⭕️ کاوش در GraphQL و کشف آسیبپذیری در برنامه
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
یکی از مزایای اصلی GraphQL این است که به کلاینتها اجازه میدهد در یک درخواست تکی، منابع مختلفی رو درخواست کنند.
هکر در این مقاله از یکسری مزایای graphql استفاده میکنه تا بتونه یک عملکرد امنیتی در وبسایت رو دور بزنه.
کوئری GraphQL Introspection
اینترواسپکشن GraphQL یک ویژگی هست که به کاربران اجازه میده قابلیتهای یک API GraphQL رو با درخواست زدن به خود API پیدا کنند. این اطلاعات درباره انواع، فیلدها و کوئری هایی هست که API پشتیبانی میکنه.
هکر در اپلیکیشن هدف تصمیم میگیره که قابلیت MFA یا احراز هویت چند عاملی رو تست کنه و اپلیکیشن کد های ریکاوری رو به هکر نشون میده، بعد از اینکه درخواست دیدن دوباره کد های ریکاوری رو انجام میده، وبسایت درخواست وارد کردن رمزعبور میکنه و هکر با استفاده از GraphQL Introspection این قابلیت رو دور میزنه.
به این باگ در نهایت $1000 دلار بانتی تعلق میگیره.
لینک مقاله:
🔗 https://bit.ly/3rTMc12
#Web #GraphQL #Bugbounty
@Engineer_Computer
چرا ما شاهد هستیم که حملات علیه API ها رو به گسترش است ؟
https://thehackernews.com/2023/10/api-security-trends-2023-have.html
@Engineer_Computer
https://thehackernews.com/2023/10/api-security-trends-2023-have.html
@Engineer_Computer
از ابزارهایی که به قصد فارنزیک تولید نشده اند هم میتوانیم در جرم یابی استفاده کنیم
** یک دلیل دیگر که از ویندوز ۷ مهاجرت کنید !
https://www.magnetforensics.com/blog/srum-forensic-analysis-of-windows-system-resource-utilization-monitor/
@Engineer_Computer
** یک دلیل دیگر که از ویندوز ۷ مهاجرت کنید !
https://www.magnetforensics.com/blog/srum-forensic-analysis-of-windows-system-resource-utilization-monitor/
@Engineer_Computer
Magnet Forensics
SRUM: Forensic Analysis of System Resource Utilization Monitor
SRUM (System Resource Utilization Monitor) is a feature of Windows (8+), that tracks the app usage, network utilization & system energy state
تمرین عملی
آنالیز بد افزار ( جدید)
با لینک فایل Pcap
https://blog.securityonion.net/2023/10/quick-malware-analysis-ta577-pikabot.html?m=1
@Engineer_Computer
آنالیز بد افزار ( جدید)
با لینک فایل Pcap
https://blog.securityonion.net/2023/10/quick-malware-analysis-ta577-pikabot.html?m=1
@Engineer_Computer
blog.securityonion.net
Quick Malware Analysis: TA577 PIKABOT INFECTION WITH COBALT STRIKE pcap from 2023-10-17
Thanks to Brad Duncan for sharing this pcap: https://www.malware-traffic-analysis.net/2023/10/17/index.html We did a quick analysis of this ...
دستورالعمل CISA برای آسیب پذیری
Cisco IOS XE Web UI
https://www.cisa.gov/news-events/alerts/2023/10/20/cisa-releases-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities
@Engineer_Computer
Cisco IOS XE Web UI
https://www.cisa.gov/news-events/alerts/2023/10/20/cisa-releases-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities
@Engineer_Computer
Why Threat Modeling is Important for API Security (1).pdf
1.5 MB
چرا مدلسازی تهدید برای امنیت API مهم است
@Engineer_Computer
@Engineer_Computer
به یک نیروی Security researcher نیاز داریم که مسلط به زبان انگلیسی و Owasp top10باشه، سری چالش های طراحی شده با موضوع مرتبط بهش داده میشه. یک متن ۵۰۰ کلمه ای برای هر لابراتوار به زبان انگلیسی بنویسه بعلاوه با کمک ai باید بتونه به سه زبان php nodejs Django تیکه کد آسیب پذیر رو بنویسه و یک تحلیل یک خطی بنویسه.
پروژه ها به صورت ده تایی هست. لطفاً پیشنهاد حقوقی بعلاوه رزومه خودتون رو به ایدی زیر ارسال کنید.
@frew0rld
@Engineer_Computer
پروژه ها به صورت ده تایی هست. لطفاً پیشنهاد حقوقی بعلاوه رزومه خودتون رو به ایدی زیر ارسال کنید.
@frew0rld
@Engineer_Computer
🤯2🗿2
⭕️ How I Exposed Instagram's Private Posts by Blocking Users
این پست، راجع به چگونگی کشف یک آسیبپذیری در اینستاگرام که به هکر امکان مشاهده پستهای حسابهای خصوصی را میداد هست.
این پست زنجیره ای از سه تا باگ هستش ک در نهایت به 14,500$ بانتی ختم میشه.
زنجیره باگ استفاده شده در پست:
1. Instagram post embedding
این فیچر اینستاگرام اجازه میده که در سایت های جز اینستاگرام به اصطلاح پست هارو embed کنید و اونجا محتوای پست رو تماشا کنید.
2. XS-Leak
یک کلاس اسیب پذیری هستن که از نحوه ارتباط وبسایت ها باهم استفاده میکنن و اطلاعات که در میان این ارتباط ها لو میره رو cross site leaks یا مخفف شده XS-LEAK مینامند.
3. User-Agent sniffing
و در نهایت user-agent هایی که از طریق مرورگر ها ارسال میشن.
هکر برای پیدا کردن این اسیب پذیری از این سه فیچر بصورت مخرب استفاده کرده.
برای خوندن کامل مقاله به لینک زیر مراجعه کنید:
🔗https://bit.ly/3Me0tMV
#bugbounty #web
@Engineer_Computer
این پست، راجع به چگونگی کشف یک آسیبپذیری در اینستاگرام که به هکر امکان مشاهده پستهای حسابهای خصوصی را میداد هست.
این پست زنجیره ای از سه تا باگ هستش ک در نهایت به 14,500$ بانتی ختم میشه.
زنجیره باگ استفاده شده در پست:
1. Instagram post embedding
این فیچر اینستاگرام اجازه میده که در سایت های جز اینستاگرام به اصطلاح پست هارو embed کنید و اونجا محتوای پست رو تماشا کنید.
2. XS-Leak
یک کلاس اسیب پذیری هستن که از نحوه ارتباط وبسایت ها باهم استفاده میکنن و اطلاعات که در میان این ارتباط ها لو میره رو cross site leaks یا مخفف شده XS-LEAK مینامند.
3. User-Agent sniffing
و در نهایت user-agent هایی که از طریق مرورگر ها ارسال میشن.
هکر برای پیدا کردن این اسیب پذیری از این سه فیچر بصورت مخرب استفاده کرده.
برای خوندن کامل مقاله به لینک زیر مراجعه کنید:
🔗https://bit.ly/3Me0tMV
#bugbounty #web
@Engineer_Computer
#github #usefull_repository
Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs
https://github.com/freedomofpress/dangerzone
A curated list of awesome forensic analysis tools and resources
https://github.com/Cugu/awesome-forensics
A collection of awesome software, libraries, documents, books, resources and cools stuffs about security.
https://github.com/sbilly/awesome-security
@Engineer_Computer
Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs
https://github.com/freedomofpress/dangerzone
A curated list of awesome forensic analysis tools and resources
https://github.com/Cugu/awesome-forensics
A collection of awesome software, libraries, documents, books, resources and cools stuffs about security.
https://github.com/sbilly/awesome-security
@Engineer_Computer
GitHub
GitHub - freedomofpress/dangerzone: Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs
Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs - freedomofpress/dangerzone
#resource #rootkits #c #usefull_link
https://h0mbre.github.io/Learn-C-By-Creating-A-Rootkit/#
@Engineer_Computer
https://h0mbre.github.io/Learn-C-By-Creating-A-Rootkit/#
@Engineer_Computer
The Human Machine Interface
Creating a Rootkit to Learn C
Background Information This post is my solution for the last assignment in my Learning-C repository. I thought a good way to cap off a repo designed to introduce people to very basic C programming would be to take those very basic techinques and make a simple…
#github #usefull_links #wireless_attacks #cellular_attacks
#lte #5g #lte_security
Awesome Cellular Hacking resource
https://github.com/W00t3k/Awesome-Cellular-Hacking
@Engineer_Computer
#lte #5g #lte_security
Awesome Cellular Hacking resource
https://github.com/W00t3k/Awesome-Cellular-Hacking
@Engineer_Computer
GitHub
GitHub - W00t3k/Awesome-Cellular-Hacking: Awesome-Cellular-Hacking
Awesome-Cellular-Hacking. Contribute to W00t3k/Awesome-Cellular-Hacking development by creating an account on GitHub.
#resource #book #usefull_link
#bsd #openbsd
یه منبع عالی برای یادگیری openbsd
https://www.openbsdhandbook.com/
@Engineer_Computer
#bsd #openbsd
یه منبع عالی برای یادگیری openbsd
https://www.openbsdhandbook.com/
@Engineer_Computer
OpenBSD Handbook
Task-oriented, administrator-focused guidance for installing, securing, and operating OpenBSD: PF firewall, httpd, networking, storage, upgrades, and everyday administration.
#linux #usefull_link #firewalld
A beginner's guide to firewalld in Linux
https://www.redhat.com/sysadmin/beginners-guide-firewalld
@Engineer_Computer
A beginner's guide to firewalld in Linux
https://www.redhat.com/sysadmin/beginners-guide-firewalld
@Engineer_Computer
Redhat
A beginner's guide to firewalld in Linux
Our world has never been more connected than it is right now. Every person, business, government, etc. uses the web to communicate, exchange currency and...
#usefull_link #linux
https://spohnz.com/mount-remote-linux-filesystem-or-directory-using-sshfs-over-ssh-ckfo8qk0u02gh0ks1ajsd67p6
@Engineer_Computer
https://spohnz.com/mount-remote-linux-filesystem-or-directory-using-sshfs-over-ssh-ckfo8qk0u02gh0ks1ajsd67p6
@Engineer_Computer
Spohnz.com
Mount Remote Linux Filesystem or Directory Using SSHFS Over SSH
How to Mount Remote Linux Filesystem or Directory Using SSHFS Over SSH
I find myself doing this often, so the purpose of writing this article is to provide a step-by-step guide on how to mount a remote Linux file system using SSHFS client over SSH. T...
I find myself doing this often, so the purpose of writing this article is to provide a step-by-step guide on how to mount a remote Linux file system using SSHFS client over SSH. T...
#meme #fun
Resource:unkown ,dm for removal
Some times memes speaks louder than words😂
@Engineer_Computer
Resource:unkown ,dm for removal
Some times memes speaks louder than words😂
@Engineer_Computer
❤2
This media is not supported in your browser
VIEW IN TELEGRAM
جزئیاتی از مهار حمله ناموفق سایبری به زیرساختهای برق کشور
رئیس سازمان پدافند غیرعامل:
در طول سال گذشته موفق شدیم با کمک دستگاههای اطلاعاتی کشور ۱۰ حمله سایبری به زیرساختهای کشور را قبل از حمله کشف و خنثی سازی کنیم.
@Engineer_Computer
رئیس سازمان پدافند غیرعامل:
در طول سال گذشته موفق شدیم با کمک دستگاههای اطلاعاتی کشور ۱۰ حمله سایبری به زیرساختهای کشور را قبل از حمله کشف و خنثی سازی کنیم.
@Engineer_Computer
تاسیس منطقه آزاد جدیدی برای داراییهای دیجیتال در امارات
شیخ محمد بن سعود بن صقر القاسمی، حاکم رأسالخیمه، در تاریخ ۱۹ اکتبر «منطقه آزاد» داراییهای دیجیتال جدید راسالخیمه (RAK DAO) را افتتاح کرد، یک منطقه آزاد اقتصادی که به حمایت از شرکتهای فعال در داراییهای دیجیتال و مجازی، بلاکچین، وب۳ و هوشمصنوعی (AI) اختصاص دارد.
منطقه آزاد به ارائهدهندگان خدمات دارایی دیجیتال و مجازی در فناوریهای نوظهور مانند متاورس، بلاکچین، توکنهای ابزار، کیفپول داراییهای مجازی، توکنهای غیرقابل تعویض، سازمانهای مستقل غیرمتمرکز (DAO)، مشاغل مرتبط با وب۳، و برنامههای کاربردی غیرمتمرکز و سایر موارد اختصاص خواهد یافت.
«منطقه آزاد» داراییهای دیجیتال راسالخیمه و شرکای اکوسیستم آن نیز برنامههای کمک مالی را اجرا خواهند کرد و پشتیبانی تخصصی در زمینههای مختلف فناوری، بازاریابی و توسعه کسبوکار ارائه خواهند نمود.
راسالخیمه که بهخاطر مکانهای فرهنگی غنیاش معروف است، به بخش داراییهای دیجیتال روی میآورد تا اقتصاد خود را کنار راههای سنتی، مانند گردشگری، متنوع کند.
منبع
@Engineer_Computer
شیخ محمد بن سعود بن صقر القاسمی، حاکم رأسالخیمه، در تاریخ ۱۹ اکتبر «منطقه آزاد» داراییهای دیجیتال جدید راسالخیمه (RAK DAO) را افتتاح کرد، یک منطقه آزاد اقتصادی که به حمایت از شرکتهای فعال در داراییهای دیجیتال و مجازی، بلاکچین، وب۳ و هوشمصنوعی (AI) اختصاص دارد.
منطقه آزاد به ارائهدهندگان خدمات دارایی دیجیتال و مجازی در فناوریهای نوظهور مانند متاورس، بلاکچین، توکنهای ابزار، کیفپول داراییهای مجازی، توکنهای غیرقابل تعویض، سازمانهای مستقل غیرمتمرکز (DAO)، مشاغل مرتبط با وب۳، و برنامههای کاربردی غیرمتمرکز و سایر موارد اختصاص خواهد یافت.
«منطقه آزاد» داراییهای دیجیتال راسالخیمه و شرکای اکوسیستم آن نیز برنامههای کمک مالی را اجرا خواهند کرد و پشتیبانی تخصصی در زمینههای مختلف فناوری، بازاریابی و توسعه کسبوکار ارائه خواهند نمود.
راسالخیمه که بهخاطر مکانهای فرهنگی غنیاش معروف است، به بخش داراییهای دیجیتال روی میآورد تا اقتصاد خود را کنار راههای سنتی، مانند گردشگری، متنوع کند.
منبع
@Engineer_Computer
Cointelegraph
UAE emirate launches new free zone for digital assets, Web3 and AI
Ras Al Khaimah, one of the seven territories of the United Arab Emirates, officially launched the RAK DAO, a dedicated free zone for digital and virtual assets.