Forwarded from DevAshTeam
✅ اگر همچنان با نصب/آپدیت داکر روی سیستم خودتون و یا سروری که دستتون هست مشکل دارین و یا اینکه موقع دریافت ایمیج ها از Docker Hub با پیام هایی مثل 403 Error مواجه شدین، میتونید به سادگی از این راهکار ها برای گذر از تحریم ها استفاده کنید:
🔹ساخت میرور ریپازیتوری برای دریافت/آپدیت داکر
🔹 ساخت رجیستری میرور برای دریافت ایمیج های داکر
🔹 استفاده از پروژه ی SNI Proxy برای دریافت تمامی پکیج ها و ایمیج های تحریم شده
💡 https://news.1rj.ru/str/DevAshTeam
Made with ❤️ for the community
#docker #tutorial #workers
🔹ساخت میرور ریپازیتوری برای دریافت/آپدیت داکر
🔹 ساخت رجیستری میرور برای دریافت ایمیج های داکر
🔹 استفاده از پروژه ی SNI Proxy برای دریافت تمامی پکیج ها و ایمیج های تحریم شده
💡 https://news.1rj.ru/str/DevAshTeam
Made with ❤️ for the community
#docker #tutorial #workers
0xCyberDev
Video
توی این ویدیو روم smol وبسایت TryHackMe رو تا مرحله initial foothold نشون دادم :)
احتمالا در آینده بیشتر از ctf حل کردنم براتون ویدیو بزارم :)
احتمالا در آینده بیشتر از ctf حل کردنم براتون ویدیو بزارم :)
Forwarded from M. Hossein F.
در پروداکشن از "hardened images" استفاده کنید تا سطح امنیت سرویس یا محصول خودتون رو بلافاصله ارتقا بدید
https://www.docker.com/products/hardened-images/
https://www.docker.com/products/hardened-images/
Docker
Hardened Images | Docker
Fortify your container security with Docker Hardened Images — trusted, enterprise-ready, and compliance-friendly.
در حالی که در ایران انطباق (compliance) با استانداردهای PCI SSC اجباری (mandatory) نیست اما مطالعه در این مورد هم خالی از لطف نیست
https://cybernews.com/hosting-hub/how-to-make-your-e-commerce-site-pci-compliant/
https://cybernews.com/hosting-hub/how-to-make-your-e-commerce-site-pci-compliant/
Cybernews
How to make your e-commerce site PCI-compliant
Learn how to make your e-commerce platform PCI-compliant to ensure proper protection of your clients’ sensitive payment information.
0xCyberDev
You can't pay me enough to use Windows!
خب شاید باورکردنی نباشه اما دارم برمیگردم به windows 💀
طبق ritual دیروز بعد از نصب ویندوز مشغول debloat کردن بودم، از این دوتا ابزار بیشتر استفاده کردم:
Revo Uninstaller
ChrisTitus Windows Utility
پیشنهاد میکنم شماهم تا جای ممکن از شر bloat روی سیستم ویندوزی خودتون خلاص شید و spyware هایی رو که microshit تحت عنوان سرویس بهتون ارائه میدهرو تا جای ممکن محدود کنید.
Revo Uninstaller
ChrisTitus Windows Utility
پیشنهاد میکنم شماهم تا جای ممکن از شر bloat روی سیستم ویندوزی خودتون خلاص شید و spyware هایی رو که microshit تحت عنوان سرویس بهتون ارائه میدهرو تا جای ممکن محدود کنید.
برای دوست داران امنیت سایبری:
در این ریپازیتوری میتونید رومهای رایگان TryHackMe رو بهصورت دستهبندیشده بر اساس Category ببینید.
این منبع میتونه برای همه سطوح مفید باشه،
بخصوص اگر ابتدای مسیر یادگیری امنیت هستید...
https://github.com/Hunterdii/TryHackMe-Roadmap?tab=readme-ov-file
در این ریپازیتوری میتونید رومهای رایگان TryHackMe رو بهصورت دستهبندیشده بر اساس Category ببینید.
این منبع میتونه برای همه سطوح مفید باشه،
بخصوص اگر ابتدای مسیر یادگیری امنیت هستید...
https://github.com/Hunterdii/TryHackMe-Roadmap?tab=readme-ov-file
GitHub
GitHub - Hunterdii/TryHackMe-Roadmap: Hello, aspiring hackers! 🕵️♂️ Here’s a list of 500+ Free TryHackMe rooms to kickstart your…
Hello, aspiring hackers! 🕵️♂️ Here’s a list of 500+ Free TryHackMe rooms to kickstart your cybersecurity journey. These rooms are absolutely free, and I’ve organized them by topic to help you dive...
This media is not supported in your browser
VIEW IN TELEGRAM
سوال شماره 26 :
Remove Duplicates from Sorted Array
Difficulty => Easy
Remove Duplicates from Sorted Array
Difficulty => Easy
وقتی میگیم یک الگوریتم in-place است، یعنی دادهی ورودی را مستقیم تغییر میدهد و از حافظهی اضافی خیلی کمی استفاده میکند (معمولاً O(1)).
یعنی:
آرایهی جدید نمیسازیم
فقط با چند اندیس یا پوینتر کار میکنیم
نتیجه داخل همان دادهی اولیه نوشته میشود
چرا مهم است؟
• سوال محبوب مصاحبهها
• مصرف حافظه کمتر → کارایی بهتر
• حیاتی در سیستمهای محدود و مقیاس بزرگ
مثال معروف: حذف المانهای تکراری از آرایهی مرتب (sorted) با الگوی two-pointer.
یعنی:
آرایهی جدید نمیسازیم
فقط با چند اندیس یا پوینتر کار میکنیم
نتیجه داخل همان دادهی اولیه نوشته میشود
چرا مهم است؟
• سوال محبوب مصاحبهها
• مصرف حافظه کمتر → کارایی بهتر
• حیاتی در سیستمهای محدود و مقیاس بزرگ
مثال معروف: حذف المانهای تکراری از آرایهی مرتب (sorted) با الگوی two-pointer.
وقتی میگیم Shift Left، منظور یک اصطلاح فنی پیچیده نیست؛ فقط داریم دربارهی زمان حرف میزنیم.
در نمودار زمانِ توسعهی نرمافزار:
Design → Code → Test → Deploy → Production
سمت چپ = مراحل اولیه
سمت راست = مراحل پایانی
پس Shift Left یعنی جابهجا کردن کارها به سمت چپ این خط زمان.
در امنیت:
بهجای اینکه بعد از نفوذ بپرسیم «چطور هک شد؟»
از اول میپرسیم «از کجا ممکن است هک شود؟»
در عمل Shift Left یعنی:
فکر کردن به تهدیدها قبل از نوشتن کد
گرفتن بازخورد سریع، نه گزارشهای سنگین آخر پروژه
پیشگیری بهجای واکنش
تبدیل امنیت از یک مرحلهی جداگانه به بخشی از توسعه
درواقع Shift Left یعنی زودتر فکر کردن، نه سختتر کار کردن.
و نه، به این معنا نیست که «همهچیز مسئولیت دولوپر است»؛ بلکه یعنی همکاری زودتر و هوشمندانهتر.
هر چیزی که زودتر کشف شود، ارزانتر، سریعتر و تمیزتر حل میشود.
در نمودار زمانِ توسعهی نرمافزار:
Design → Code → Test → Deploy → Production
سمت چپ = مراحل اولیه
سمت راست = مراحل پایانی
پس Shift Left یعنی جابهجا کردن کارها به سمت چپ این خط زمان.
در امنیت:
بهجای اینکه بعد از نفوذ بپرسیم «چطور هک شد؟»
از اول میپرسیم «از کجا ممکن است هک شود؟»
در عمل Shift Left یعنی:
فکر کردن به تهدیدها قبل از نوشتن کد
گرفتن بازخورد سریع، نه گزارشهای سنگین آخر پروژه
پیشگیری بهجای واکنش
تبدیل امنیت از یک مرحلهی جداگانه به بخشی از توسعه
درواقع Shift Left یعنی زودتر فکر کردن، نه سختتر کار کردن.
و نه، به این معنا نیست که «همهچیز مسئولیت دولوپر است»؛ بلکه یعنی همکاری زودتر و هوشمندانهتر.
هر چیزی که زودتر کشف شود، ارزانتر، سریعتر و تمیزتر حل میشود.
👍1
این یکی هم رودمپ خوبیه برای Exploit Development:
https://dayzerosec.com/blog/2024/07/11/getting-started-2024.html
https://dayzerosec.com/blog/2024/07/11/getting-started-2024.html
dayzerosec
Getting Started with Exploit Development
Many resources for learning exploit development focus on specific tricks rather than underlying principles. My roadmap aims to teach the fundamentals of memory corruption to help you grasp modern, complex exploits.
یه note خلاصه و کوتاه روی تاپیک Linux Privilege Escalation
به مرور کامل تر میشه
صرفا جهت رفرنس و هینت برای مطالعه فراتر
# os version
# kernel version
# running services
#installed packages and versions
#logged in users
#user home directories
#check .bash_history
#sudo privileges
#configuration files
#readable shadow file
#password hashes in /etc/passwd
#cron jobs
#unmounted file systems and additional drives
#SETUID and SETGID permissions
#writable directories
#writable files
به مرور کامل تر میشه
صرفا جهت رفرنس و هینت برای مطالعه فراتر
# os version
# kernel version
# running services
ps aux | grep root
#installed packages and versions
#logged in users
ps au
#user home directories
ls /home
#check .bash_history
#sudo privileges
#configuration files
#readable shadow file
#password hashes in /etc/passwd
#cron jobs
ls -la /etc/cron.daily/
#unmounted file systems and additional drives
lsblk
#SETUID and SETGID permissions
#writable directories
find / -path /proc -prune -o -type d -perm -o+w 2>/dev/null
#writable files
find / -path /proc -prune -o -type f -perm -o+w 2>/dev/null
0xCyberDev
یه note خلاصه و کوتاه روی تاپیک Linux Privilege Escalation به مرور کامل تر میشه صرفا جهت رفرنس و هینت برای مطالعه فراتر # os version # kernel version # running services ps aux | grep root #installed packages and versions #logged in users ps au #user…
- helper noscripts : LinPEAS, LinEnum
- depending on the system and environment the commands could be slightly different, but as long as you get a solid understanding on what info you want and how you could obtain it you should be OK, in other words the principles are the same.
- basic commands :
- check current user’s PATH : if the PATH variable for a target user is misconfigured we may be able to leverage it to escalate privileges.
- We can also check out all environment variables that are set for our current user, we may get lucky and find something sensitive in there such as a password
-checking kernel version and looking for a kernel exploit that matches that version
-additional info about the cpu
-What login shells exist on the server?
-check for defenses
• Exec Shield
• iptables
• AppArmor
• SELinux
• Fail2ban
• Snort
• Uncomplicated Firewall (ufw)
-look for drives
-find information about printers attached to the system
-Can we find any types of credentials in fstab for mounted drives by grepping for common words such as password, username, credential, etc in /etc/fstab?
-check routing table
-in a domain environment check /etc/resolv.conf
-check arp table
-existing users
-it’s rare but we could find password hashes in the cat /etc/passwd more possible on on embedded devices and routers.
-first hash blocks of the password hash can help us to identify the used hashing algorithm: Salted MD5, SHA-256, SHA-512, BCrypt, Scryp, Argon2
-check all available shells for known vulnerabilities, for example the bash version 4.1 is vulnerable to shellshock exploit
-check for temporary files located in /tmp and /var/tmp
* all files and data stored in /var/tmp are deleted after 30 days and all data stored in /tmp is deleted after 10 days
- depending on the system and environment the commands could be slightly different, but as long as you get a solid understanding on what info you want and how you could obtain it you should be OK, in other words the principles are the same.
- basic commands :
whoami
id
ifconfig
ip a
sudo -l
cat /etc/os-release
- check current user’s PATH : if the PATH variable for a target user is misconfigured we may be able to leverage it to escalate privileges.
echo $PATH
- We can also check out all environment variables that are set for our current user, we may get lucky and find something sensitive in there such as a password
env
-checking kernel version and looking for a kernel exploit that matches that version
cat /proc/version
uname -a
-additional info about the cpu
lscpu
-What login shells exist on the server?
cat /etc/shells
-check for defenses
• Exec Shield
• iptables
• AppArmor
• SELinux
• Fail2ban
• Snort
• Uncomplicated Firewall (ufw)
-look for drives
lsblk
-find information about printers attached to the system
lpstat
-Can we find any types of credentials in fstab for mounted drives by grepping for common words such as password, username, credential, etc in /etc/fstab?
cat /etc/fstab
-check routing table
route
netstat -rn
-in a domain environment check /etc/resolv.conf
-check arp table
arp -a
-existing users
cat /etc/passwd
-it’s rare but we could find password hashes in the cat /etc/passwd more possible on on embedded devices and routers.
-first hash blocks of the password hash can help us to identify the used hashing algorithm: Salted MD5, SHA-256, SHA-512, BCrypt, Scryp, Argon2
-check all available shells for known vulnerabilities, for example the bash version 4.1 is vulnerable to shellshock exploit
-check for temporary files located in /tmp and /var/tmp
* all files and data stored in /var/tmp are deleted after 30 days and all data stored in /tmp is deleted after 10 days
ls -l /tmp /var/tmp /dev/shm
linux.die.net
iptables(8) - Linux man page
Iptables is used to set up, maintain, and inspect the tables of IP packet filter rules in the Linux kernel. Several different tables may be defined. Each ...
Forwarded from M. Hossein F.
اگه از n8n استفاده میکنید مراقب باشید و آپدیت کنید
یه cve جدیدا دراپ شده واسش
https://orca.security/resources/blog/cve-2025-68613-n8n-rce-vulnerability/
https://nvd.nist.gov/vuln/detail/CVE-2025-68613
یه cve جدیدا دراپ شده واسش
https://orca.security/resources/blog/cve-2025-68613-n8n-rce-vulnerability/
https://nvd.nist.gov/vuln/detail/CVE-2025-68613
Orca Security
Critical n8n RCE vulnerability enables full server compromise
A critical RCE in n8n (CVE-2025-68613) allows full server compromise via workflow expression injection. Affects versions 0.211.0+. Patch immediately.