نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

03 دسامبر 2019
امروزه اکثر کمپانی‌های معروف دنیا چندین سال است که برنامه بانتی را راه‌اندازی کرده‌اند. از نمونه‌های معروف آن می‌توان به فیسبوک، گوگل، اینستاگرام، توئیتر و مواردی نظیر آن اشاره کرد. برای آشنایی بیشتر با این سازوکار پیشنهاد می‌کنم پست قبلی من رو در این مورد رو مطالعه کنید. توی این پست قرار به ارائه توضیح و راهنمایی در مورد نوشتن ...
13 نوامبر 2019
اینبار قصد داریم تا به مبحث تست نفوذ و فازینگ برروی وب سوکت بپردازیم، از آن جایی که وب سوکت در اپلیکیشن های وب و موبایل و ... بسیاری پیاده سازی شده‌ است و افرادی با نحوه تست نفوذ و یافت آسیب پذیری در این تکنولوژی آشنا نیستند تصمیم گرفتم تا با یک ویدیو دانش فردی و برداشت خود ...
11 نوامبر 2019
خب چند روز پیش یک رایت‌آپ فنی خوندم از یه محقق امنیتی که چطوری توی پیاده‌سازی پروتکل oAuth در گیتهاب آسیب‌پذیری پیدا کرده بود، بعدش توی توئیتر یه سوال پرسیدم که آیا منطق کد زیر می‌تونه منجر به بروز آسیب‌پذیری بشه؟ خب دوستانی جواب دادن، البته هدف من بیشتر آماده کردن ذهن مخاطب برای دیدن این کلیپ تحلیل آسیب‌پذیری بود. قبل ...
03 نوامبر 2019
از سری مطالب آموزش کد نویسی امن در وب، این قسمت آسیب پذیری command injection و روش های جلوگیری از آن را بررسی می کنیم. بعضی اوقات از دستورات سیستم عامل به صورت مستقیم و یا غیر مستقیم در بستر وب استفاده می شود. اگر ورود های دستورات سیستم عامل به صورت صحیح و کامل بررسی نشود ممکن است مهاجم با ورودی ...
25 اکتبر 2019
این نوشته مربوط به آسیب پذیری هست که در سایت آپارات کشف شد که به مهاجم دسترسی لازم برای تغییر اطلاعات ویدیو های دیگر کاربران رو میداد و در حال حاضر مرتفع شده است. سایت آپارات یکی از معروف‌ترین سایت‌های ایران و بزرگ‌ترین پلتفرم به‌اشتراک‌گذاری ویدئو در ایران است. برای شروع یه سر به سایت آلکسا میزنیم و برترین ...
21 اکتبر 2019
از سری مطالب دوره آموزشی کد نویسی امن در وب این قسمت به سراغ injection از نوع sql injection می رویم. برای جلوگیری از هرگونه آسیب پذیری ابتدا باید آسیب پذیری را متوجه شد پس ابتدا مروری بر ساز و کار های این آسیب پذیری خواهیم داشت و سپس چند نمونه کد آسیب پذیر در php و asp.net و java بررسی می کنیم. در انتها ...
01 اکتبر 2019
خلاصه! در گام اول این نگاشته خواهیم دید که چطور بزرگترین سایت فروشگاهی کشور هم می‌تواند نسبت به SQL Injection آسیب‌پذیر باشد و در گام دوم تکنیک و روش‌هایی که برای اکسپلویت کردن آسیب‌پذیری مورد استفاده قرار دادیم را ارائه می‌دهیم. داستان از کجا شروع شد؟ داستان از جایی شروع می‌شود که دیجی‌کلا برای روز چهارشنبه سوری آخر سال 97 و با هدف ...
20 سپتامبر 2019
خب توی این ویدئو قصد دارم توضیح کاملی در مورد حمله Click Jacking بدم. این حمله به دلیل عدم وجود هدر x-frame-options هست که سال‌های قبل خیلی توی شبکه‌های اجتماعی مثل فیسبوک کشف و اکسپلویت میشده. هنوز هم بعد گذشت چند سال،‌ این حمله جز حملات موثر و کمتر شناخته شده‌ای هست (مطالعه این لینک و این لینک میتونه مفید ...
برچسب‌ها: ،
11 سپتامبر 2019
در این ویدیوی 70 دقیقه‌ای سعی کرده‌ایم توضیح مختصری از علت نیاز به پروتکل TLS ارائه دهیم و پس از ذکر مراحل و مکانیزم‌های ایجاد یک نشست TLS، به حملات مختلفی که در ارتباط با آن وجود دارد، اشاره کنیم. مواردی که در این ویدیو به آن‌ها اشاره شده است: ساختار کلّی ترافیک کاربر در شبکه به هنگام وب‌گردی و اتفاقاتی که ...
31 آگوست 2019
در این پست میخوایم آسیب پذیری Race Conditon رو تشریح کنیم،اول بگیم که این آسیب پذیری چیه و یه مثال در دنیای واقعی ازش بگیم،بعد بریم یک اسکریپت PHP از گیتهاب که آسیب پذیری Race Condition داره رو کلون و اکسپلویت کنیم. آسیب پذیری Race Condition کلیتش به این صورت هست که چندتا پروسه همزمان فرستاده میشن بر روی یک منبع ...
برچسب‌ها: ، ،