از لطف نیست.

لینک ویدئو در یوتیوب

۳- مقالات مفید این هفته

این هفته چنتا مقاله خوندم که این ۳ مورد برام خیلی جذاب بود.پس اینجا قرار میدم تا شما هم استفاده کنید.

مقاله اول

مقاله دوم

مقاله سوم

۴- نظری که باعث شد انگیزه بگیرم

به نظرم وقتی میشه تو کاری موفق شد که واقعا دوستش داشته باشی و از انجام دادنش لذت ببری.

مثلا من به زمینه کاری خودم علاقه دارم.حالا این علاقه رو من چطوری میسنجم؟؟

وقتی حاضرم از تفریح خودم بزنم و کار کنم یا وقتی حاضرم کار کنم حتی اگر درآمد کمی داشته باشم ، این نشون میده که من از کارم لذت می برم.

البته این مقیاسی هستش که من باهاش کارم رو میسنجم.شاید این مقیاس برای شخص دیگه متفاوت باشه.

نظر من اینه وقتی کاری رو اینقدر دوست داشته باشی ۱۰۰% ازش نتیجه هم میگیری.چون تو کارت خلاقیت داری،پشت کار داری و انجام کار خستت نمی کنه.

اما با وجود همه اینا بعضی وقت ها آدم نیاز داره که برای کارش تشویق بشه.شاید اگر زمانی که کم سن و سال بودم پدرم برای کار تست نفوذ تشویقم نمی کرد هیچ وقت وارد این حوزه نمیشدم.

اون می تونست من رو از انجام دادنش منع کنه (کاری که خیلی از خانواده ها انجام میدن).مثلا بگه خطرناکه،آینده نداره یا هرچیز دیگه.احتمالا اگر این حرف هارو میزد قانع میشدم.چرا؟چون تو اون سن به نظر حرف پدر و مادر معتبرترین حرف دنیاست.

ولی خوشحالم که پدرم همچین آدمی نبود.به خاطر این طرز فکرش همیشه تحسینش می کنم.میگه “آدم باید چیزی رو که دوست داره دنبال کنه.حتی اگر همه دنیا مخالفش باشند”.

این هفته یکی از کاربران از ونکوور کانادا تو سایت فرانش برام پیام گذاشت.شاید فقط یه پیام ساده باشه ولی برای من خیلی ارزشمنده.چون می بینم ایرانی های خارج از کشور هم دارن کار رو دنبال می کنند.

ونکوور کانادا