از نگاه احسان

⚽️با شروع جام جهانی ۲۰۱۸ روسیه برای مراقبت از خود در برابر تهدید های سایبری چه اقداماتی باید انجام دهیم؟ شاید از کسانی باشید که قصد رفتن به روسیه رو دارند! پس بهتره این مطلب رو از دست ندید: http://bit.ly/2HAd1dp حتی اگر به روسیه هم نمی روید بسیار مراقب سایت های نامعتبر در زمینه شرط بندی سر بازی های فوتبال و... باشید! امکان سو استفاده هکر ها از ایده جام جهانی کاملا وجود داره فقط کمی خلاقیت میخواد! از پخش بدافزار تا حملات فیشینگ ، تهدیداتی هستند که هنوز هم در کشور ما فراوان رواج دارند و می تونه در این زمینه به هکر ها بسیار کمک کنه. #security #worldcup @PentesterSchool

#معرفیـابزار Terminator : ابزاری برای ایجاد Payload های متاسپلویت! از این ابزار می تونید برای پلتفرم های اندروید و ویندوز و لینوکس و مک به وسیله متاسپلویت payload های مورد نظرتون رو بسازید. http://bit.ly/2xUphWL #Payload #Terminator #Tools @PentesterSchool

💎مجموعه ای از منابعی مفید برای افزایش مهارت در تست نفوذ و امنیت: https://goo.gl/z5AFe #resource @PentesterSchool

'Zip Slip' Vulnerability Affects Thousands of Projects Across Many Ecosystems Security researchers at British software firm Snyk have revealed details of a critical vulnerability that affects thousands of projects across many ecosystems and can be exploited by attackers to achieve code execution on the target systems. Dubbed "Zip Slip," the issue is an arbitrary file overwrite vulnerability that triggers from a directory traversal attack while extracting files from an archive and affects numerous archive formats, including tar, jar, war, cpio, apk, rar, and 7z. Thousands of projects written in various programming languages including JavaScript, Ruby, Java, .NET and Go—from Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains and more—contained vulnerable codes and libraries. Read more

#اموزش با سلام همه دوستان ی سری نکته در مورد تست دارم اونم اینه ک برای ی پن تست خوب روی ی تارگت مهم یا هر تارگتی باید طبق اصول و چارچوبی پیش رفت. امروزه مرجع هایی با سیلابس خوبی برای به وجود اوردن این چارچوب به جهان معرفی شده مثله owasp sans offensive ولی خب برای اینکه طبق سیلابس اینها بیش برید باید هزینه ای پرداخت کنید تو این پست من قصد دارم روش هایی رو ذکر کنم ک نیاز به حتی یک هزار هزینه هم نیست. به خاطره پیچیدگی و نامحدود بودن سطح امنیت نمیشه به یکی از این مرجع ها اکتفا کرد از این رو من به روش ترکیبی خیلی پافشاری میکنم.ترکیب چند مرجع میتونه تست قوی و بدون نقضی رو ایجاد کنه ولی بازم میگم کافی نیست. بهتره روی این سیلابس ک owasp اراعه داده تمرکز کرد و مفاهیم رو درک کرد :لینک:https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents بعد از کلی تمرین و تسلط کامل روی سیلابس میریم سراغ این لینک ک میتونه خیلی کمک کنه در مورد سیلابس offensive که میتونه خیلی کمک کنه برای اکسپلویت کردن باگ هایی ک پیدا میکنید با metasploit لینک:https://www.offensive-security.com/metasploit-unleashed/ بعد از اینکه روی این سیلابس هم تسلط کامل رو داشتین میریم سره اصل مطلب 😊 ک پیاده سازی تجربه ها و درک هایی ک شما از این مرجع ها فرا گرفتین با افزونه به نام burp bounty در ابزار burp suite میام و مواردی ک تا الان یاد گرفتیم رو به صورتی ک درک کردیم پیاده سازی میکنیم اینجوری میتونیم ی اسکنری ک خودمون طراحی کردیم رو پیاده سازی کنیم خیلی جامع و پشرفته و از اون مهم تر ساخته دست خودمون. شما میتونید از این لینکی ک پایین میزارن استفاده کنید برای شخی سازی اسکنرتون که بیشتر باگ ها و روش های شناساییشون رو ذکر کرده. https://github.com/swisskyrepo/PayloadsAllTheThings این ایده خودم هست ک میتونه ایرادایی هم داشته باشه شما به بزرگیتون ببخشید 🖐😊 در پایین همین پست هم روش کار با افزونه burp bounty رو میزارم. دوست داره شما @pente3ter12

📝 Side-channel attacking browsers through CSS3 features With the staggering amount of features that were introduced through HTML5 and CSS3 the attack surface of browsers grew accordingly. Consequently, it is no surprise that interactions between such features can cause unexpected behavior impacting the security of their users. In this article, we describe such a practical attack and the research behind it. ➖ Read More »» https://goo.gl/uVQ8aU #article @PentesterSchool

بایپس reCAPTCHA گوگل بسیار قشنگ https://t.co/EOZCkuEsIz?amp=1 500 دلار کم دادن خدایی.

MITRE’s Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a curated knowledge base and model for cyber adversary behavior, reflecting the various phases of an adversary’s lifecycle and the platforms they are known to target. ATT&CK is useful for understanding security risk against known adversary behavior, for planning security improvements, and verifying defenses work as expected. ➖ https://goo.gl/9p5Eiz #article

JWT security in a glance

https://www.incapsula.com/blog/blocking-session-hijacking-on-gitlab.html #Session_Hijacking #BugBounty

دوستان عزیز از هم اکنون می تونند از طریق پنل کاربری خودشون توی evand بخش بلیط ها وارد صفحه وبینار شوند.

🔴 فردا صبح ساعت 10 می تونید از طریق پنل خودتون توی ایوند وارد وبینار بشید. 🔴 برای برگزاری کارگاه از نرم افزار Skyroom استفاده می شود. می تونید از طریق سایت خود Skyroom روی مرورگر خودتون تست کنید. 🔴 برای تست روی محیط آزمایشگاهی آنلاین حتما پایتون رو نصب داشته باشید

تاکنون 13 نفر توی این کارگاه شرکت کردند

⁣😎 مهلت ثبت نام برای کارگاه آنلاین اکسپلویت نویسی با پایتون تمدید شد ⁣در کارگاه روز جمعه مدرسه تست نفوذ شرکت و طی 4 ساعت اکسپلویت نویسی یاد بگیرید ⁣https://goo.gl/9KKD6J

⁣🎬 ⁣استخراج داده های GPS و مکانی از تصاویر در کالی لینوکس ⁣https://goo.gl/FNWEVQ #exiftool

شکستن کپچای سیستم گلستان با کمک یادگیری ماشین همه‌ی ما از کپچا (Captcha) فراری‌ایم. همون تصاویر مزاحمی رو میگم که نوشته های درهم ریخته است و برای اینکه به فرم یا صفحه ای از سایت دسترسی داشته باشیم باید اونو تایپ کنیم. کپچاها برای تشخیص انسان از بات‌ها (همون برنامه های اتوماتیک) و معمولا برای جلوگیری از ورود به بخشی خاص، جلوگیری از پر کردن فرم ها یا کاهش برخی حملات طراحی شدند. در این پست از هادی عبدی خجسته، به رویکرد آموزشی و مرحله به مرحله شکستن کپچای متنی سیستم گلستان (سیستم اتوماسیون معروف دانشگاه های ایران) با بهره‌گیری از قدرت یادگیری ماشین/عمیق و داده های آماری پرداخته می‌شود. @offsecmag https://goo.gl/QMyW4q

ضمن عذرخواهی ، کارگاه آنلاین اکسپلویت نویسی با پایتون با یک هفته تاخیر برگزار خواهد شد (یعنی هفته دیگه جمعه) اگر تا الان توی کارگاه آنلاین اکسپلویت نویسی با پایتون شرکت نکردید، فرصت رو از دست ندید. ⁣🎁 همچنین به خاطر تاخیر پیش آمده ، هدایایی برای شرکت کننده ها فرستاده شده است (ایمیلتون رو چک کنید)

⁣😎⁣ ⁣⁣برای شرکت در کارگاه اکسپلویتینگ فقط امروز فرصت دارید ⁣در کارگاه فردا مدرسه تست نفوذ شرکت و طی 4 ساعت اکسپلویت نویسی یاد بگیرید ⁣https://goo.gl/brv7uy #webinar