نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

18 آوریل 2021
برای ورود به روم اینجا را کلیک کنید. دسته بندی روم: web, NFS, Security توجه: شل پایدار توصیه میشه و تا جای امکان با ssh به اکانت‌ها وصل شید. برای شروع نیاز دارید تا با openvpn شخصی خود در بخش access به شبکه وصل شید و یا از Attack Box استفاده کنید. ( کاربران عادی فقط میتونن ۱ ساعت از Attack Box ...
28 مارس 2021
خب بزارین از اینجا شروع کنم که حتما یادتونه درباره اطلاعات افشا شده 42 میلیون کاربر ایرانی تلگرام و با اون ماجراهاش که تو همین مموری‌لیکس هم دربارش بحث شده بود. از اونجا که دیتابیس این اطلاعات تا حدودی اوپن شده و یه سری افراد برای استفاده از این دیتابیس اومدن ربات شماره یاب نوشتن مثل همون سامانه شکار و.... ...
25 مارس 2021
شرکت ایران سرور یکی از شرکت های ارائه دهنده خدمات هاستینگ و ثبت دامنه است. تقریبا چند ماه پیش زمانی که می‌خواستم یک دامنه از سایتشون بخرم به صورت اتفاقی با آسیب‌پذیری Reflected XSS مواجه شدم. این آسیب‌پذیری به هکر اجازه میده اکثر کارهایی که کاربر می‌تونه با مرورگرش انجام بده رو با کد جاوا اسکریپت انجام بده. مثلا ایجاد ...
15 مارس 2021
تقریبا یکسال پیش دانشگاه پیام نور به علت شیوع ویروس کرونا سامانه‌ای را طراحی کرد با نام سامانه LMS. هدف این سامانه ایجاد بستری جهت ایجاد کلاس‌های مجازی، همچنین محیطی برای گفت و گوی دانشجوها و اساتید با یک دیگر است. نکته مهم‌تر اطلاعاتی همچون شماره تماس و تمامی اطلاعات مربوط واحد های گذرانده شده دانشجویان در این سامانه قابل دسترس ...
10 مارس 2021
چالش Anonymous Playground از CTF های tryhackme.com است که قراره حلش کنیم . شکل 1 خوب مقدمه دیگه ای نیاز نیست بزن بریم :) خوب بعد از روشن کردن ماشین اولین کاری که میکنیم پورت اسکن هست که ببینیم چه پورت هایی با چه سرویسی ران هستش : شکل 2 - port scan شکل 3 - port scan result خوب یه وب سرور آپاچی (ورژنشم ...
06 مارس 2021
بخش اول: SSL/TLS چیست؟ خیلی ساده و کوتاه بخوایم به موضوع نگاه کنیم، SSL و TLS پروتکل‌های رمزنگاری هستند. و خب رمزنگاری هم همیشه برا تضمین امنیت اطلاعات هست. مرورگرها برای اطمینان از امن بودن ارتباط بین وب اپلیکیشن و وب سرور از این پروتکل‌ها استفاده می‌کنن. پروتکل SSL اولین پروتکلی بود که معرفی شد و بعدها پروتکل TLS جایگزین اون ...
05 مارس 2021
شرطبندی یکی از موضوعاتیه که امروزه همه درموردش صحبت میکنن. پس تصمیم گرفتم که توی این سایت ها دنبال آسیب پذیری بگردم. حدود 80 درصد سایت هایی که میبینیم، از یک اسکریپت واحد استفاده میکنن. یعنی اگر یکی از اونها باگ داشته باشه، بقیه هم همون آسیب پذیری رو دارن و چند میلیون کاربر در خطر هستند! قدم اول – جمع ...
25 فوریه 2021
شرکت نماوا چند وقتی هست توی برنامه بانتی راورو حضور داره و آسیب‌پذیری‌های خوبی بش گزارش شده. ما هم روی نماوا وقت گذاشتیم و چندین آسیب‌پذیری بشون گزارش دادیم. توی این پست و پست بعدی سعی می‌کنم جزئیات دو تا از آسیب‌پذیری‌هایی که بشون گزارش کردیم رو منتشر کنم. الان که این پست رو می‌نویسم چندماهی از گزارش این آسیب‌پذیری‌ها ...
16 فوریه 2021
چند وقتی هست که از کشف یک آسیب‌پذیری RCE در لاراول می‌گذره (جزئیات بیشتر). مهاجم با استفاده از این آسیب‌پذیری می‌تونه روی وسایت کدهای مخرب خودش رو اجرا کنه و در نهایت به اجرای دستور سیستم‌عاملی یا Command Injection برسه. تو این بلاگ به‌صورت کامل می‌تونید تحلیل و نحوه اکسپلویت این آسیب‌پذیری رو مطالعه کنید. امروز در این پست قراره ...
23 ژانویه 2021
در برهه‌ای از تاریخ زندگی می‌کنیم که بازار بدافزار‌های اندرویدی بیش از پیش داغه و عملا به یک هدف خوب برای کلاه‌برداران و جاسوسان تبدیل شده است. چرا که پلتفرم اندروید نسبت به سایر پلتفرم ها دسترسی بیشتری از سیستم به کاربر ‌داده و تلفن همراه به عنوان وسیله‌ای که همیشه یار و یاور کاربر می‌باشد و معمولا اکثر افراد ...