نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

18 نوامبر 2020
مهم نیست که توسعه‌دهنده چه زبانی هستید و با چه تکنولوژی ای مشغول به کارید ! نقش این ویدئو، گذاشتن عینک امنیتی بر چشمان همه‌ی توسعه‌دهنده هایی که دوست دارن نرم افزارایی که تولید میکنن در بهترین سطوح امنیت باشه و قراره دروازه‌ای باشه تا اونها رو به دالان پر پیج و خم امنیت راهنمایی کنه. این آموزش برای ...
18 اکتبر 2020
یکی از ابراهای بسیار خوب که توی آزمون نفوذ برنامه‌‌های اندرویدی می‌تونه به شما کمک کنه Drozer هست. این ابزار برای انجام تحلیل پویا بسیار کاربری هست. Drozer حاوی یک Agent هست که روی باکس اندروید نصب میشه و حملاتی که می‌شه روی سایر برنامه‌های اندرویدی انجام داد رو شبیه‌سازی می‌کنه. برای مثلا فرض کنیم که برنامه اندرویدی بانک ایکس ...
11 اکتبر 2020
مقدمه من و یاشار شاهین‌زاده در راستای برنامه‌ی باگ‌بانتی کافه‌بازار آسیب‌پذیری‌های امنیتی مختلفی را شناسایی کردیم. در یکی از آسیب‌پذیری‌ها، وجود یک مشکل رمزنگاری به دور زدن فرایند احراز هویت (Authentication bypass) در وب‌اپلیکیشن کافه‌بازار منجر می‌شد. آسیب‌پذیری مذکور به سرعت برطرف و 15 میلیون تومان بانتی به آن اختصاص داده شد. در این نوشتار به جزئیات این آسیب‌پذیری می‌پردازیم. این ...
28 سپتامبر 2020
توی این پست قصد دارم راجع به یک آسیب‌پذیری که با علی پیدا کردیم براتون بگم. با اکسپلویت آسیب‌پذیری که در پیاده‌سازی نادرست SSO بود، ‌تصاحب هر حساب کاربری تنها با یک کلیک قابل انجام بود. Single Sign-on یک مدل احراز هویت است که در آن کاربران یک سازمان با یک شناسه عملیات ورود رو فقط یک بار انجام میدن ...
18 سپتامبر 2020
چند وقتی هست که استفاده از رمز پویا توی ایران اجباری شده و همه افراد دارن از این سازوکار برای پرداخت‌های آنلاین استفاده می‌کنند. تا اونجایی که من ترند رو دنبال می‌کردم، رمز پویا حاصل بحث پیرامون فیشینگ کارت‌های بانکی بود و بعد از کشمکش‌های زیاد، بانک مرکزی دستور طی ابلاغیه‌ای، بانک‌ها رو ملزم به پیاده‌سازی و افراد رو ملزم ...
19 جولای 2020
در عصر جدید اینترنت فقط کامپیوترهای شخصی نیستن که در یک شبکه محلی وجود دارن. با وجود روترهای بی‌سیم، سرویس‌های مختلفی مثل NAS (مخازن متصل به شبکه)، کامپیتورهایی مثل رزبری‌پای، سیستم‌های خانه‌هوشمند، تلفن ‌های اینترنتی، پرینترها، تلویزین­‌های متصل به شبکه، سنسورها، و کلی Device دیگه، شبکه‌های محلی پر شده از سیستم‌های مختلف. در مفهومی مثل IoT که در اون دیوایس‌ها ...
برچسب‌ها: ، ، ، ، ، ،
01 جولای 2020
فرض کنید یک پایگاه‌­داده دارید که شامل اطلاعات مهم هست که اصلا دوست ندارید که فرد دیگه‌ای بهش دسترسی داشته باشه. پس اون رو پیکربندی کردین که فقط از طریق شبکه محلی (Local Network) به اون دسترسی داشته باشید. چی میشه اگه یک وب­سایت رو باز کنیم و اون وب‌­سایت در کد جاواسکریپت خودش (که حالا روی ماشین شما و با ...
برچسب‌ها: ، ، ، ، ،
30 ژوئن 2020
دومین دوره مسابقه فتح‌پرچم UUTCTF در ساعت ۱۱ روز ۳۱ خرداد ۱۳۹۹ به مدت ۴۸ ساعت آغاز شد. این مسابقه توسط دانشگاه صنعتی ارومیه، اعضای تیم POSCON و با همکاری انجمن علمی کامپیوتر و مرکز آپای ارومیه برگزار شد. ابر آروان نیز از حامیان مسابقه بود. آدرس مسابقه: http://ctf.uut.ac.ir مسابقه در سایت CTFTime اطلاع‌رسانی شده و به صورت بین‌المللی برگزار میشد.در ...
برچسب‌ها: ، ،
28 ژوئن 2020
با آزمون‌هایی که من و علی دینی‌فر روی سرور ایمیل کافه‌بازار انجام دادیم، فهمیدیم که قابلیت سرقت تمام پسوردهای کارمندان کافه‌بازار وجود داشته. با نوشتن یه اکسپلویت کلی پسورد استخراج شد و به کافه‌بازار گزارش دادیم. اون موقع (یک سال و اندی پیش) کافه‌بازار تازه برنامه بانتی رو راه انداخته بود و بابت این آسیب‌پذیری ۲۵ میلیون تومان پرداخت کرد. ...
15 ژوئن 2020
مقدمه‌ای بر اطلاعات آزاد در عصر کامپیوترها، اطلاعات از مهم‌ترین و ارزش‌مندترین موجودیت‌ها هستن. در سال‌های اخیر می‌تونید نشت‌های اطلاعتی زیادی رو ببینید که خیلی از اون‌ها ضربه سختی رو به سازمان‌ها و کسب‌وکارها وارد کرده. همیشه نشت اطلاعات این‌طور نیست که مثلا اطلاعات شخصی افراد نشت پیدا کنه، گاهی اوقات اطلاعات در دسترس عموم هم ممکن هست نشت پیدا کنه. منظور ...