Try Hack Box

📦 مجموعه ای از سایت های آموزش تیم آبی. • مجموعه کوچکی از منابع فعلی که در آن می توانید تجربه عملی و دانش لازم را برای متخصصان تیم آبی به دست آورید. مستقیم بریم سر اصل مطلب: • codeby.games - متخصص در امنیت تهاجمی، پلت فرم کاملا رایگان است. • Dfir-Dirva - مجموعه ای از مطالب رایگان و باز که شامل آزمایشگاه های آموزشی و کارهای کامل برای آماده سازی تیم آبی می باشد. • Malware-Traffic-Analysis.net منبعی است که خود را به عنوان مخزن وظایف و آزمون های تجزیه و تحلیل ترافیک قرار می دهد. • Cybrary بستری برای تمرین عملی تیم آبی است. با اشتراک رایگان، دسترسی کامل به ماشین‌های مجازی با پیکربندی‌های مختلف (اسکنر آسیب‌پذیری، SIEM، TIP و غیره) را فراهم می‌کند که تمرین در شرایط واقعی را بدون نیاز به پیکربندی اولیه ابزارهای امنیت اطلاعات ممکن می‌سازد. • Letsdefend یک پلت فرم آموزشی با هزاران مطالب آموزشی، دوره ها و آزمایشگاه های موجود است. تمام محتوا مطابق با ماتریس MITER ATT&CR نمایش داده می شود. • CyberDefender یک پلت فرم آموزشی جامع تیم آبی است. شما می توانید به صورت رایگان کارهای مختلفی را در زمینه بررسی حادثه (بایگانی با گزارش ها ارائه شده است) و پزشکی8 قانونی شبکه (ترافیک در pcap) انجام دهید. وظایفی برای تجزیه و تحلیل حوادث در ویندوز، لینوکس و اندروید وجود دارد. • TryHackMe - نیازی به معرفی ندارد. ارزش توجه به این مطالب را دارد: SOC Level 1 ، SOC Level 2 و Security Engineer. @PfkCTF @TryHackBox

💬 هدر Sec-WebSocket-Key برای چه مواردی استفاده می شود؟ key هیچ ارتباطی با امنیت یا رمزگذاری ندارد. از آنجایی که سوکت‌های وب با استفاده از یک درخواست اولیه HTTP ایجاد می‌شوند، هدر Sec-WebSocket-Key توسط کلاینت برای بررسی اینکه آیا سرور از وب‌سوکت پشتیبانی می‌کند استفاده می‌شود. اگر کلاینت نسخه هش شده صحیح کلید را از سرور دریافت نکند، به راه اندازی وب سوکت ادامه نمی دهد. @TryHackBox

⌨️ نمونه تک خطی برای تشخیص سریع XSS در فایل‌های PHP .... https://www.instagram.com/p/C4kVmTGKWO9/?igsh=MzRlODBiNWFlZA== #tips #bugbounty @TryHackBox

😎 این کد در معرض چه آسیب پذیری هایی است؟ poc را برای عملیات بیاورید👇 @TryHackBox

👺 3 ابزار برتر برای XSS در این پست درباره برخی از ابزارهای XSS که باید در سال 2023 بدانید، به شما خواهم گفت. آنها برای شناسایی و کاهش آسیب پذیری های XSS طراحی شده اند و در نهایت از برنامه های وب در برابر حملات احتمالی محافظت می کنند. 1. XSStrike — ابزاری است که در شناسایی و بهره برداری از آسیب پذیری های XSS در برنامه های وب تخصص دارد. طیف کاملی از روش‌ها و محموله‌های اسکن XSS را ارائه می‌دهد که آن را به منبعی ارزشمند برای متخصصان تبدیل می‌کند. 2. Dalfox — ابزاری است که در اسکن برنامه های کاربردی وب برای آسیب پذیری های XSS (اسکریپت بین سایتی) تخصص دارد. این به متخصصان امنیتی و هکرهای اخلاقی روشی سریع و موثر برای شناسایی و بهره برداری از نقاط ضعف بالقوه XSS ارائه می دهد. 3. BruteXSS — یک ابزار قدرتمند XSS (اسکریپت نویسی متقابل) بروت فورس است. BruteXSS یک ابزار بین پلتفرمی است که می تواند بر روی سیستم عامل های مختلف اجرا شود. - این انعطاف پذیری آن را در دسترس طیف وسیع تری از متخصصان قرار می دهد. #XSS #Recon @TryHackBox

Disable Windows Defender (+ UAC Bypass, + Upgrade to SYSTEM) @TryHackBox

حملات مرسوم OSI Layer Model @TryHackBox @TryHackBoxOfficial

استفاده از Google Dorks در عمل: راهنمای ویدیویی برای هکرهای اخلاقی. تماشا کنید #recon #dork @TryHackBox @TryHackBoxOfficial

هنگام تلاش برای بای پس کردن WAF و تزریق پیلود XSS، تگ <details> را فراموش نکنید. اغلب توسط WAF مسدود نمی شود! منبع #bugbounty #tip @TryHackBox @TryHackBoxOfficial

🍯 هانی پات • 30 هانی‌پات سطح پایین در یک بسته PyPI برای نظارت بر ترافیک شبکه، فعالیت‌های ربات‌ها و اعتبار نام کاربری \ رمز عبور. • https://github.com/qeeqbox/honeypots #honeypot @TryHackBox @TryHackBoxOfficial

یک راهنمای مرجع سریع برای گزارش های امنیتی ویندوز برای متخصصان امنیتی، تحلیلگران SOC و متخصصان تیم Blue. #tips #blueteam #soc @TryHackBox @TryHackBoxOfficial

🔎 راهی آسان برای یافتن نقاط پایانی یا endpoints که به طور بالقوه می توانند تحت تأثیر آسیب پذیری های IDOR قرار گیرند. #tips #recon @TryHackBox @TryHackBoxOfficial

📝 گزارش هکر وان • من اغلب گزارش ها و مطالعات مختلفی را به اشتراک خواهم گذاشت که مطالعه آنها به ما کمک می کند تا اطلاعات منحصر به فرد و مفید زیادی در زمینه امنیت اطلاعات بدست آوریم. از این گذشته، خواندن کتاب به تنهایی یا گذراندن دوره‌ها شما را به یک متخصص باحال در زمینه خاصی تبدیل نمی‌کند، برای این کار باید تجربه عملی به دست آورید، دائماً یاد بگیرید و دانش را از منابع مرتبط به دست آورید. • امروز یکی از آن منابع را به اشتراک خواهم گذاشت: مخزن گزارش های برتر HackerOne. این مخزن به طور مداوم به روز نگه داشته می شود که به شما کمک می کند چیزهای جدید و مفید زیادی را بیاموزید (گزینه های بهره برداری از آسیب پذیری های مختلف، بردارهای حمله و غیره). • https://github.com/reddelexc/hackerone-reports • علاوه بر این: یک مخزن مفید حاوی تجزیه و تحلیل کمپین های #فیشینگ باندهای #APT، حاوی نمونه ای از نامه ها و شرح ابزارهای مورد استفاده برای ارسال: https://github.com/wddadk/Phishing-campaigns #HackerOne #Report @TryHackBox @TryHackBoxOfficial

با استفاده از دستورهای sort و uniq با هم می توانید URL های تکراری را از لیستی در خط فرمان حذف کنید. sort urls.txt | uniq > unique_urls.txt #linux @TryHackBox @TryHackBoxOfficial

🔖 Docker Containers of Intentionally Vulnerable Systems * Damn Vulnerable Web Application DVWA docker pull citizenstig/dvwa * OWASP Juice Shop docker pull bkimminich/juice-shop * OWASP Mutillidae II Web Pen-Test Practice Application docker pull citizenstig/nowasp * OWASP NodeGoat docker-compose build && docker-compose up * OWASP Security Shepherd docker pull ismisepaul/securityshepherd * OWASP WebGoat Project 7.1 docker image docker pull webgoat/webgoat-7.1 * OWASP WebGoat Project 8.0 docker image docker pull webgoat/webgoat-8.0 * Vulnerability as a service: Heartbleed docker pull hmlio/vaas-cve-2014-0160 * Vulnerability as a service: SambaCry docker pull vulnerables/cve-2017-7494 * Vulnerability as a service: Shellshock docker pull hmlio/vaas-cve-2014-6271 * Vulnerable WordPress Installation docker pull wpscanteam/vulnerablewordpress 🔖 Docker Containers of Penetration Testing Distributions and Tools * Docker Bench for Security docker pull diogomonica/docker-bench-security * Official Kali Linux docker pull kalilinux/kali-linux-docker * Official OWASP ZAP docker pull owasp/zap2docker-stable * Official WPScan docker pull wpscanteam/wpscan * Security Ninjas docker pull opendns/security-ninjas * docker-metasploit docker pull phocean/msf #Docker @TryHackBox @TryHackBoxOfficial

دایرکتوری های مهم ویندوز برای کارشناسان امنیتی، تحلیلگران SOC و متخصصان تیم قرمز. #tips #redteam #soc @TryHackBox @TryHackBoxOfficial

5 نکته برتر برای مصاحبه های شغلی امنیت سایبری #job @TryHackBox @TryHackBoxOfficial

Ryder - رایدر ابزاری برای سازماندهی و سازماندهی گردش کار است. به شما امکان می دهد مجموعه ای از ماژول ها را در یک فایل YAML تعریف کنید، که هر کدام شامل دستوراتی است که باید اجرا شوند. > rayder -w path/to/main-template.yaml ORG="MoneyHole, Inc" OUTPUT_DIR=bounty #tips @TryHackBox @TryHackBoxOfficial

تسلط بر اجرای Remote Code Execution : تکنیک های تست نفوذ #Techniques #pentest @TryHackBox @TryHackBoxOfficial

Crazy Hashing Penetration Testing: Unleashing the Power of Unbreakable Secrets @TryHackBox @TryHackBoxOfficial