استفاده از CDN یکی از رایج‌ترین فرآیندها برای بسیار از وب‌سایت‌های بزرگ و کوچک می‌باشد. علت استفاده از این سرویس نیز می‌تواند اهداف مختلفی داشته باشد، بهبود در SEO و ایجاد امنیت برخی از این دلایل می‌تواند باشد. البته برخی شرکت‌ها که رتبه آن‌ها در Search Engineها زیاد الویت ندارد (برای مثال سایت‌های دولتی) و هدف اصلی امنیت ...

سلام دوستان امیدوارم حالتون خوب باشه. در این  پست میخوام درباره آسیب‌‌پذیری که چند روز پیش پیدا کردم با شما به اشتراک بگذارم. قبل از اینکه شروع کنیم لازمه یکم مقدمه کوچیک از چند تکنولوژی مربوط به آسیب‌پذیری که مهمه در نظر داشته باشین. ساختار به این شکلی خواهد بود: تعریف Amazon Web Service یا AWSتعریف Amazon EC2تعریف AWS Metadataآسیب‌‌پذیریSSRFکشف آسیب‌پذیری تعریف ...

سلام دوستان، در این پست میخوام دوتا از آسیب پذیری‌هایی که چند روز پیش در باگ بانتی برنامه خارجی کشف کردم با شما به اشتراک بگذارم. دو آسیب‌پذیری P1 گرفتن و توی برنامه تریاژ شدن و ۲ هزار دلار بابت دریافت کردم، البته من از تیم امنیت اجازه انتشار نگرفتم برای همین اسم برنامه رو توی گزارش می‌ذاریم vulnerable. این آسیب ...

کتابخانه OpenSSL یکی از محبوب‌ترین کتابخانه‌های رمزنگاری موجود هست که رایج‌ترین استفاده اون پیاده سازی پروتکل‌های SSL/TLS هست. پروتکل SSL/TLS امکان ارتباط امن بین سرور و کلاینت رو فراهم می‌کنه، به این صورت که قبل از تبادل اطلاعات بین سرور و کلاینت، اون‌هارو رمزگذاری می‌کنه و به این ترتیب اطلاعات محرمانه ار قبیل رمز ورود، اطلاعات بانکی و ... غیرقابل ...

با سلام دوباره خدمت شما دوستان عزیز یه نکته رو همین اول کار بگم که میشه این رو یه بایپس برای باگ قبلی دونست که توسط تلگرام پچ شد حالا چطور؟ فرض کنیم ما یه شماره داخل تلگرام داریم که به اکانتی متصله حالا می‌خوایم اون رو به طور کامل حذف کنیم شاید راه حل شما حذف اکانت باشه ولی راه حل ...

خب خب دوباره در خدمت شما هستم با کلی قلط املائی و یه آسیب‌پذیری جدید که از تلگرام پیدا کردم و جایزه 150 یورویی رو بهم دادن هرچند تونستم دوباره محدودیتشون رو بایپس کنم و گزارشش فرستادم ولی هنوز فعلا خبری نکردن امیدوارم به خاطر اونم بانتی بدن. من اول سناریو حمله رو براتون شرح میدم و اینکه با این ...

استفاده از Redis Cache در اپلیکیشن‌های وب متداول است. به علت سادگی راه‌اندازی (در حد docker run redis)، ممکن است در تنظیمات امنیتی Redis سهل‌انگاری شود و این دیتابیس در دسترس نفوذگران قرار گیرد. پیش‌تر ذهنیتم این بود که اگر روزی موفق به نفوذ به یک Redis شوم، شاید اطلاعات ارزشمندی در آن Cache بیابم، اما نمی‌توانم به اپلیکیشن تحت ...

Time یکی از ماشین های مبتنی بر سیستم عامل لینوکس HackTheBox می باشد که دارای یک Json parser آنلاین می باشد. آسیب پذیری این ماشین Java Deserialization است که ما در این رایتاب آن را exploite می کنیم و دسترسی سطح user را بدست می آوریم و سپس از طریق اسکریپت linpeas.sh بر روی سیستم ...

برای ورود به روم اینجا را کلیک کنید. دسته بندی روم: web, NFS, Security توجه: شل پایدار توصیه میشه و تا جای امکان با ssh به اکانت‌ها وصل شید. برای شروع نیاز دارید تا با openvpn شخصی خود در بخش access به شبکه وصل شید و یا از Attack Box استفاده کنید. ( کاربران عادی فقط میتونن ۱ ساعت از Attack Box ...

خب بزارین از اینجا شروع کنم که حتما یادتونه درباره اطلاعات افشا شده 42 میلیون کاربر ایرانی تلگرام و با اون ماجراهاش که تو همین مموری‌لیکس هم دربارش بحث شده بود. از اونجا که دیتابیس این اطلاعات تا حدودی اوپن شده و یه سری افراد برای استفاده از این دیتابیس اومدن ربات شماره یاب نوشتن مثل همون سامانه شکار و.... ...