دومین دوره مسابقه فتح‌پرچم UUTCTF در ساعت ۱۱ روز ۳۱ خرداد ۱۳۹۹ به مدت ۴۸ ساعت آغاز شد. این مسابقه توسط دانشگاه صنعتی ارومیه، اعضای تیم POSCON و با همکاری انجمن علمی کامپیوتر و مرکز آپای ارومیه برگزار شد. ابر آروان نیز از حامیان مسابقه بود. آدرس مسابقه: http://ctf.uut.ac.ir مسابقه در سایت CTFTime اطلاع‌رسانی شده و به صورت بین‌المللی برگزار میشد.در ...

با آزمون‌هایی که من و علی دینی‌فر روی سرور ایمیل کافه‌بازار انجام دادیم، فهمیدیم که قابلیت سرقت تمام پسوردهای کارمندان کافه‌بازار وجود داشته. با نوشتن یه اکسپلویت کلی پسورد استخراج شد و به کافه‌بازار گزارش دادیم. اون موقع (یک سال و اندی پیش) کافه‌بازار تازه برنامه بانتی رو راه انداخته بود و بابت این آسیب‌پذیری ۲۵ میلیون تومان پرداخت کرد. ...

مقدمه‌ای بر اطلاعات آزاد در عصر کامپیوترها، اطلاعات از مهم‌ترین و ارزش‌مندترین موجودیت‌ها هستن. در سال‌های اخیر می‌تونید نشت‌های اطلاعتی زیادی رو ببینید که خیلی از اون‌ها ضربه سختی رو به سازمان‌ها و کسب‌وکارها وارد کرده. همیشه نشت اطلاعات این‌طور نیست که مثلا اطلاعات شخصی افراد نشت پیدا کنه، گاهی اوقات اطلاعات در دسترس عموم هم ممکن هست نشت پیدا کنه. منظور ...

یکی از سخت ترین کارها در حوزه امنیت توجیه کردن کاربران به استفاده از رمزهای عبور مناسب و عدم کپی کردن آن از سایر همکاران می باشد. تفاوتی هم بین سمت شغلی کاربران وجود ندارد از مدیران تا کارشناسان ساده هیچ کدام به این اصل پایبند نیستند پس کارشناسان و مدیران امنیت از هر سیستم با هر مکانیزمی استفاده کنند ...

در سال 1998 محقق امنیتی Salvatore Sanfilippo (ایشون توسعه دهنده hping, redis, dump1090, Kilo و کلی پروژه‌های دیگه هستن)، یک روش جدید رو برای اسکن (scan) یک ماشین هدف ارائه داد. این مِتُد به نام idle scan شناخته میشه (علت نام گذاری رو جلو تر توضیح میدیم). برای اسکن TCP یک Port روی یک ماشین ابتدا باید یک بسته SYN فرستاده ...

در ادامه پست بررسی ضعف‌های امنیتی در DNS، توی این پست میخواهیم به ساختار حملات DNS Cache Poisoning نگاه کنیم. این‌که چطور مهاجمین می‌تونن از ساختار آسیب‌پذیر ‌DNS استفاده کنن و ترافیک یک شبکه رو به میل خودشون هدایت کنن. حملات Cache Poisoning به علت فراوانی DNS Server های آسیب‌پذیر و راحتی اجرای حمله، بسیار رایج هست. این حمله میتونه اهداف ...

تشخیص دستگاه روت شده یا Root Detection، یکی از مکانیزم‌های امنیتی هست که توی اپلیکیشن‌های اندرویدی برای حفظ امنیت کاربر اجرا میشه. البته برای اپلیکیشن‌هایی که امنیت براشون دغدغه ست (مثل اپلیکیشن های بانکی). چند وقت پیش یکی از دوستان گفت که درباره دورزدن مکانیزم‌های امنیتی توی اندروید اگه میشه بیشتر پست بذارین و خب تو این پست درباره دور ...

در پست قبلی سازوکار پروتکل DNS رو بررسی کردیم. در این پست میخواهیم درباره ضعف‌های امنیتی مرتبط با پروتکل DNS صحبت کنیم و در آخر پست هم قرار هستش یکی از روش‌های سوءاستفاده از DNS یعنی DNS Tunneling رو بررسی کنیم. طبق آمار از هر سه سازمان یکی از اون‌ها تجربه حملات بر روی سرور DNSشون رو داشتن. حتی با وجود ...

در این پست قصد دارم درباره ی آسیب‌پذیری جالبی که از یکی از سرویس‌های آفیس مایکروسافت پیدا کردم براتون توضیح بدم. office365 دارای سرویس‌های مختلفی هستش که هر کدوم یکسری امکانات مختلف ارائه میده یک سرویسی که توجه منو جلب کرد، سرویس forms بود که برای ساخت فرم یا کوییز و اشتراک گذاریه فرم بین یوزرهای مختلف انجام میشد. میتونید جزییات ...

DNS یا همون دفترچه­ تلفن اینترنت، یک سرویس ساده برای تبدیل آدرس­‌هایی مثل google.com به یک آدرس IP هست. در دنیای کامپیوتر همه ­چیز با اعداد انجام میشه و داستان سرویس نام­‌گذاری فقط برای این بوده که یاد آوری IP ها برای انسان سخته. برای مثال در زبان ­های برنامه‌نویسی با مفهوم متغیرها (Variables) رو به رو هستیم، مثلا متغیر ...