از نگاه احسان

😂😂😂😂

⭕️ میلاد منشی پور خبر از رفع مشکل تپسی داد گویا تیمی از پلیس فتا و مرکز ماهر و NSA و CIA و NASA و KGB و گشتاپو جمع شدن و پسورد MongoDB رو ست کردن. خداروشکر 🆔 @Webamoozir

💻 جزئیات اطلاعات مشتریان سرویس حمل نقل لو رفته https://bit.ly/2IqxlTp

باج افزار اندرویدی که اگر از آمریکا باشید ازتون ۳۰ ۴۰ برابر بیشتر باج میگیره ! https://twitter.com/LukasStefanko/status/1117795290155819008

پستی بسیار جالب و کامل راجع به مبحث مهم Same Origin Policy که اکیدا توصیه میکنم بخونید. https://research.aurainfosec.io/same-origin-policy/

Exploiting Windows with Android (Disable UAC & Windows Defender) on bZp (HID Attack)

پیاده سازی حملات HID توسط اندروید در bZp برای انجام اینکار نیاز به تغییراتی در کرنل اندروید هستش چون بطور پیشفرض همچین قابلیتی برای کرنل اندروید فعال نیست! اما از اونجایی که اندروید از کرنل Linux استفاده میکنه ماهم دستمون بازتر هستش! میتونید از کرنل پچ های زیر بر اساس ورژن کرنلتون استفاده کنید: https://github.com/pelya/android-keyboard-gadget/tree/master/patches/existing_tested اگه ورژن مورد نظر وجود نداشت باید پچ رو برای کرنلتون پورت کنید! البته که این قابلیت در کرنل های bZp فعال شده و نیاز به هیچ کاری نیست. DuckyDucky رو میتونید از لینک زیر دریافت کنید: https://github.com/anbud/DroidDucky در bZp کافیست به مسیر زیر برید: /data/local/ducky یک فایل با اسم payload بسازید و پیلود خودتون رو بنویسید! مثال: https://github.com/Sir-MmD/Ducky_Payloads/tree/master/windows-10-exploiter این Payload باعث غیرفعال شدن UAC و Windows Defnder خواهد شد و فایل exploit شما رو دانلود و روی سیستم غربانی اجرا میکنه. Usage: bash ducky payload

💻 جزئیات بیشتر»» 📝 حملات HID حمله HID یک سناریو است که فرد مهاجم با استفاده از یک پلتفرم قابل برنامه ریزی و یک بسته نرم افزاری مثل Peensy یا SET اقدام به ایجاد یک USB می کند که هنگام متصل شدن به سیستم قربانی Payload های مورد نظر را اجرا می کند. این Payload ها قابل اجرا بر روی تمامی سیستم عامل ها (Windows, GNU/Linux, OS X) را دارد. البته که این نوع حمله زیرشاخه حملات BadUSB هستش اما برخلاف حمله AUTORUN، اکثر آنتی ویروس ها قابلیت تشخیص اون رو ندارند! HID = Human Interface Device #badusb

💻 Mutation XSS on Google.com front page ! آسیب پذیری XSS ای که برای 5 ماه توی گوگل وجود داشته ! https://bit.ly/2uDUh8K #xss

دانلود کل وبینار با لینک مستقیم: https://bit.ly/2U6GMNY

نظرسنجی مدیر تلگرام راجع به آپدیت اخیر که امکاناتی مثل حذف پیام دو طرفه و جلوگیری از فروارد مسیج و قابلیت مدیریت دسترسی بقیه به عکس پروفایل هست. توی این نظرسنجی شرکت کنید. احتمالش هست که این آپدیت رو برگردونند به حالت قبلیش. اگر برگرده به حالت قبلش دیگه نمیتونید #هکربازی کنید 😁

سلام راجع به ارسال ای‌میل جعلی یا همون SMTP Spoofing باید گفت که این موضوع به ساختار سامانه email و پروتکل SMTP بر میگرده. هر کسی می‌تونه از روی سیستم خودش به یک mail server متصل بشه و یک ای‌میل برای کاربران اون سرور ارسال کنه. اما چرا اکثر این سامانه‌ها و سرویس‌های ارسال ای‌میل جعلی جواب نمی‌دن؟ چون مکانیزم‌هایی برای تشخیص ایمیل‌های spam از Ham وجود داره و همین طور پروتکل‌هایی برای احراز هویت دوسویه سرورهای میل. از بین این مکانیزم‌ها DNSBL، SPF و SEMTP معروفترین و کاراترین مکانیزم‌ها هستن. در ادامه هر کدوم از این سه مکانیزم رو به اختصار توضیح می‌دیم: DNSBL: سرویس‌هایی در سطح اینترنت وجود دارن که لیست آدرس‌هایی که سابقه انتشار هرزنامه دارن رو در خودشون نگه می‌دارن. حالا یک سرویس‌دهنده ای‌میل وقتی یک درخواست SMTP دریافت می‌کنه اول آدرس شبکه فرستنده رو توی این سرویس‌ها جست و جو می‌کنه و بعد اگه آدرس در اصطلاح پاک بود به درخواست رسیدگی می‌کنه. این سرویس مبتنی بر پروتکل DNS و درخواست‌های reverse DNS و PTR کار می‌کنه. SPF: چهارچوبی است برای تعیین آدرس‌هایی که مجاز به ارسال ایمیل از طرف یک دامنه مشخص هستند. این چهارچوب شامل قواعدی میشه. مثلا اگه موقع فرایند handshake با سرور SMTP شما خودتون رو example.com معرفی کنید ابتدا بررسی میشه که آیا رکورد A/AAAA یا MX ای از دامنه example.com به شما اشاره می‌کنه یا خیر؟ اگه جواب منفی بود حالا سراغ رکوردهای SPF و TXT میره و اون‌ها رو هم بررسی می‌کنه که آیا شما مجاز هستید از طرف example.com ای‌میل ارسال کنید؟ آنکه بار هم جواب منفی باشه درخواست شما نادیده گرفته میشه. SEMTP: این یک پروتکل، مبتنی بر نسخه بهبود یافته SMTP (پروتکل ESMTP) هست که از رمزنگاری هم پشتیبانی می‌کنه. گاهی بهش S/ESMTP هم می‌گن. توی این پروتکل دو سوی ارتباط SMTP از ارتباط TLS برای احراز هویت هم دیگه استفاده میکنن. به این صورت که قبل از اتصال SMTP یک TLS handshake اتفاق می‌افته و بعد از برقراری اتصال هم برای اطمینان از هویت ارسال کننده ای‌میل، باید سرآیند و متن پیام SMTP با کلید فرستنده امضا بشه. اما دریافت کننده چطور متوجه اصالت یا جعلی بودن پیام میشه؟ به راحتی! کافی هست تا رکوردهای مربوط به DNSSEC رو بررسی کنه یا به دنبال رکورد DKIM برای دامنه ارسال کننده باشه. کلید عمومی مربوط به دامنه رو که از این طریق به دست آورد دیگه فقط کافیه تا امضا رو بررسی کنه. این مورد برخلاف دو مورد قبل که معمولا منجر به نادیده گرفته شدن اتصال و درخواست SMTP می‌شن در صورتی که به هر دلیلی فرایند احراز هویت با شکست مواجه بشه باعث کنار گذاشتن درخواست نمی‌شه چون ممکنه همه سرورها این قابلیت رو نداشته باشن یا ازش استفاده نکنن. اما شکست در احراز هویت DKIM یک نمره منفی خیلی بزرگ برای پیام SMTP دریافتی محسوب میشه و احتمال این که اون ایمیل هرزنامه تشخیص داده بشه بسیار زیاد میشه. برای اطلاعات بیشتر می‌تونید به ویکی‌پدیا و مستندات spamassassin مراجعه کنید.

💻 آپدیت عجیب تلگرام ! یکی از آخرین آپدیت های تلگرام بسیار عجیبه که پاول دوروف هم درباره اون پستی توی کانالش منتشر کرد. توی این آپدیت به هر کسی این اجازه داده شده که هر پیامی رو توی چت پاک کنه در صورتی که قبلا شما می تونستید فقط پیام های خودتون رو حذف کنید. فعلا تا همه از این آپدیت خبر ندارن میتونید با دوستاتون #هکربازی کنید ! @PentesterSchool

😊 عید هست و نوبت عیدی دادن، برای عیدی به شما وبینار شروع یادگیری هک و امنیت رو رایگان کردیم! میتونید همین الان به رایگان در فرانش توی این دوره شرکت کنید: https://bit.ly/2OfSL5V در این وبینار ما می‌خواهیم شما را با بینش هکری آشنا کنیم. درباره یادگیری هک و ابعاد آن صحبت می‌کنیم. درباره ابزارهای مورد استفاده هکرها، انواع هکرها صحبت می‌کنیم. تجارب خودمان را درباره هک بگیم تا یک تصویر کلی (‌Big Picture) براتون تشکیل بشود. کدام هک؟ شما نباید هک را اخلال انداختن روی چیزی، افشاء اسناد و اطلاعات محرمانه کاربران یا هر مفهوم منفی دیگری بدانید. این‌ها در واقع خرابکاری هستند. ما در زبان انگلیسی اصطلاحی به نام Life Hack‌ داریم که به معنی آسان و موثرتر کردن زندگی است. در برنامه نویسی هک می‌تواند یک ماژول موثر باشد. یا حتی پلاگین‌های سیستم انجمن ساز VBulletin که قدیم خیلی روی بورس بود را هک نام‌گذاری کردند. هکی که می‌خواهیم در این وبینار بررسی بکنیم موارد بالا نیستند. ما می خواهیم شمارا با هک قانونمند و تست نفوذ آشنا بکنیم. در این وبینار بررسی بکنیم که چطوری یادگیری در این ۲ حوزه را شروع کنید.

😂 آقا نکنید. سال نوتون مبارک 🌺 https://twitter.com/enoureddini/status/1108488443376689153

یکی از سایت های خوب آموزشی که خوبه بهش یه نگاهی بیاندازید: 💻 Centralising Web Security Knowledge - Attack, Defense, Tooling and Writeups https://bit.ly/2TKTK3Q

اگر تا الان دوره های فارسی و رایگان تولید شده مارو ندیدید دم عیدیه میتونید از فرصت استفاده کنید و چیز های جدید یاد بگیرید: 💻 دوره 10 آسیب پذیری برتر وب (+1000 نفر شرکت کننده) https://t.me/PentesterSchool/1201 💻 دوره پایتون برای هکر های کلاه سفید (+3000 نفر شرکت کننده) https://t.me/PentesterSchool/1315 💻 دوره عبارات با قاعده در پایتون (+500 نفر شرکت کننده) https://bit.ly/2Tk2ZDj

امروز استاد بنده یک متن برای من ارسال کرده است که نشان دهنده این است که چطور باید در محیط آموزشی جدید کار کنم. عنوان ایمیل هم اخلاق حرفه ای یا (Professional Ethics) است. البته من یک بخشی از آن ایمیل و متن را اینجا آوردم که درباره چگونگی تعامل با بقیه و در محیط کار و تحصیل جدید است. همین ایمیل نشان دهنده یک محیط حرفه ای با یک محیط مریض است. به نظر من، شما هم که این ایمیل را خواندید، این چندتا رول را رعایت کنید. تعامل با این مجموعه رول ها زیباست. Netiquette "Netiquette" is civil and respectful behavior in electronic communication, including discussion forums and email. Such behavior is essential to the integrity of the academic environment and the free exchange of ideas. In order to keep your communication academically professional and appropriate you should avoid: 1. Personal attacks. The subject under discussion is always the content of the idea and not the characteristics of the person expressing that idea. 2. USING ALL CAPITAL LETTERS IN A SENTENCE, which implies you are yelling at the reader. 3. Using many exclamation points to end your sentence as this also implies you are yelling at, or are very upset with, the reader!!!!!!!! 4. Writing offensive or sarcastic messages. 5. Sending numerous emails with the same point in a short period of time. In order to keep your communication professional, remember the following principles: 1. Always respect the opinions of others and keep your opinions positive. A robust discussion will have disagreements, even strong disagreements, but should not degenerate into personal attack. 2. Always avoid offensive, rude, and sarcastic messages. If you receive a message of this nature, do not respond in the same tone. If this type of communication continues from someone, inform your faculty member. 3. Never send a message when you are angry or upset. Leave it in draft form, walk away, and review it later after you have calmed down. .... College of US is committed to maintaining an open and free learning environment. Violations of the netiquette policy may result in disciplinary action, including being referred to the Student Judicial Process for violation of the Code of Student Conduct. @miladkahsarialhadi