از نگاه احسان

⁠⁣به جای اینکه توی صفحه راهنما و Man Page‌ ها دنبال این بگردید که یه دستور توی لینوکس چه مفهومی رو میرسونه می تونید از سایت explainshell.com استفاده کنید. #linux

⁣⭕ درباره شبکه های #wireless بیشتر یاد بگیرید :) 👈 حالت Promiscous و Packet Sniffing 👉https://goo.gl/BMGBWY 👈 پروتکل های 802.11 👉https://goo.gl/HLTjMX 👈 کانال های وای فای یا WiFi Channels 👉https://goo.gl/bZyZdj 👈 بررسی شبکه های 802.11n 👉https://goo.gl/wV6Rp6 👈بررسی WiFi Frames 👉https://goo.gl/C9h8BX 👈 بررسی Frame Analyzing 👉https://goo.gl/nmmE9n 👈بررسی probe request/response 👉https://goo.gl/TtcGdN #wireless_security #hak5

🎞 نسخه ضبط شده وبینار آماده شد ⁣دوستانی که نسخه ضبط شده وبینار «شروع یادگیری هک و امنیت» را تهیه کرده بودند، این نسخه براشون رجیستر شده اگر مشکلی در دسترسی دارند از طریق پشتیبانی مطرح کنند #webinar

⁣⁣😁⁣تغییر آیکن Payload ساخته شده توسط Veil Evasion ⁣https://goo.gl/WZfjJ5 #metasploit #veil

⁣حملات Web Cache Deception ⁣https://goo.gl/oizYw5 #web_security

⁣⭕ دور زدن یا بایپس Cloud Proxy ⁣https://goo.gl/9X54Qq #cloudflare #bypass

🤔 ⁣⁣بیرون کشیدن چت های Hangout از Memory ⁣https://goo.gl/6ggJPw #forensics

چندی پیش آسیب پذیری از #tor کشف شد که به هکر ها اجازه میداد آی پی آدرس واقعی شمارو کشف کنند. توضیحات این آسیب پذیری: https://cxsecurity.com/issue/WLB-2017110029 #news @PentesterSchool

⭕⁣ پیکربندی , و استفاده از PupyRat (ویندوز ، اندروید و لینوکس) https://goo.gl/6Zc6Z5

⁣⁠⁠⁣✅ آموزش های امنیت سرور در مدرسه تست نفوذ ⁣👈 ایمن سازی سرویس SSH ⁣👈 نظارت بر شبکه با lsof ⁣👈 نظارت بر ارتباطات با TCPTrack ⁣👈 حملات Pass The Hash⁣ ⁣👈 استفاده از Printer برای هک شبکه ⁣👈 آسیب پذیری Dirty Cow ⁣👈 حملات DNS Spoofing ⁣👈 آموزش SELinux ⁣👈 نصب آنتی ویروس روی سرور لینوکس ⁣👈 آسیب پذیری ShellShock ⁣👈 آموزش HTTPprint ⁣👈 آسیب پذیری GHOST #server_security @PentesterSchool

🤔 ⁣جمع آوری کاربران وب سایت (Enumeration) با Burp Suite ⁣https://goo.gl/HypZRM #burp_suite #enumeration

⁣🤔 هنوز ویدیو های دوره فارسی 10 آسیب پذیری برتر وب را ندیدید؟ 🎯 توی این دوره با OWASP TOP 10 آشنا می شوید و یاد می گیرید که چگونه برنامه تحت وبی ایمن بنویسید. اگر هنوز این دوره که به صورت رایگان منتشر شده را ندیدید. همین الان شروع کنید 😊 ➖➖➖➖➖➖➖➖➖ 🎯 ماژول A1 - حملات Injection : https://goo.gl/OVBals 🎯 ماژول A2 - شکستن احراز هویت : https://goo.gl/ICcvgR 🎯 ماژول A3 - حملات Cross Site Scripting : https://goo.gl/YLWcqk 🎯 ماژول A4 - ارجاع غیر ایمن به شیء (Insecure Direct Object Reference) : https://goo.gl/OEfMSD 🎯 ماژول A5 - تبعات امنیتی پیکربندی نادرست (Security Misconfiguration) : https://goo.gl/ENY3vY 🎯 ماژول A6 - افشای داده های حساس (Sensitive Data Exposure): https://goo.gl/F6OcGh 🎯 ماژول A7 - عدم کنترل دسترسی به عملکرد ها(Missing Function Level Access Control): https://goo.gl/vDGjUD 🎯 ماژول A8 - جعل درخواست (Cross Site Request Forgery): https://goo.gl/N9Ot1E 🎯 ماژول A9 - استفاده از کتاب خانه های آسیب پذیر (Using components with known vulnerabilties): https://goo.gl/g27chR 🎯 ماژول A10 - تغییر مسیر های نامعتبر (Unvalidated Redirects and Forwards): https://goo.gl/fHXNJH

⁣⭕ حمله توسعه یافته بر طول هش ها – Length Extension Attack ⁣https://goo.gl/pUm92w #password_attack #hash

⁠⁠⁣📝 بهترین زبان برای شروع هک و امنیت کدام است؟ ⁣🤔 همیشه وقتی آدم می خواد وارد مبحثی بشه می خواد به بهترین شکل وارد بشه و با افرادی که تو اون حوزه چند سال کار کردن هم ردیف بشه .. برای همین سوالی که براش پیش میاد اینه که بین این همه رقیب کدام را برگزینم و با کدام شروع کنم؟ در این مقاله یاد میگیرید که ⁣👇👇 📝 بهترین زبان مطلق وجود ندارد ! 📝زبان برنامه نویسی یا نشانه گذاری یا اسکریپت نویسی !؟ 📝انواع زبان های اسکریپت نویسی 📝انتخاب زبان اسکریپت نویسی برای شروع هک و امنیت 📝 مفاهیم برنامه نویسی ⁣https://goo.gl/Y2SA5J #articles

⁠⁠⁠⁠⁣اگه ⁣حال ندارید ⁣ سایتای خبری رو چک کنید ⁣😁 این ربات خبرای مختلف امنیتی رو بهتون بر اساس تایمی که می خواید ( روزانه، هفتگی و .. ) میده. دیگه مجبور نیستید دنبال خبرا بدویید. ⁣👇👇👇 ⁣https://t.me/vulnersBot @PentesterSchool

⁠⁠⁣✅ ۱۰ آسیب پذیری رایج وب سایت ها ⁣#۱: تزریق / Injection ⁣مشکلات Injection از شکست در فیلتر کردن ورودی های نامعتبر نشات میگیرد و وقتی رخ می دهد که شما داده های فیلتر نشده را به سرویس دهنده ای بفرستید. مثلا اگر این داده ها را به SQL بفرستید ( در این حالت می گوییم SQL Injection ) ⁣#۲ : تایید هویت شکسته شده / Broken Authentication⁣ همه می خواهند سیستم تایید هویت خودشان را بنویسند ، پیشنهاد ما بر عکس این است ! این بسیار سخت هست که شما بتوانید از مشکلات متعددی که می تواند در سیستم تایید هویتتان باشد ⁣#۳ : اسکریپت نویسی فراوبگاهی / Cross Site Scripting⁣ در این نوع حملات ، حمله کننده کد های جاوا اسکریپتی را به عنوان ورودی می دهد و وب سایت شما آن را بدون تمیز کردن به کاربر بر می گرداند و در نتیجه روی مرورگر کاربر اجرا می شود ⁣#۴ : ارجاع های ناامن به شیء ها / Insecure Direct Object References⁣ این مشکل امنیتی وقتی رخ می دهد که ما به ورودی کاربر ، کاملا اعتماد بکنیم ! Direct Object Reference به این معنی هست که کلید های یک شیء را به کاربر نشان دهیم یا کاربر به نوعی بتواند آن ها را حدس بزند ⁣#۵ : پیکربندی امنیتی اشتباه / Security Misconfiguration⁣ تجربه ثابت کرده که سرور و وب سرور هایی که اشتباه کانفیگ شدن به مراتب آسیب پذیر تر از آن هایی بودند که با دقت پیکربندی شدند. شاید این امر به خاطر این باشد که راه های میانبر برای حمله کننده ها بسته می شود ⁣#۶ : افشا داده های حساس / Sensitive Data Exposure⁣ این آسیب پذیری برنامه های تحت وب مربوط به رمزگذاری و محافظت از منابع است. داده های حساس همیشه باید رمزگذاری بشوند ، چه در حال ارسال و چه زمانی که جایی ذخیره شده اند. بدون هیچ استثنا ! ⁣#۷ : عدم کنترل دسترسی به عملکرد ها / Missing Function Level Access Control⁣ این مشکل به طور ساده شکست در Authorization هست ! این یعنی یک عملیات سمت سرور انجام شود بدون اینکه Authorization وجود داشته باشد ⁣#۸ : جعل در خواست / Cross Site Request Forgery⁣ توی این آسیب پذیری حمله کننده از یک اکانت Authorize شده و در یک سایت دیگر برای انجام خواسته های خودش استفاده می کند ! برای مثال کاربر سایت pentesterschool.ir را باز می کند اما پسورد وی در secret.com به pentester:pentester تغییر پیدا می کند. ⁣#۹ : استفاده از کتابخانه های آسیب پذیر / Using Components with Known Vulnerabilities⁣ یکی از آسیب پذیری های بسیار مهم و خطرناک که مربوط به بخش نگهداری و استقرار Web Application می باشد. قبل از اینکه کد ها را ترکیب کنید ، باید دقت داشته باشید اگر کدی را از گیت هاب بر میدارید یا از فروم ها کپی می کنید به این معنی نیست که ۱۰۰% ایمن است و می تواند انواع آسیب پذیری هارا داشته باشد. ⁣#۱۰ :تغییر مسیر های نامعتبر / Unvalidated Redirects and Forwards⁣ یک بار دیگر مشکل از فیلترینگ نادرست ورودی ها نشات میگیرد. فرض کنید که شما صفحه ای دارید به نام redirect.php که پارامتر url ای را دریافت می کند و کاربر را به آن URL هدایت می کند. #owasp_top_10 @PentesterSchool