چند وقتی هست که استفاده از رمز پویا توی ایران اجباری شده و همه افراد دارن از این سازوکار برای پرداخت‌های آنلاین استفاده می‌کنند. تا اونجایی که من ترند رو دنبال می‌کردم، رمز پویا حاصل بحث پیرامون فیشینگ کارت‌های بانکی بود و بعد از کشمکش‌های زیاد، بانک مرکزی دستور طی ابلاغیه‌ای، بانک‌ها رو ملزم به پیاده‌سازی و افراد رو ملزم ...

در عصر جدید اینترنت فقط کامپیوترهای شخصی نیستن که در یک شبکه محلی وجود دارن. با وجود روترهای بی‌سیم، سرویس‌های مختلفی مثل NAS (مخازن متصل به شبکه)، کامپیتورهایی مثل رزبری‌پای، سیستم‌های خانه‌هوشمند، تلفن ‌های اینترنتی، پرینترها، تلویزین­‌های متصل به شبکه، سنسورها، و کلی Device دیگه، شبکه‌های محلی پر شده از سیستم‌های مختلف. در مفهومی مثل IoT که در اون دیوایس‌ها ...

فرض کنید یک پایگاه‌­داده دارید که شامل اطلاعات مهم هست که اصلا دوست ندارید که فرد دیگه‌ای بهش دسترسی داشته باشه. پس اون رو پیکربندی کردین که فقط از طریق شبکه محلی (Local Network) به اون دسترسی داشته باشید. چی میشه اگه یک وب­سایت رو باز کنیم و اون وب‌­سایت در کد جاواسکریپت خودش (که حالا روی ماشین شما و با ...

دومین دوره مسابقه فتح‌پرچم UUTCTF در ساعت ۱۱ روز ۳۱ خرداد ۱۳۹۹ به مدت ۴۸ ساعت آغاز شد. این مسابقه توسط دانشگاه صنعتی ارومیه، اعضای تیم POSCON و با همکاری انجمن علمی کامپیوتر و مرکز آپای ارومیه برگزار شد. ابر آروان نیز از حامیان مسابقه بود. آدرس مسابقه: http://ctf.uut.ac.ir مسابقه در سایت CTFTime اطلاع‌رسانی شده و به صورت بین‌المللی برگزار میشد.در ...

با آزمون‌هایی که من و علی دینی‌فر روی سرور ایمیل کافه‌بازار انجام دادیم، فهمیدیم که قابلیت سرقت تمام پسوردهای کارمندان کافه‌بازار وجود داشته. با نوشتن یه اکسپلویت کلی پسورد استخراج شد و به کافه‌بازار گزارش دادیم. اون موقع (یک سال و اندی پیش) کافه‌بازار تازه برنامه بانتی رو راه انداخته بود و بابت این آسیب‌پذیری ۲۵ میلیون تومان پرداخت کرد. ...

مقدمه‌ای بر اطلاعات آزاد در عصر کامپیوترها، اطلاعات از مهم‌ترین و ارزش‌مندترین موجودیت‌ها هستن. در سال‌های اخیر می‌تونید نشت‌های اطلاعتی زیادی رو ببینید که خیلی از اون‌ها ضربه سختی رو به سازمان‌ها و کسب‌وکارها وارد کرده. همیشه نشت اطلاعات این‌طور نیست که مثلا اطلاعات شخصی افراد نشت پیدا کنه، گاهی اوقات اطلاعات در دسترس عموم هم ممکن هست نشت پیدا کنه. منظور ...

در این پست قصد دارم درباره ی آسیب‌پذیری جالبی که از یکی از سرویس‌های آفیس مایکروسافت پیدا کردم براتون توضیح بدم. office365 دارای سرویس‌های مختلفی هستش که هر کدوم یکسری امکانات مختلف ارائه میده یک سرویسی که توجه منو جلب کرد، سرویس forms بود که برای ساخت فرم یا کوییز و اشتراک گذاریه فرم بین یوزرهای مختلف انجام میشد. میتونید جزییات ...

در این مجموعه قصد داریم به به حل یکسری از چالش های CTF بپردازیم، چالش ها مختلف و تمرکز فقط برروی یک دسته بندی و یا یک پلتفرم نیست و سعی میکنیم تنوع باشه. تلاش میکنم تا در صورت امکان با یکسری از دوستان ویدیوهایی رو با هم از حل چالش های CTF ضبط کنیم و اینجا انتشار بدیم. حل چالش ...

آسیب پذیری های از نوع Deserialization در اکثر زبان ها وجود دارند و در این پست قصد داریم به بررسی مختصر و مفیدی از این آسیب پذیری در زبان NodeJS بپردازیم، بهره برداری Deserialization در NodeJS نسبت به زبان های دیگه ساده تر هست. در صورتی که ورودی ارسالی به تابع Unserialize داده بشه، این آسیب پذیری رخ میده و ...

به نظر من همانطور که آیزاک آسیموف گفته:‌ «من به شواهد باور دارم. من به مشاهده، اندازه‌گیری، و استدلال که توسط شاهدان مستقل تایید شده باور دارم.» حدس‌ها و فرضیات بدون پشتوانه‌ی مستدل قابل اعتنا نیستند. حدس و گمان بدون شواهد، بیشتر باعث گمراهی و قضاوت نابجا می‌شود. هدف ما از نوشتن این گزارش ارائه شواهدی است تا نقاط تاریک ...