Network Security Channel

⭕️ در این مقاله محقق با تزریق CSS از طریق Client Side Path Traversal با Open Redirect تونسته اطلاعات شخصی کاربر رو استخراج کنه https://mr-medi.github.io/research/2022/11/04/practical-client-side-path-traversal-attacks.html #BugBounty #Pentest #web_security @Engineer_Computer

⭕️ در این مقاله محقق با chain کردن آسیب پذیری هایی ‌که درحالت عادی در اکثر برنامه های باگ بانتی قابل قبول نیستن رو تبدیل به آسیب پذیری account takeover کرده https://medium.com/@renwa/the-underrated-bugs-clickjacking-css-injection-drag-drop-xss-cookie-bomb-login-logout-csrf-84307a98fffa #BugBounty #Pentest #web_security @Engineer_Computer

🔴هک شدن سرورهای بنیاد شهید ▪️یک گروه هکری بنام بختک مدعی شده که سرورهای بنیاد شهید و امور ایثارگران را هک کرده و تمام سیستم‌ها، اطلاعات و Backupهای ستاد مرکزی را حذف کرده است. ▪️این گروه هکری در اثبات ادعای خود تصاویری از دسترسی به زیرساخت مجازی بنیاد شهید را منتشر کرده است. ▪️وب سایت بنیاد شهید هم اکنون از دسترس خارج شده و صفحه اول آن با یک تصویر جایگزین شده است: www.isaar.ir @Engineer_Computer

🔴🔴🔴 هشدار فوری درخصوص کشف آسیب پذیری جدید روی Zimbra ▪️شرکت Zimbra ساعاتی پیش با اعلام هشدار فوری، به مشتریانش توصیه کرد در اسرع وقت نسبت به رفع آسیب پذیری Zeroday کشف شده روی محصول Mail Server این شرکت اقدام کنند. ⭕️توجه داشته باشید Exploit این آسیب پذیری بطور گسترده در حال سوء استفاده است. اگر امنیت سازمان شما حساس است همین الان (عصر جمعه) اقدام به رفع آسیب پذیری کنید. ممکن است تا فردا دیر شده باشد! ▪️این آسیب پذیری فعلا فاقد Patch بوده و لازم است Admin ها فورا اقدامات زیر را انجام دهند: 1. Take a backup of the file /opt/zimbra/jetty/webapps/zimbra/m/momoveto 2. Edit this file and go to line number 40 3. Update the parameter value to <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/> 4. Before the update, the line appeared as <input name="st" type="hidden" value="${param.st}"/> 🔗اطلاعات بیشتر ⚠️هشدار مهم: ▪️اگر از Mail Server های بومی استفاده می‌کنید بدانید اکثر آنها از زیرساخت Zimbra استفاده کرده اند. لذا همه آنها هم شرایط این آسیب پذیری بحرانی را دارند. از آنجا که تجربه ثابت کرده تولید کنندگان Mail Serverهای بومی اهتمام جدی و فوری نسبت به رفع آسیب پذیریهای خود را ندارند توصیه می شود در اسرع وقت نسبت به رفع آسیب پذیری اقدام کنید. ▪️یادآوری می‌شود سال گذشته هم یک آسیب پذیری مهم روی Zimbra کشف شده بود که در اینجا اطلاع رسانی شد. همان آسیب پذیری منجر به این حادثه شد. در این پست هم توضیحات تکمیلی ارائه شد. ▪️ذکر مجدد این نکته ضروريست که صرف بومی بودن یک محصول لزوما به معنای امن تر بودن آن نیست. نگاهی به حملات اجرا شده در سال‌های اخیر نشان می‌دهد برخی از حملات ناشی از آسیب پذیر بودن محصولات بومی بوده است. محصولات بومی ممکن است از ماژولهای آماده آسیب پذیر استفاده کرده باشند و آسیب پذیری ها را به ارث برده باشند. @Engineer_Computer

🔴 روزنامه ابتکار: گردش مالی فروشندگان فیلتر شکن،۲تا۳برابر درآمد علمیاتی مخابرات ایران است/جدی ترین خطر فیلترشکن، قرار گرفتن در معرض محتوای نامناسب 💢 وزیر ارتباطات به طور تلویحی توصیه کرده مردم برای حفظ امنیت داده‌هاشان، در حد امکان از «فیلترشکن‌های رایگان خارجی» استفاده نکنند. 📌با فرض حداقلی‌ترین حالت، ۲۵ درصد کابران از فیلترشکن‌های پولی استفاده می‌کنند. این یعنی گردش مالی فروشندگان VPN، ماهانه حدود ۱۸۰۰ میلیارد تومان است. 📌در این بین اما تنها فروشندگان وی‌پی‌ان نیستند که از ابَر سانسور در ایران سود می‌برند. درگاه‌های پرداخت، بانک‌ها، اپرتورهای اینترنتی و حتی شرکت مخابرات نیز در زمره منتفعان این مساله قرار می‌گیرند. 📌سود بانک‌ها از خرید وی‌پی‌ان، با احتساب کارمزد تراکنش ۷۲۰ تومانی، حدود ۴۰ میلیارد تومان در ۹ ماهه اخیر است. درگاه‌های واسط خرید اینترنتی اما، کارمزدهای بیشتری را اعمال می‌کنند و به طور طبیعی، سود بیشتر از بانک‌ها به جیب می‌زنند. 📌جدی ترین خطر فیلترشکن قرار گرفتن در معرض متون یا تصاویر حاوی خشونت و پرخاشگری، تصاویر جنسی و هرزه نگاری است. @Engineer_Computer

🔴🔴🔴کشف آسیب پذیری بحرانی جدید روی Fortigate ▪️ساعاتی پیش باز هم یک آسیب پذیری بحرانی جدید روی Fortigate با امتیاز 9.8 کشف شده که به مهاجم راه دور اجازه اجرای کد دلخواه از راه دور را میدهد!! ▪️برای این آسیب پذیری که با شناسه CVE-2023-33308 شناخته می شود Exploit هم ساخته شده است. اگر Fortigate دارید فورا مطابق با اطلاعیه شرکت Fortigate بروزرسانی کنید. @Engineer_Computer

🗒 Subdomain Takeover leading to Full Account Takeover https://hacktus.tech/subdomain-takeover-leading-to-full-account-takeover @Engineer_Computer

با مهندسی کشف بیشتر آشنا شویم https://d4rkciph3r.medium.com/establishing-a-detection-engineering-program-from-the-ground-up-b170811166c @Engineer_Computer

info Study materials for the Certified Red Team Pentesting (CRTP) exam https://github.com/0xStarlight/CRTP-Notes @Engineer_Computer #businessadvisor #cyberdefense #data #cybersecurityawareness #cybersecuritytraining #cybercrime #cyberdefense #networksecurity #securityaudit #intelligenceéconomique #analytics #research #mal #malware #reverseengineering #engineering #team #business #software #security #BusinessSecureContinuity

⚡️ SonicWall and Fortinet both address critical vulnerabilities in their network security software. Update SonicWall's GMS and Analytics, and Fortinet's FortiOS and FortiProxy immediately to protect against unauthorized access. Read: https://thehackernews.com/2023/07/new-vulnerabilities-disclosed-in.html -Cyber Security awareness- Up2date 4 Defence Today, Secure Tomorrow @CisoasaService 1402.04.22

info OSCE³ and OSEE Study Guide https://github.com/CyberSecurityUP/OSCE3-Complete-Guide Red Team Tactics Dirty Pagetable: A Novel Exploitation Technique To Rule Linux Kernel https://yanglingxi1993.github.io/dirty_pagetable/dirty_pagetable.html @Engineer_Computer

Heads up, everyone! Microsoft has released updates to fix 130 security flaws, including 6 zero-day vulnerabilities being actively exploited. Update your software now to keep your systems secure. Learn more: https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html @Engineer_Computer

تفاوت SAN و NAS و CAS در یک جدول ، مختصر و مفید @Engineer_Computer

🌟... Alone ?🌟 - به نظرتون اسم فیلم چیه ؟؟ @Engineer_Computer

Discover the power of MITRE ATT&CK! This widely adopted framework categorizes tactics, techniques, and procedures used in cyberattacks, helping security professionals build strong defense strategies. Learn more: https://thehackernews.com/2023/07/how-to-apply-mitre-att-to-your.html @Engineer_Computer