Network Security Channel

#resource #book #usefull_link #bsd #openbsd یه منبع عالی برای یادگیری openbsd https://www.openbsdhandbook.com/ ⁩@Engineer_Computer

#github #usefull_links #wireless_attacks #cellular_attacks #lte #5g #lte_security Awesome Cellular Hacking resource https://github.com/W00t3k/Awesome-Cellular-Hacking ⁩@Engineer_Computer

#resource #rootkits #c #usefull_link https://h0mbre.github.io/Learn-C-By-Creating-A-Rootkit/# ⁩@Engineer_Computer

#github #usefull_repository Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs https://github.com/freedomofpress/dangerzone A curated list of awesome forensic analysis tools and resources https://github.com/Cugu/awesome-forensics A collection of awesome software, libraries, documents, books, resources and cools stuffs about security. https://github.com/sbilly/awesome-security ⁩@Engineer_Computer

⭕️ How I Exposed Instagram's Private Posts by Blocking Users این پست، راجع به چگونگی کشف یک آسیب‌پذیری در اینستاگرام که به هکر امکان مشاهده پست‌های حساب‌های خصوصی را می‌داد هست. این پست زنجیره ای از سه تا باگ هستش ک در نهایت به 14,500$ بانتی ختم میشه. زنجیره باگ استفاده شده در پست: 1. Instagram post embedding این فیچر اینستاگرام اجازه میده که در سایت های جز اینستاگرام به اصطلاح پست هارو embed کنید و اونجا محتوای پست رو تماشا کنید. 2. XS-Leak یک کلاس اسیب پذیری هستن که از نحوه ارتباط وبسایت ها باهم استفاده میکنن و اطلاعات که در میان این ارتباط ها لو میره رو cross site leaks یا مخفف شده XS-LEAK مینامند. 3. User-Agent sniffing و در نهایت user-agent هایی که از طریق مرورگر ها ارسال میشن. هکر برای پیدا کردن این اسیب پذیری از این سه فیچر بصورت مخرب استفاده کرده. برای خوندن کامل مقاله به لینک زیر مراجعه کنید: 🔗https://bit.ly/3Me0tMV #bugbounty #web ⁩@Engineer_Computer

به یک نیروی Security researcher نیاز داریم که مسلط به زبان انگلیسی و Owasp top10باشه، سری چالش های طراحی شده با موضوع مرتبط بهش داده میشه. یک متن ۵۰۰ کلمه ای برای هر لابراتوار به زبان انگلیسی بنویسه بعلاوه با کمک ai باید بتونه به سه زبان php nodejs Django تیکه کد آسیب پذیر رو بنویسه و یک تحلیل یک خطی بنویسه. پروژه ها به صورت ده تایی هست. لطفاً پیشنهاد حقوقی بعلاوه رزومه خودتون رو به ایدی زیر ارسال کنید. @frew0rld

امروز تفاوت سه واژه را فرا بگیریم https://blog.stackaware.com/p/what-is-the-difference-between-supply ⁩@Engineer_Computer

📝توضیحات کانال: دنیای علمی دیجیتال، فضایی ایده آل برای کسانی است که به دنبال یادگیری و ارتقای دانش در زمینه های مختلف تکنولوژی و علوم دیجیتال هستند. در این کانال، مطالب متنوعی به اشتراک گذاشته می‌شود که شامل : 🔰 هوش مصنوعی 👨‍💻 آموزش برنامه نویسی 🌐امنیت و شبکه 🖥طراحی صفحات وب 💡ترفند های جالب 💻 @Digitallearning5 گروه انجمن علمی برنامه نویسان 💻@Future_Engineers1

دستورالعمل CISA برای آسیب پذیری Cisco IOS XE Web UI https://www.cisa.gov/news-events/alerts/2023/10/20/cisa-releases-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities ⁩@Engineer_Computer

دوره رایگان CTI Report https://www.academy.attackiq.com/courses/unlocking-the-power-of-cti-blueprints ⁩@Engineer_Computer

تمرین عملی آنالیز بد افزار ( جدید) با لینک فایل Pcap https://blog.securityonion.net/2023/10/quick-malware-analysis-ta577-pikabot.html?m=1 ⁩@Engineer_Computer

از ابزارهایی که به قصد فارنزیک تولید نشده اند هم می‌توانیم در جرم یابی استفاده کنیم ** یک دلیل دیگر که از ویندوز ۷ مهاجرت کنید ! https://www.magnetforensics.com/blog/srum-forensic-analysis-of-windows-system-resource-utilization-monitor/ ⁩@Engineer_Computer

چرا ما شاهد هستیم که حملات علیه API ها رو به گسترش است ؟ https://thehackernews.com/2023/10/api-security-trends-2023-have.html ⁩@Engineer_Computer

⭕️ کاوش در GraphQL و کشف آسیب‌پذیری در برنامه یکی از مزایای اصلی GraphQL این است که به کلاینت‌ها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند. هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه. کوئری GraphQL Introspection اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیت‌های یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی می‌کنه. هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه. به این باگ در نهایت $1000 دلار بانتی تعلق میگیره. لینک مقاله: 🔗 https://bit.ly/3rTMc12 #Web #GraphQL #Bugbounty ⁩@Engineer_Computer

⭕ کشف آسیب پذیری XSS توسط نیما که منجر به هزار دلار بانتی شد در این مقاله به یک ترفند برای پیدا کردن XSS اشاره شده که کمتر جایی بهش اشاره کردن در این نقطه آسیب پذیری جایی شکل گرفته که مقادیر های پارامتر ارسالی در قالب یک فایل JSON برگردانده میشد. هکر با کاوش و جمع اوری word list از سایت، به یک پارامتر رسیده که با آن Content Type خروجی را به HTML تغییر دهد و پیلود را بتواند اجرا کند لینک مقاله : https://medium.com/@neemaaf0/discover-two-specific-xss-vulnerabilities-on-the-subdomain-www-121f184cdb6d #bugbounty #web ⁩@Engineer_Computer

⭕️یک ‏Stealer جالب برای Exfitrate Office Documents به زبان ++C و Python نوشته شده که با استفاده از API مربوط به Virustotal داده را استخراج کرده و به Server c2 مورد نظر منتقل میکند. https://github.com/TheD1rkMtr/VT-stealer #RedTeam #Tools ⁩@Engineer_Computer

⭕️اگر علاقه مند به نوشتن ابزار های آفنسیو هستید ابزاری برای Documents Exfiltration به زبان C و ++C نوشته شده که FUD بوده و با c2 کاستوم ارتباط میگیرد و فایل هارا منتقل میکند که برای تمرین ابزار مناسبی هست. https://github.com/TheD1rkMtr/DocPlz #RedTeam #Tools ⁩@Engineer_Computer

نیاز به دو نفر هلپ دسک هست در #مشهد و #فریمان پیام بدین به 👇👇 @Developer_Network