⭕️اگر علاقه مند به نوشتن ابزار های آفنسیو هستید ابزاری برای Documents Exfiltration به زبان C و ++C نوشته شده که FUD بوده و با c2 کاستوم ارتباط میگیرد و فایل هارا منتقل میکند که
برای تمرین ابزار مناسبی هست.
https://github.com/TheD1rkMtr/DocPlz
#RedTeam #Tools
@Engineer_Computer
برای تمرین ابزار مناسبی هست.
https://github.com/TheD1rkMtr/DocPlz
#RedTeam #Tools
@Engineer_Computer
GitHub
GitHub - d1rkmtrr/DocPlz: Documents Exfiltration project for fun and educational purposes
Documents Exfiltration project for fun and educational purposes - d1rkmtrr/DocPlz
⭕️یک Stealer جالب برای Exfitrate Office Documents به زبان ++C و Python نوشته شده که با استفاده از API مربوط به Virustotal داده را استخراج کرده و به Server c2 مورد نظر منتقل میکند.
https://github.com/TheD1rkMtr/VT-stealer
#RedTeam #Tools
@Engineer_Computer
https://github.com/TheD1rkMtr/VT-stealer
#RedTeam #Tools
@Engineer_Computer
⭕ کشف آسیب پذیری XSS توسط نیما که منجر به هزار دلار بانتی شد
در این مقاله به یک ترفند برای پیدا کردن XSS اشاره شده که کمتر جایی بهش اشاره کردن
در این نقطه آسیب پذیری جایی شکل گرفته که مقادیر های پارامتر ارسالی در قالب یک فایل JSON برگردانده میشد.
هکر با کاوش و جمع اوری word list از سایت، به یک پارامتر رسیده که با آن Content Type خروجی را به HTML تغییر دهد و پیلود را بتواند اجرا کند
لینک مقاله :
https://medium.com/@neemaaf0/discover-two-specific-xss-vulnerabilities-on-the-subdomain-www-121f184cdb6d
#bugbounty #web
@Engineer_Computer
در این مقاله به یک ترفند برای پیدا کردن XSS اشاره شده که کمتر جایی بهش اشاره کردن
در این نقطه آسیب پذیری جایی شکل گرفته که مقادیر های پارامتر ارسالی در قالب یک فایل JSON برگردانده میشد.
هکر با کاوش و جمع اوری word list از سایت، به یک پارامتر رسیده که با آن Content Type خروجی را به HTML تغییر دهد و پیلود را بتواند اجرا کند
لینک مقاله :
https://medium.com/@neemaaf0/discover-two-specific-xss-vulnerabilities-on-the-subdomain-www-121f184cdb6d
#bugbounty #web
@Engineer_Computer
Medium
discover two specific XSS vulnerabilities on the subdomain www
Hello everyone,
❤1🔥1
⭕️ کاوش در GraphQL و کشف آسیبپذیری در برنامه
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
چرا ما شاهد هستیم که حملات علیه API ها رو به گسترش است ؟
https://thehackernews.com/2023/10/api-security-trends-2023-have.html
@Engineer_Computer
https://thehackernews.com/2023/10/api-security-trends-2023-have.html
@Engineer_Computer
از ابزارهایی که به قصد فارنزیک تولید نشده اند هم میتوانیم در جرم یابی استفاده کنیم
** یک دلیل دیگر که از ویندوز ۷ مهاجرت کنید !
https://www.magnetforensics.com/blog/srum-forensic-analysis-of-windows-system-resource-utilization-monitor/
@Engineer_Computer
** یک دلیل دیگر که از ویندوز ۷ مهاجرت کنید !
https://www.magnetforensics.com/blog/srum-forensic-analysis-of-windows-system-resource-utilization-monitor/
@Engineer_Computer
Magnet Forensics
SRUM: Forensic Analysis of System Resource Utilization Monitor
SRUM (System Resource Utilization Monitor) is a feature of Windows (8+), that tracks the app usage, network utilization & system energy state
تمرین عملی
آنالیز بد افزار ( جدید)
با لینک فایل Pcap
https://blog.securityonion.net/2023/10/quick-malware-analysis-ta577-pikabot.html?m=1
@Engineer_Computer
آنالیز بد افزار ( جدید)
با لینک فایل Pcap
https://blog.securityonion.net/2023/10/quick-malware-analysis-ta577-pikabot.html?m=1
@Engineer_Computer
blog.securityonion.net
Quick Malware Analysis: TA577 PIKABOT INFECTION WITH COBALT STRIKE pcap from 2023-10-17
Thanks to Brad Duncan for sharing this pcap: https://www.malware-traffic-analysis.net/2023/10/17/index.html We did a quick analysis of this ...
دستورالعمل CISA برای آسیب پذیری
Cisco IOS XE Web UI
https://www.cisa.gov/news-events/alerts/2023/10/20/cisa-releases-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities
@Engineer_Computer
Cisco IOS XE Web UI
https://www.cisa.gov/news-events/alerts/2023/10/20/cisa-releases-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities
@Engineer_Computer
Why Threat Modeling is Important for API Security (1).pdf
1.5 MB
چرا مدلسازی تهدید برای امنیت API مهم است
@Engineer_Computer
@Engineer_Computer
به یک نیروی Security researcher نیاز داریم که مسلط به زبان انگلیسی و Owasp top10باشه، سری چالش های طراحی شده با موضوع مرتبط بهش داده میشه. یک متن ۵۰۰ کلمه ای برای هر لابراتوار به زبان انگلیسی بنویسه بعلاوه با کمک ai باید بتونه به سه زبان php nodejs Django تیکه کد آسیب پذیر رو بنویسه و یک تحلیل یک خطی بنویسه.
پروژه ها به صورت ده تایی هست. لطفاً پیشنهاد حقوقی بعلاوه رزومه خودتون رو به ایدی زیر ارسال کنید.
@frew0rld
@Engineer_Computer
پروژه ها به صورت ده تایی هست. لطفاً پیشنهاد حقوقی بعلاوه رزومه خودتون رو به ایدی زیر ارسال کنید.
@frew0rld
@Engineer_Computer
🤯2🗿2
⭕️ How I Exposed Instagram's Private Posts by Blocking Users
این پست، راجع به چگونگی کشف یک آسیبپذیری در اینستاگرام که به هکر امکان مشاهده پستهای حسابهای خصوصی را میداد هست.
این پست زنجیره ای از سه تا باگ هستش ک در نهایت به 14,500$ بانتی ختم میشه.
زنجیره باگ استفاده شده در پست:
1. Instagram post embedding
این فیچر اینستاگرام اجازه میده که در سایت های جز اینستاگرام به اصطلاح پست هارو embed کنید و اونجا محتوای پست رو تماشا کنید.
2. XS-Leak
یک کلاس اسیب پذیری هستن که از نحوه ارتباط وبسایت ها باهم استفاده میکنن و اطلاعات که در میان این ارتباط ها لو میره رو cross site leaks یا مخفف شده XS-LEAK مینامند.
3. User-Agent sniffing
و در نهایت user-agent هایی که از طریق مرورگر ها ارسال میشن.
هکر برای پیدا کردن این اسیب پذیری از این سه فیچر بصورت مخرب استفاده کرده.
برای خوندن کامل مقاله به لینک زیر مراجعه کنید:
🔗https://bit.ly/3Me0tMV
#bugbounty #web
@Engineer_Computer
این پست، راجع به چگونگی کشف یک آسیبپذیری در اینستاگرام که به هکر امکان مشاهده پستهای حسابهای خصوصی را میداد هست.
این پست زنجیره ای از سه تا باگ هستش ک در نهایت به 14,500$ بانتی ختم میشه.
زنجیره باگ استفاده شده در پست:
1. Instagram post embedding
این فیچر اینستاگرام اجازه میده که در سایت های جز اینستاگرام به اصطلاح پست هارو embed کنید و اونجا محتوای پست رو تماشا کنید.
2. XS-Leak
یک کلاس اسیب پذیری هستن که از نحوه ارتباط وبسایت ها باهم استفاده میکنن و اطلاعات که در میان این ارتباط ها لو میره رو cross site leaks یا مخفف شده XS-LEAK مینامند.
3. User-Agent sniffing
و در نهایت user-agent هایی که از طریق مرورگر ها ارسال میشن.
هکر برای پیدا کردن این اسیب پذیری از این سه فیچر بصورت مخرب استفاده کرده.
برای خوندن کامل مقاله به لینک زیر مراجعه کنید:
🔗https://bit.ly/3Me0tMV
#bugbounty #web
@Engineer_Computer
#github #usefull_repository
Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs
https://github.com/freedomofpress/dangerzone
A curated list of awesome forensic analysis tools and resources
https://github.com/Cugu/awesome-forensics
A collection of awesome software, libraries, documents, books, resources and cools stuffs about security.
https://github.com/sbilly/awesome-security
@Engineer_Computer
Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs
https://github.com/freedomofpress/dangerzone
A curated list of awesome forensic analysis tools and resources
https://github.com/Cugu/awesome-forensics
A collection of awesome software, libraries, documents, books, resources and cools stuffs about security.
https://github.com/sbilly/awesome-security
@Engineer_Computer
GitHub
GitHub - freedomofpress/dangerzone: Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs
Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs - freedomofpress/dangerzone
#resource #rootkits #c #usefull_link
https://h0mbre.github.io/Learn-C-By-Creating-A-Rootkit/#
@Engineer_Computer
https://h0mbre.github.io/Learn-C-By-Creating-A-Rootkit/#
@Engineer_Computer
The Human Machine Interface
Creating a Rootkit to Learn C
Background Information This post is my solution for the last assignment in my Learning-C repository. I thought a good way to cap off a repo designed to introduce people to very basic C programming would be to take those very basic techinques and make a simple…
#github #usefull_links #wireless_attacks #cellular_attacks
#lte #5g #lte_security
Awesome Cellular Hacking resource
https://github.com/W00t3k/Awesome-Cellular-Hacking
@Engineer_Computer
#lte #5g #lte_security
Awesome Cellular Hacking resource
https://github.com/W00t3k/Awesome-Cellular-Hacking
@Engineer_Computer
GitHub
GitHub - W00t3k/Awesome-Cellular-Hacking: Awesome-Cellular-Hacking
Awesome-Cellular-Hacking. Contribute to W00t3k/Awesome-Cellular-Hacking development by creating an account on GitHub.
#resource #book #usefull_link
#bsd #openbsd
یه منبع عالی برای یادگیری openbsd
https://www.openbsdhandbook.com/
@Engineer_Computer
#bsd #openbsd
یه منبع عالی برای یادگیری openbsd
https://www.openbsdhandbook.com/
@Engineer_Computer
OpenBSD Handbook
Task-oriented, administrator-focused guidance for installing, securing, and operating OpenBSD: PF firewall, httpd, networking, storage, upgrades, and everyday administration.
#linux #usefull_link #firewalld
A beginner's guide to firewalld in Linux
https://www.redhat.com/sysadmin/beginners-guide-firewalld
@Engineer_Computer
A beginner's guide to firewalld in Linux
https://www.redhat.com/sysadmin/beginners-guide-firewalld
@Engineer_Computer
Redhat
A beginner's guide to firewalld in Linux
Our world has never been more connected than it is right now. Every person, business, government, etc. uses the web to communicate, exchange currency and...
#usefull_link #linux
https://spohnz.com/mount-remote-linux-filesystem-or-directory-using-sshfs-over-ssh-ckfo8qk0u02gh0ks1ajsd67p6
@Engineer_Computer
https://spohnz.com/mount-remote-linux-filesystem-or-directory-using-sshfs-over-ssh-ckfo8qk0u02gh0ks1ajsd67p6
@Engineer_Computer
Spohnz.com
Mount Remote Linux Filesystem or Directory Using SSHFS Over SSH
How to Mount Remote Linux Filesystem or Directory Using SSHFS Over SSH
I find myself doing this often, so the purpose of writing this article is to provide a step-by-step guide on how to mount a remote Linux file system using SSHFS client over SSH. T...
I find myself doing this often, so the purpose of writing this article is to provide a step-by-step guide on how to mount a remote Linux file system using SSHFS client over SSH. T...