از نگاه احسان

آسیب پذیری اجرای کد از راه دور در دروپال ! اطلاعات بیشتر »» https://www.drupal.org/sa-core-2018-004 @PentesterSchool #drupal

⁣😎 جستجو بیت کوین در گیت هاب ⁣https://goo.gl/5c6WU8 #bitcoin

⁣😎 برای جلوگیری از #csrf توی وب سرویس هایی که از JSON استفاده می کنند ( مثل #restful API ها ) 2 تا کار انجام می شود: 1- بررسی می شود که درخواست ها دارای CSRF توکن باشند (توی کوکی ، هدر ) 2- هدر Content Type درخواست حتما application/json باشد خب فرض کنید که مورد اول یه نقص امنیتی دارد و ما می توانیم آن را دور بزنیم. با مورد دوم چه کار کنیم؟ روش های اکسپلویت CSRF ای که بلدیم روی مورد دوم جواب نمی دهد. مثلا اگر قربانی را به صفحه ای بفرستیم که فرم Auto Submit داشته باشد توی درخواست فرم Content Type به شکل ⁣application/x-www-form-urlencoded یا یه چیزی شبیه به اون فرستاده می شود. پس راه حل چیست؟ باز هم #flash -_- توضیحات Avanish Thapa در مورد این روش رو می تونید از اینجا مطالعه کنید: ⁣https://goo.gl/kB2zqQ #article @PentesterSchool

⁣💻 ⁣اکسپلویت نویسی وب با پایتون را در کارگاه آنلاین 1 روزه مدرسه تست نفوذ یاد بگیرید.. تا جمعه چیزی نمونده ! تا دیر نشده ثبت نام کنید👇 ⁣https://goo.gl/brv7uy #webinar

📝 تگ های کانال 🌎با استفاده از تگ های کانال می تونید به مطالب مرتبط در دسته بندی خاصی دسترسی داشته باشید.🌎 ✏️تا امروز 1500 پست توی کانال ارسال شده که تگ های استفاده شده در آن ها به شکل زیر است #information_gathering #metasploit #kali #questions #هک_امنیت #farsi #owasp #owasp_top_10 #burp_suite #websec #web_security_course #webgoat #articles #aspx #aspx_security #blackhat_group #scanning #درخواستی #csrf #hydra #downloads #dns #packet_analysis #metasploit_development_course #enumeration #ebooks #nmap #linux #server_security #metasploitable #firewall #quotes #maltego #sqli #xss #csrf #mitm #Facts #lynis #parrot #auditing #iptables #fingerprinting #xenotix #iptables #openvas #brute_force #nessus #payload #ruby #dvwa #vega #privacy #game_hacking #mutillidae #cloudflare #forensics #reverse_engineering #webinar #android #android_pentesting #bitcoin #news #book #bad_usb #ctf #misc #voice

⁣🔴 ویدیو لیست هایی که شاید دوست داشته باشید ببینید :) ⁣🔵 مجموعه ویدیویی Metasploit Minute ⁣🔵 آموزش امنیت سرور ⁣🔵 مقدماتی درباره شبکه های وایرلس ⁣🔵 آموزش Burp Suite ⁣🔵 دوره آموزشی OWASP TOP 10 فارسی ⁣🔵 آموزش امنیت وب ( فارسی ) ⁣🔵 آموزش Game Hacking ⁣🔵 آموزش جرم شناسی دیجیتال ⁣🔵 پیکربندی اسکنر OpenVAS ⁣🔵 آموزش پایتون برای هکر های کلاه سفید ⁣🔵 آموزش متاسپلویت (فارسی) ⁣🔵 آموزش خط فرمان ویندوز CMD #video_list @PentesterSchool

⁣💻 ⁣اکسپلویت نویسی وب با پایتون را در کارگاه آنلاین 1 روزه مدرسه تست نفوذ یاد بگیرید.. کمتر از 3 روز فرصت باقی مونده.. تا دیر نشده ثبت نام کنید👇 ⁣https://goo.gl/8wRVcQ #webinar

سامانهٔ امن پیام‌رسانِ Vuvuzela محقّقان دانشگاهِ MIT در آزمایشگاهِ هوش‌مصنوعی (MITCSAILAB) یه برنامهٔ پیام‌رسان امن و توزیع‌شده ساختن که حتّی اگه تمام سرورهای شبکه به جز یه سرور هم آلوده بشه باز هم امنیت و ناشناس‌موندن رو حفظ می‌کنه. این پیام‌رسان با ترکیب ایدهٔ Mixin شبکهٔ Tor و یکی از قدیمی‌ترین ایده‌های تبادلِ اطّلاعات (Droplets) شبکه‌ای دیجیتالی ساخته که پیام‌ها توی این شبکه کاملاً ناشناس دست به دست می‌شن. همین طور برای این که مطمئن باشن که تحلیل گره‌های فعّال شبکه نمی‌شه امنیت کاربران رو به خطر انداخت اومدن و تو هر مرحله یه مقدار نویز به کلّ شبکه اضافه کردن. این درست مثلِ یه استادیوم بزرگ می‌مونه که تماشاچی‌ها دارن توش سر و صدا می‌کنن امّا لیدرها با یه سری شیپور که دستشونه (همون Vuvuzela) دارن به طرفدارهاشون علامت می‌دن. حالا اگه شما ندونید که باید به صدای چه کسی گوش بکنید دیگه نمی‌تونید پیام‌ها رو از هم تشخیص بدید. راستی! می‌دونستید Vuvuzela اسم همون شیپورهای آفریقاییه که تو استادیوم‌ها می‌زنن؟؟ اگه دوست دارین شما هم از این پیام‌رسان استفاده کنین یا می‌خواین مقالاتِ علمی پشتِ این ایده رو بخونین می‌تونین از https://vuvuzela.io/ اطّلاعات لازمه رو به دست بیارین! @PentesterSchool

✅ آسیب‌پذیر بحرانی در WebEx سیسکو، وصله‌ها را اکنون اعمال کنید! سیسکو یک وصله‌ی بحرانی برای یک آسیب‌پذیری اجرای کد از راه دور در نرم‌افزار WebEx منتشرکرده است. این آسیب‌پذیری می‌تواند ازطریق فایل‌های Flash، توسط مهاجم راه دور برای اجرای کد دلخواه روی ماشین هدف مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری (CVE-2018-0112) هر دو نسخه‌ی کلاینت و سرور WebEx Business Suite و WebEx Meetings را تحت تاثیر قرار می‌دهد. سیسکو از کاربران خود خواسته است که نرم‌افزارهایشان را برای رفع این مشکل، به‌روزرسانی کنند. کاربران برای تعیین اینکه یک برنامه‌ی WebEx سیسکو یک نسخه‌ی آسیب‌پذیر WebEx را اجرا می‌کند، می‌توانند به سایت Cisco WebEx مراجعه کرده و به قسمت Support>Downloads بروند. وصله‌ها را فورا اعمال کنید! 🔻بیشتر بخوانید: http://nsec.ir/news/cisco-webex-flaw 📲 @APA_IUTcert

#طنز

Jadx یک دیکامپایلر قدرتمند هست که کار باهاش خیلی آسونه و خیلی راحت میتونید فایل های apk رو دیکامپایل کنید: https://goo.gl/ouQDEz #jadx #android #apk #decompiler @PentesterSchool

نه به دامپ های مکرر بیت کوین نه به این پامپش. کی داره بیت کوین میخره باز؟ #bitcoin @PentesterSchool

⁣💻 ⁣اکسپلویت نویسی وب با پایتون را در کارگاه آنلاین 1 روزه مدرسه تست نفوذ یاد بگیرید.. ⁣🎁 کد تخفیف 30 درصدی برای 5 شرکت کننده اول: TJ6F2 همین حالا شرکت کنید👇 ⁣https://goo.gl/Ji3z9T #webinar

سریعترین و امن ترین DNS Resolver که از همکاری cloudFlare و APNIC ایجاد شده است. https://1.1.1.1 #news #dns_secure @PentesterSchool

باگ مربوط به سروش فقط توی کانال هایی وجود دارد که امکان صحبت مستقیم با ادمین هستش و بقیه کانال ها این باگ رو ندارند. علاوه بر اون به نظر میرسه که این باگ توی چت هم وجود داره ، به نظر میاد که توی توسعه سروش از شماره تلفن به عنوان شناسه اصلی یوزر ها استفاده شده و همین باعث میشه که شماره تلفن قابل استخراج باشه. http://s8.picofile.com/file/8322879018/sorush.png #توضیحات_تکمیلی @PentesterSchool

⁠⁣اخیرا متوجه شدم که پیام رسان سروش باگی داره که میشه مشخصات صاحب کانال رو فهمید. ( احتمالا سروش جوری نوشته شده که به این اطلاعات نیاز داره و تغییر دادنشم یکمی برنامه نویسارو اذیت میکنه و شاید اصلا از نظر برنامه نویسای سروش این باگ امنیتی تلقی نشه اما اگر باگ نباشه افشا اطلاعات هست !) مثلا #رایچت هم مشکلی مشابه داشت که چند روز پیش ما بهشون اطلاع رسانی کردیم و گفتن که با خبرن و میخوان خیلی چیز هارو عوض کنند و این هم با اون انجام خواهند داد. کسی به امنیت تبادل و همینطور ذخیره سازی دیتا توجهی نمیکنه ، چون هم خیلی سخته و هم جلو چشم همه نیست. دیتا به صورت خام رد و بدل و ذخیره سازی میشه و شاید سالی یک بار مشکلی پیش بیاد که به فکر بیافتند. توسعه نرم افزار های ایرانی طی چند سال گذشته خیلی پیشرفت کرده اما متاسفانه هیچ تحقیق و توسعه ای روی امنیت نرم افزار انجام نشده و کمتر اپلیکیشنی رو میتونیم پیدا کنیم که مقدماتی ترین موارد امنیتی رو هم رعایت کرده باشه :) (همین داکیومنت هایی که سایت owasp.org ارائه میده کافیه!) تصویر زیر مربوط به باگی هست که توی رایچت وجود دارد.. @PentesterSchool

👀نصب و اجرای هانی پات(HoneyPot) 🔹 شاید برای شما این سوال پیش آمده باشد که چطور یک هانی پات راه اندازی کنیم؟ در این مقاله با نصب و راه اندازی هانی پات KFSensor در ویندوز آشنا می شویم. https://goo.gl/fcnrSj #honeypot #KFSensor #windows @PentesterSchool

🚨حتما این روز ها در مورد VPN هایی که آی پی واقعی شما رو لو میدند شنیدید! لیست این VPN ها به شرح زیر هست: BolehVPN (USA Only) ChillGlobal (Chrome and Firefox Plugin) Glype (Depends on the configuration) hide-me.org Hola!VPN Hola!VPN Chrome Extension HTTP PROXY navigation in a browser that supports Web RTC IBVPN Browser Addon PHP Proxy phx.piratebayproxy.co psiphon3 (not leaking if using L2TP/IP) SOCKS Proxy on browsers with Web RTC enabled SumRando Web Proxy TOR as PROXY on browsers with Web RTC enabled 🔹مورد آخر یعنی استفاده از tor به عنوان پراکسی و فعال بودن Web RTC ممکنه خیلی ها استفاده کنند پس مراقب باشید! برای این که چک کنید آی پی واقعی شما میتونه به دست بیاد یا نه از سایت های زیر میتونیداستفاده کنید: https://ipleak.net https://ip.voidsec.com 🔹و البته برای برطرف کردن این مشکل در لینک زیر برای سه مرورگر فایرفاکس و کروم و اوپرا توضیح داده شده است: https://goo.gl/TqgLCV #VPN #webRTC #leak @PentesterSchool