securityworld

🚨 چالش جدید WSTG-ERR-001 🕵️‍♀️️ در این سناریو با یک سامانه پشتیبانی تیکت به نام CrimsonDesk روبه‌رو می‌شوید؛ سیستمی که برای شبیه‌سازی یک محیط واقعی سازمانی طراحی شده است. در طول این چالش باید رفتار برنامه، نحوه مدیریت خطاها و ارتباط بین سرویس‌های مختلف آن را بررسی کنید. 🤔 آیا پیام‌های خطا می‌توانند اطلاعات بیشتری از آنچه باید، افشا کنند؟ 🌐 آیا می‌توانید از سرنخ‌های کوچک برای درک ساختار داخلی سیستم استفاده کنید؟ 🔎 در این چالش با مفاهیمی مثل تحلیل پیام‌های خطا، بررسی API، کشف سرویس‌های مرتبط و شناسایی افشای اطلاعات آشنا خواهید شد و اهمیت مدیریت صحیح خطاها در برنامه‌های وب را بهتر درک می‌کنید. 🎯 مناسب برای تمرین مباحث مرتبط با WSTG-ERR-001 (Improper Error Handling) این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-err-001 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🔔 اطلاعیه مهم با توجه به امکان ایجاد محدودیت اینترنت و عدم دسترسی به کانال‌های تلگرام، اطلاع‌رسانی‌های مجموعه از طریق کانال بله نیز انجام می‌شود. به اطلاع می‌رساند این کانال به‌صورت دائمی حفظ خواهد شد و پس از عادی شدن شرایط اینترنت، اطلاع‌رسانی‌ها به‌صورت هم‌زمان از طریق کانال بله و تلگرام انجام خواهد شد. در صورت بروز هرگونه مشکل یا نیاز به پیگیری، لطفاً از طریق آی‌دی پشتیبانی اعلام‌شده در کانال بله با ما در ارتباط باشید. از همراهی و صبوری شما سپاسگزاریم. آدرس کانال بله: https://ble.ir/challenginno https://web.bale.ai/@challenginno https://challenginno.ir

🚨 چالش جدید WSTG‑CRYPST‑004 🕵️‍♂️️️ در این سناریو با یک سامانه وب سازمانی روبه‌رو می‌شوید که برای مدیریت داده‌ها و دسترسی کاربران طراحی شده است. هدف شما بررسی مکانیزم‌های احراز هویت، کنترل دسترسی و نحوه استفاده از توکن‌ها در این سیستم است. 🔐 در طول چالش باید با بررسی Virtual Hostها، کوکی‌ها، فایل‌های JavaScript و endpointهای API سرنخ‌هایی درباره ساختار توکن‌ها و پیاده‌سازی رمزنگاری پیدا کنید. در نهایت نیز با تحلیل یک داده رمزگذاری‌شده به بخش‌های عمیق‌تری از سامانه دسترسی پیدا خواهید کرد. 🎯 تمرکز چالش: 🔎 تحلیل سرویس‌های وب 🌐 بررسی ساختار چنددامنه‌ای 🍪 تحلیل کوکی‌ها و توکن‌ها 🔐 بررسی رمزنگاری و کنترل دسترسی این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-crypst-004 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚀 چالش جدید WSTG‑CRYPST‑003 🕵️‍♀️️️ آماده‌اید تا مهارت‌های امنیتی خود را به چالش بکشید؟ در این سناریوی جذاب، به دنیای GreyVault شیرجه می‌زنیم تا ضعف‌های حیاتی در انتقال اطلاعات حساس و مدیریت نشست (Session) رو کشف کنیم. چالش‌های پیش رو: 🌐 شناسایی سرویس‌های فعال و پیکربندی Virtual Host 🍪 تحلیل ترافیک HTTP: از هدرها تا کوکی‌های نشست! 📜 رمزگشایی traceهای شبکه و درخواست‌های قدیمی 🔑 یافتن راه‌های دسترسی پنهان با این چالش، خطرات ارتباطات ناامن (HTTP) و پیکربندی نادرست کوکی‌ها رو درک خواهید کرد. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-crypst-003 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

نحوه اتصال و بدست آوردن IP ماشین اضافه گردید.

🚨 اولین چالش با محوریت Splunk 🔎 در این سناریو، شما در نقش یک تحلیلگر امنیتی قرار می‌گیرید و باید با استفاده از Splunk ردپای یک مهاجم را در لاگ‌های سیستم و شبکه دنبال کنید. مهاجم ابتدا با انجام Network Reconnaissance شروع کرده، سپس با اجرای Brute Force موفق به ورود به یکی از سیستم‌ها شده است. 👀 اما داستان اینجا تمام نمی‌شود… 🔐 پس از ورود، مهاجم به Credentialها دسترسی پیدا کرده، سطح دسترسی خود را افزایش داده و در نهایت با دسترسی ادمین یک اسکریپت مخرب روی سیستم اجرا کرده است. 🎯 در این چالش باید با جستجو و تحلیل لاگ‌ها در Splunk، مراحل مختلف حمله را شناسایی کنید و زنجیره کامل حمله (Attack Chain) را از مرحله شناسایی تا اجرای اسکریپت بازسازی کنید. 🔎 آیا می‌توانید تمام سرنخ‌ها را در میان لاگ‌ها پیدا کنید؟ 💻 مهارت‌های Threat Hunting و Log Analysis خود را به چالش بکشید! 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/splunk-warm-up با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🔐 چالش WSTG‑CRYPST‑002 در این چالش با وب‌سایتی به نام GreenVault روبه‌رو می‌شوید که از یک مکانیزم قدیمی برای مدیریت Session کاربران استفاده می‌کند. توکن نشست در سمت کاربر ذخیره شده و با AES‑CBC + PKCS#7 Padding رمزنگاری می‌شود. 🔎 مواردی که باید بررسی کنید: تحلیل ساختار و رفتار Session Token بررسی نحوه Decrypt و پردازش داده‌ها در سرور ارزیابی تعامل CBC، Padding و پیام‌های خطا تلاش برای تغییر سطح دسترسی کاربر دسترسی به بخش‌های محافظت‌شده سیستم 🎯 هدف: شناسایی ضعف‌های رمزنگاری و درک عملی حملاتی مثل Padding Oracle در تست نفوذ وب. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-crypst-002 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 چالش WSTG-CRYPST-001 در این سناریو باید یک وب‌سرویس را از نظر پیاده‌سازی HTTPS/TLS بررسی کنید. هدف پیدا کردن ضعف‌هایی است که معمولاً در مهاجرت ناقص از HTTP به HTTPS یا در پیکربندی TLS باقی می‌مانند. 🔎 مواردی که بررسی می‌کنید: دسترسی همزمان سرویس از طریق HTTP و HTTPS مقایسه پاسخ‌های هر دو پروتکل بررسی دامنه‌ها و ساب‌دامنه‌ها از طریق TLS Certificate تحلیل هدرهای امنیتی مثل HSTS شناسایی Mixed Content پیدا کردن مسیرهای مخفی یا APIهای داخلی 🎯 هدف نهایی: کشف ضعف‌های امنیتی در لایه انتقال و درک مشکلات رایج در پیاده‌سازی TLS در وب‌اپلیکیشن‌ها. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/wstg-crypst-001 📚 ابتدا مستند مربوط به این تست را مطالعه کنید و سپس برای حل چالش وارد آزمایشگاه شوید. 🌐 https://challenginno.ir/owasp-wstg با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🎖 معرفی برترین کاربر هفته - Top Challenger of Week 📊 ما در چلنجینو، هر هفته کاربری که بیشترین امتیاز را کسب کند به‌عنوان Top Challenger هفته معرفی خواهیم کرد. به‌علاوه، به عنوان پاداش، ۲۰۰ CP به اعتبار او افزوده می‌شود. 💡برای اطلاع از اینکه CP چی هست به پروفایل خود و بخش "اعتبار شما" مراجعه نمایید. 🏆 در هفته دوم خرداد ماه 1405، کاربر zerobits01 با کسب مجموع 151 امتیاز، موفق شد عنوان Top Challenger را از آن خود کند. امتیازات کسب شده توسط ایشان: 🔴 19 امتیاز برای چالش های تیم قرمز 🔵 132 امتیاز برای چالش های تیم آبی به او تبریک می‌گوییم و منتظر عملکرد درخشان سایر کاربران در هفته‌های آینده هستیم 💪 همچنین منتظر معرفی Top Challenger ماه نیز باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 چالش امنیتی PCAPass 🕵️‍♂️️️ نقش شما در این چالش به عنوان یک تحلیل‌گر امنیت شبکه می باشد و یک فایل ترافیک مشکوک به دستتان رسیده است. 📡 آیا می‌توانید از دل بسته‌های شبکه، حقیقت را بیرون بکشید؟ 🏁 فقط با طی کردن دقیق مراحل مختلف، تحلیل دقیق هر مرحله و دقت در داد های بدست آمده است که می‌توانید به Flag نهایی برسید. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/pcapass با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🛡 مجموعه چالش های Leaky ⚠️ سطح چالش: متوسط تا پیشرفته (Medium-Advanced) 🔍 اگر به دنبال چالشی هستید که مهارت‌های شما را در تست نفوذ به چالش بکشد، ماشین های Leaky یکی از بهترین گزینه‌هاست. این سناریو صرفاً یک نفوذ ساده نیست؛ بلکه یک سفر هیجان‌انگیز در میان لایه‌های مختلف امنیت است. در این چالش، با یک سناریوی نفوذ چندمرحله‌ای مواجه هستید که از شناسایی زیرساخت آغاز شده و به تحلیل دقیق ردپاهای دیجیتال منتهی می‌شود. مسیر چالش ها: 🔗 شناسایی و Enumeration پیشرفته: فراتر از اسکن‌های سطحی. 📂 تحلیل Git: تحلیل عمیق مخازن و بازیابی اطلاعاتی که تصور می‌شد برای همیشه حذف شده‌اند. 🔄 بخش Lateral Movement: عبور بین کاربران مختلف و استفاده از وابستگی‌های پروتکل‌ها (FTP, Samba, SSH). 🔑 ارتقای دسترسی: حل معماهای رمزنگاری و رسیدن به سطح نهایی (Root). 🔗 لینک چالش ها: 🌐 https://challenginno.ir/challenge/leaky 🌐 https://challenginno.ir/challenge/leaky-peaky 🌐 https://challenginno.ir/challenge/leaky-peaky-ban با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🧩 چالش Leaky 👀 در این چالش، در نگاه اول با سیستمی روبه‌رو می‌شید که سطح حمله‌ی خیلی محدودی داره و همین باعث می‌شه تمرکز اصلی از همون ابتدا روی بخش وب باشه 🔎 در بررسی اولیه سایت، چیز خاصی به چشم نمیاد؛ اما بعضی نشونه‌ها می‌گن که نباید فقط به صفحات عادی بسنده کرد و لازمه عمیق‌تر دنبال سرنخ‌ها رفت 📂 با کمی جست‌وجوی بیشتر در ساختار سایت، به بخشی می‌رسید که نشون می‌ده ردپاهایی از روند توسعه پروژه هنوز روی سرور باقی مونده 💻 در ادامه، با دنبال کردن همین سرنخ‌ها به اطلاعاتی می‌رسید که امکان دسترسی اولیه به سیستم رو فراهم می‌کنه 🎯 این ماشین، نمونه خوبی از ترکیب دقت در Enumeration، توجه به ردپاهای توسعه، و پیدا کردن مسیر درست برای Privilege Escalation هست 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/leaky با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🧩 چالش BadSigner 🌐 در این چالش، همه‌چیز از یک ضعف در بخش وب شروع می‌شه؛ جایی که دسترسی‌ای فراتر از چیزی که باید، در اختیارت قرار می‌گیره 💻 با کمی بررسی و دستکاری، این دسترسی از «فقط مشاهده» خارج می‌شه و کم‌کم به اجرای فرمان روی سرور می‌رسه. 🔎 بعد از گرفتن شل اولیه، نوبت به گشتن بین فایل‌ها و ردپاهای باقی‌مونده روی سیستم می‌رسه در مجموع، این ماشین ترکیبیه از: ضعف وب 🌐 + افشای اطلاعات 🕵️‍♂️️️ + مجوزدهی اشتباه ⚠️ + سرنخ‌های ساده اما دقیق 🎯 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/violet با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 گزارش‌های The DFIR Report در چلنجینو 🚨 🛡از این به بعد در بخش مقالات سایت چلنجینو، قصد داریم گزارش‌های تحلیلی و فنی سایت The DFIR Report رو منتشر کنیم 🔍 🔹 در دهمین گزارش رفتیم سراغ بررسی یک حمله باج افزاری با که از طریق RDP وارد شده و اقدام به آلوده کردن سیستم نموده است. ⚔️ تحلیل زنجیره حمله، تکنیک‌ها و نکات DFIR که برای تیم‌های آبی‌ و قرمز خیلی کاربردی هست. 📌 لینک گزارش: 🔗 https://challenginno.ir/blog/dfir-report-10 📈 به مرور گزارش‌های بعدی هم اضافه می‌شن، پس اگر به Threat Hunting، Incident Response و تحلیل حملات واقعی علاقه‌مندید، حتماً ما رو دنبال کنید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚀 رایت‌آپ ویدیویی: حل چالش جذاب جمع‌آوری اطلاعات از وب (Web Recon) توی این ویدیوی جدید، سراغ حل یک چالش بسیار کاربردی و جذاب رفتیم که تمرکز اصلی اون روی مبحث جمع‌آوری اطلاعات (Information Gathering) و OSINT در دنیای وب هست. 😎 اگر می‌خوای بدونی چطور می‌شه با سناریو روبرو شد، سرنخ‌ها رو کنار هم گذاشت و به اطلاعات هدف دست پیدا کرد، این ویدیو دقیقاً برای تو ساخته شده! 📌 توی این ویدیو چه چیزهایی یاد می‌گیریم؟ این چالش توسط آقای کوبانی تهیه شده است. 🌐 برای تماشای ویدیو روی لینک زیر کلیک کنید: https://www.aparat.com/v/jeht3md با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🧩 چالش BadSigner 🔐 در این چالش باید یک مسیر نفوذ چندمرحله‌ای را طی کنید 🔎 ابتدا با شناسایی سرویس‌های فعال و جستجوی مسیرهای حساس، ساختار وب‌اپلیکیشن را کشف می‌کنید. 🎫 بعد از ساخت یک حساب عادی، نوبت به تحلیل توکن احراز هویت می‌رسد؛ جایی که با دستکاری هوشمندانه‌ی کوکی، سطح دسترسی خود را به Admin ارتقا می‌دهید. 🚩 پس از ورود به پنل مدیریت، با بررسی فایل‌های پیکربندی به اطلاعات دیتابیس می‌رسید و از آنجا اولین فلگ را به‌دست می‌آورید. 🐧در ادامه، با ورود به سیستم‌عامل و شناسایی فایل‌های دارای مجوز خاص، یک فراخوانی ناامن را پیدا کرده و از آن برای رسیدن به سطح Root سوءاستفاده می‌کنید. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/badsigner با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🚨 چالش جدید LoosBind 🐧 در چالش شما با یک سیستم Linux روبه‌رو هستید که در ظاهر فقط چند سرویس معمولی در دسترس دارد. 🔎 اما با Recon و Enumeration دقیق (بررسی پورت‌ها، سرویس‌ها و جزئیاتشان) کم‌کم سرنخ‌هایی از ساختار داخلی و نقاط ضعف احتمالی پیدا می‌کنید. 👤بعد از آن، با تحلیل وب‌سایت و انجام Enumeration روی سرویس دایرکتوری، اطلاعات ارزشمندی مثل نام کاربران، مسیرها یا داده‌هایی که برای ورود اولیه لازم است جمع‌آوری می‌شود 🗂 پس از ورود به سیستم، با بررسی ردپاهای کاربران و فایل‌های پیکربندی، متوجه افشای اطلاعات حساس یا استفاده مجدد از اعتبارنامه‌ها می‌شوید. ⚙️ در نهایت، یک پیکربندی اشتباه در مجوزهای مدیریتی پیدا می‌کنید و با سوءاستفاده از یک سرویس systemd، مسیر ارتقای دسترسی کامل شده و به سطح root می‌رسید. این چالش توسط PingQueen طراحی شده است. 🔗 لینک چالش: 🌐 https://challenginno.ir/challenge/loosbind با ما همراه باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno

🎖 معرفی برترین کاربر هفته - Top Challenger of Week 📊 ما در چلنجینو، هر هفته کاربری که بیشترین امتیاز را کسب کند به‌عنوان Top Challenger هفته معرفی خواهیم کرد. به‌علاوه، به عنوان پاداش، ۲۰۰ CP به اعتبار او افزوده می‌شود. 💡برای اطلاع از اینکه CP چی هست به پروفایل خود و بخش "اعتبار شما" مراجعه نمایید. 🏆 در هفته اول خرداد ماه 1405، کاربر luecof با کسب مجموع 58 امتیاز، موفق شد عنوان Top Challenger را از آن خود کند. 🔵 جالبه که بدونید تمام امتیازات کسب شده توسط ایشون در این هفته، مربوط به چالش‌های آبی بوده. به او تبریک می‌گوییم و منتظر عملکرد درخشان سایر کاربران در هفته‌های آینده هستیم 💪 همچنین منتظر معرفی Top Challenger ماه نیز باشید. 🌐 https://challenginno.ir 📢 t.me/challenginno 📢 https://ble.ir/challenginno

🎥 آموزش استفاده از چالش‌های دارای ماشین مجازی (VM) در بسیاری از چالش‌های پلتفرم Challenginno، فایل ماشین مجازی (Virtual Machine) برای شما فراهم شده تا بتونید محیط واقعی تمرین رو روی سیستم خودتون اجرا کنید. توی این ویدیو یاد می‌گیرید: ✅ نحوه دانلود و اجرای فایل VM ✅ تنظیمات پیشنهادی و نحوه تعامل با ماشین برای انجام چالش ✅ نحوه بدست آوردن آدرس IP ماشین مجازی ✅ آشنایی با راهنمایی های مربوط به وارد نمودن فلگ در چالش 💡 این آموزش برای افرادیست که تازه به جمع ما اضافه شدند و یا در استفاده از ماشین های مجازی با مشکل روبرو هستند. 📺 تماشای ویدیو: https://www.aparat.com/v/mxh6f5z