Forwarded from HackMeLocal
🕹 مینیچالش روی وردپرس!
همیشه لازم نیست از راه سخت دسترسی بگیریم!
بیشتر حملههایی که صورت میگیره از یک دسترسی ساده شروع میشه که به خاطر یک اشتباه کوچیک اطلاعات اون دسترسی لو رفته. ( شب دارکی شد ... )
برای نشون دادن اهمیت این چالش طراحی شده ( لازم بگم با تغییرات جزئی مثل همین باگ روی یک پلتفرم باگ بانتی گزارش شده که بعد از کشف حتما داخل کانال توضیح میدیم ):
ما بروزترین نسخه وردپرس نصب کردیم، سپس یک WAF سر راه اون قرار دادیم اما در یک اقدامی عجیب بدون حتی یک خطا یک هکر وارد وبسایت ما شد.
⚠️ این حمله تقریبا چند دقیقه بعد از اینکه اولین ویدیو داخل وبسایت آپلود شد صورت گرفت نکته عجیب اینکه ما حتی این ویدیو را در پستهایمان استفاده نکردیم !!
🔗آدرس وبسایت ما:
https://wp1.hackmelocal.com
#BugBounty #Wordpress #Vulnrability #CTF #HackMeLocal #InformationLeak
@HackMeLocal
همیشه لازم نیست از راه سخت دسترسی بگیریم!
بیشتر حملههایی که صورت میگیره از یک دسترسی ساده شروع میشه که به خاطر یک اشتباه کوچیک اطلاعات اون دسترسی لو رفته. ( شب دارکی شد ... )
برای نشون دادن اهمیت این چالش طراحی شده ( لازم بگم با تغییرات جزئی مثل همین باگ روی یک پلتفرم باگ بانتی گزارش شده که بعد از کشف حتما داخل کانال توضیح میدیم ):
ما بروزترین نسخه وردپرس نصب کردیم، سپس یک WAF سر راه اون قرار دادیم اما در یک اقدامی عجیب بدون حتی یک خطا یک هکر وارد وبسایت ما شد.
⚠️ این حمله تقریبا چند دقیقه بعد از اینکه اولین ویدیو داخل وبسایت آپلود شد صورت گرفت نکته عجیب اینکه ما حتی این ویدیو را در پستهایمان استفاده نکردیم !!
🔗آدرس وبسایت ما:
https://wp1.hackmelocal.com
#BugBounty #Wordpress #Vulnrability #CTF #HackMeLocal #InformationLeak
@HackMeLocal
❤3
🔹 یه گروه هکری به اسم Nimbus Manticore که میگن به ایران وصله، شروع کرده به زدن شرکتهای اروپایی (دفاعی، مخابراتی، هوافضا).
🔹 با ایمیلهای فیشینگ (مثلاً آگهی استخدام جعلی) آدمارو گول میزنن، بعد بدافزار میریزن.
🔹 دو تا ابزار اصلی دارن:
MiniJunk → بکدور برای کنترل سیستم قربانی
MiniBrowse → دزدی اطلاعات کاربری/مرورگر
🔹 برای مخفی شدن هم از کد پیچیده و گواهی دیجیتال جعلی استفاده میکنن.
ابزارهای اصلیای که به کار میبرن:
• MiniJunk — یک backdoor پنهان که به هکرها اجازه میده کنترل دستگاه قربانی رو بگیرن، فایل آپلود یا دانلود کنن و کارای دیگه
• MiniBrowse — یه ابزار سبک برای دزدی اطلاعات کاربری (مثل اطلاعاتی که توی مرورگرها ذخیره شده)
برای پنهان شدن بیشتر، از روشهای «ابهامزایی» (obfuscation) استفاده میکنن؛ یعنی کدها رو طوری مینویسن که تحلیلش برامون سخت باشه. همچنین از گواهیهای دیجیتال جعلشده استفاده شده برای اینکه بدافزار دیده نشه یا مشکوک نباشه.
این گروه قبلاً هم تحت نام UNC1549 شناسایی شده بوده و ارتباطاتی با سپاه پاسداران انقلاب اسلامی ایران داره.
⭐️ @ZeroSec_team
🔹 با ایمیلهای فیشینگ (مثلاً آگهی استخدام جعلی) آدمارو گول میزنن، بعد بدافزار میریزن.
🔹 دو تا ابزار اصلی دارن:
MiniJunk → بکدور برای کنترل سیستم قربانی
MiniBrowse → دزدی اطلاعات کاربری/مرورگر
🔹 برای مخفی شدن هم از کد پیچیده و گواهی دیجیتال جعلی استفاده میکنن.
ابزارهای اصلیای که به کار میبرن:
• MiniJunk — یک backdoor پنهان که به هکرها اجازه میده کنترل دستگاه قربانی رو بگیرن، فایل آپلود یا دانلود کنن و کارای دیگه
• MiniBrowse — یه ابزار سبک برای دزدی اطلاعات کاربری (مثل اطلاعاتی که توی مرورگرها ذخیره شده)
برای پنهان شدن بیشتر، از روشهای «ابهامزایی» (obfuscation) استفاده میکنن؛ یعنی کدها رو طوری مینویسن که تحلیلش برامون سخت باشه. همچنین از گواهیهای دیجیتال جعلشده استفاده شده برای اینکه بدافزار دیده نشه یا مشکوک نباشه.
این گروه قبلاً هم تحت نام UNC1549 شناسایی شده بوده و ارتباطاتی با سپاه پاسداران انقلاب اسلامی ایران داره.
⭐️ @ZeroSec_team
🔥6❤3
یه باگ خیلی خفن تو Red Hat OpenShift AI پیدا شده، اسمش هم CVE-2025-10725
داستانش اینه که یکی از رولها (ClusterRoleBinding) خیلی باز تنظیم شده بوده، یعنی هرکی لاگین کنه (هر کاربر سادهی اوپنشیفت) میتونه بره خودشو قاطی مدیرای کل سیستم (cluster-admin) کنه! 😳
یعنی تو عمل:
یکی اگه یه یوزر عادی هم داشته باشه، میتونه با یه سری درخواست API کارای خطرناک بکنه → پاد بسازه، جاب بزنه، بعدش یواش یواش کنترل کل کلاستر رو بگیره.
📌 نکات مهم:
امتیاز CVSS: ۹.۹ → فوقالعاده بحرانی.
شرط لازم: باید قبلاً لاگین کرده باشی (یه یوزر یا توکن لو رفته باشه).
نتیجه: اگه اکسپلویت بشه، دیگه فاتحهی کل سیستم AI و دیتاهایی که روشه خوندهست.
✅ راهحل:
سریع آپدیت کنی (پچ جدید داده شده).
اون رول اشتباه (kueue-batch-user-role روی گروه system:authenticated) رو حذف کنی.
مجوز ساخت job/pod فقط دست کاربرای قابل اعتماد باشه.
لاگها رو چک کنی که کسی مشکوک دستکاری نکرده باشه.
⭐️ @ZeroSec_team
داستانش اینه که یکی از رولها (ClusterRoleBinding) خیلی باز تنظیم شده بوده، یعنی هرکی لاگین کنه (هر کاربر سادهی اوپنشیفت) میتونه بره خودشو قاطی مدیرای کل سیستم (cluster-admin) کنه! 😳
یعنی تو عمل:
یکی اگه یه یوزر عادی هم داشته باشه، میتونه با یه سری درخواست API کارای خطرناک بکنه → پاد بسازه، جاب بزنه، بعدش یواش یواش کنترل کل کلاستر رو بگیره.
📌 نکات مهم:
امتیاز CVSS: ۹.۹ → فوقالعاده بحرانی.
شرط لازم: باید قبلاً لاگین کرده باشی (یه یوزر یا توکن لو رفته باشه).
نتیجه: اگه اکسپلویت بشه، دیگه فاتحهی کل سیستم AI و دیتاهایی که روشه خوندهست.
✅ راهحل:
سریع آپدیت کنی (پچ جدید داده شده).
اون رول اشتباه (kueue-batch-user-role روی گروه system:authenticated) رو حذف کنی.
مجوز ساخت job/pod فقط دست کاربرای قابل اعتماد باشه.
لاگها رو چک کنی که کسی مشکوک دستکاری نکرده باشه.
⭐️ @ZeroSec_team
🔥8❤1
#exploit
#AppSec
1⃣ Dell UnityVSA Pre-Auth Command Injection (CVE-2025-36604)
https://labs.watchtowr.com/its-never-simple-until-it-is-dell-unityvsa-pre-auth-command-injection-cve-2025-36604
2⃣ Authentication Bypass in the Rest API via XSS on Safari and Chrome (iOS/iPhone)
https://bugcrowd.com/disclosures/d5f4aa80-77da-49bb-a259-afe23b6bfa0a/authentication-bypass-in-the-rest-api-via-xss-on-safari-and-chrome-ios-iphone-only
3⃣ Arbitrary Code Execution in Android Unity Runtime (CVE-2025-59489)
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime
// Atlassian Confluence AuthN Bypass in the API via XSS on iOS Safari and Chrome
4⃣ Abusing the NinjaShell API for Code Execution in Google Web Designer
https://sudistark.github.io/2025/09/23/RCE-in-web-designer.html
⭐️ @Zerosec_team
#AppSec
1⃣ Dell UnityVSA Pre-Auth Command Injection (CVE-2025-36604)
https://labs.watchtowr.com/its-never-simple-until-it-is-dell-unityvsa-pre-auth-command-injection-cve-2025-36604
2⃣ Authentication Bypass in the Rest API via XSS on Safari and Chrome (iOS/iPhone)
https://bugcrowd.com/disclosures/d5f4aa80-77da-49bb-a259-afe23b6bfa0a/authentication-bypass-in-the-rest-api-via-xss-on-safari-and-chrome-ios-iphone-only
3⃣ Arbitrary Code Execution in Android Unity Runtime (CVE-2025-59489)
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime
// Atlassian Confluence AuthN Bypass in the API via XSS on iOS Safari and Chrome
4⃣ Abusing the NinjaShell API for Code Execution in Google Web Designer
https://sudistark.github.io/2025/09/23/RCE-in-web-designer.html
⭐️ @Zerosec_team
watchTowr Labs
It's Never Simple Until It Is (Dell UnityVSA Pre-Auth Command Injection CVE-2025-36604)
Welcome back, and what a week! We’re glad that happened for you and/or sorry that happened to you. It will get better and/or worse, and you will likely survive.
Today, we’re walking down the garden path and digging into the archives, publishing our analysis…
Today, we’re walking down the garden path and digging into the archives, publishing our analysis…
❤3👍1
This media is not supported in your browser
VIEW IN TELEGRAM
اوراکل پچ اضطراری برای CVE-2025-61882
یک آسیبپذیری بحرانی در Oracle E-Business Suite که بدون احراز هویت امکان اجرای کد از راه دور را میداد، توسط گروه Cl0p سوءاستفاده شده بود. اوراکل پچ اضطراری منتشر کرده است.
Cyber Security Agency of Singapore
این آسیبپذیری دارای امتیاز CVSS = 9.8 گزارش شده است.
⭐️ @Zerosec_team
یک آسیبپذیری بحرانی در Oracle E-Business Suite که بدون احراز هویت امکان اجرای کد از راه دور را میداد، توسط گروه Cl0p سوءاستفاده شده بود. اوراکل پچ اضطراری منتشر کرده است.
Cyber Security Agency of Singapore
این آسیبپذیری دارای امتیاز CVSS = 9.8 گزارش شده است.
⭐️ @Zerosec_team
🔥4
چطور SOAR تیم امنیت رو از آشفتگی نجات میده؟
توی هر SOC، هشدارهای زیادی ایجاد میشه، هر لحظه یه تهدید، یه IP مشکوک، یه هش فایل ناشناس.
تحلیلگرها هم خسته میشن، خطا بالا میره، و زمان پاسخ دهی طولانی میشه.
اینجاست که SOAR وارد میشه
"یه مغز خودکار برای امنیت سایبری"
SOAR یعنی Orchestration، Automation و Response؛ یعنی هماهنگی، خودکارسازی و واکنش. SOAR با اتصال به صدها ابزار امنیتی، کارهایی مثل بررسی IP، بلاک آدرس، یا تریاژ ایمیل رو خودش انجام میده.
هر رویداد یه «container» میشه، هر اقدام یه «playbook». تصمیمگیری سریعتر، مستندسازی دقیقتر، و خطای انسانی کمتر.
در نتیجه:
تیم SOC از حالت واکنشی درمیاد و به حالت «پیشدستانه» میرسه.
و وقتی تهدیدی به وجود میاد، SOAR از قبل آمادست.
⭐️ @ZeroSec_team
توی هر SOC، هشدارهای زیادی ایجاد میشه، هر لحظه یه تهدید، یه IP مشکوک، یه هش فایل ناشناس.
تحلیلگرها هم خسته میشن، خطا بالا میره، و زمان پاسخ دهی طولانی میشه.
اینجاست که SOAR وارد میشه
"یه مغز خودکار برای امنیت سایبری"
SOAR یعنی Orchestration، Automation و Response؛ یعنی هماهنگی، خودکارسازی و واکنش. SOAR با اتصال به صدها ابزار امنیتی، کارهایی مثل بررسی IP، بلاک آدرس، یا تریاژ ایمیل رو خودش انجام میده.
هر رویداد یه «container» میشه، هر اقدام یه «playbook». تصمیمگیری سریعتر، مستندسازی دقیقتر، و خطای انسانی کمتر.
در نتیجه:
تیم SOC از حالت واکنشی درمیاد و به حالت «پیشدستانه» میرسه.
و وقتی تهدیدی به وجود میاد، SOAR از قبل آمادست.
⭐️ @ZeroSec_team
❤5
۱) واژهنامهٔ مختصر (اصطلاحات کلیدی)
IOC (Indicator of Compromise)
نشانه یا اثری که ثابت میکند نفوذ یا حملهای اتفاق افتاده (مثل IP مخرب، hash فایل، تغییر رجیستری).
TTPs (Tactics, Techniques, Procedures)
تاکتیکها، تکنیکها و رویههای یک عامل تهدید؛ یعنی روش کلی و گامهایی که مهاجم استفاده میکند.
Red Team / Blue Team / Purple Team
Red Team = تیم حملهکننده شبیهسازی تهدید؛ Blue Team = تیم دفاع (SOC، IR)؛ Purple = هماهنگسازی و یادگیری بین آنها.
SIEM (Security Information and Event Management)
ابزار/سیستم جمعآوری، نرمالسازی، ارتباطسنجی و هشداردهی از لاگها و رخدادها (برای شناسایی حمله).
DLP (Data Loss Prevention)
جلوگیری از خروج یا نشت دادههای حساس (مسدودسازی یا هشدار هنگام تلاش برای ارسال اطلاعات محرمانه).
EDR (Endpoint Detection and Response)
عامل (agent) روی endpointها که رفتار فرآیندها/فایلها/شبکه را مانیتور و هشدار و قابلیت واکنش فراهم میکند.
XDR (Extended Detection and Response)
توسعه EDR که دادهها را از endpoint، شبکه، ایمیل و ابری یکپارچه میکند.
IDS / IPS (Intrusion Detection/Prevention System)
IDS هشدار میدهد وقتی الگوی حمله دید؛ IPS میتواند ترافیک را مسدود کند.
NIDS / NIPS
نسخهٔ شبکهای IDS/IPS (حسگری که ترافیک شبکه را میبیند).
SOAR (Security Orchestration, Automation and Response)
اتوماسیون پاسخ حادثه و اجرای playbookها (مثلاً وقتی SIEM آلارم داد، مجموعهای از اقدامات خودکار اجرا شود).
UEBA (User and Entity Behavior Analytics)
تحلیل رفتار کاربران/ماشینها برای تشخیص آنومیالیها (مثلاً کاربری که ناگهان مقدار زیادی دیتا میخواند).
NetFlow / PCAP
NetFlow = خلاصهٔ جریانهای ترافیکی؛ PCAP = ضبط کامل بستهها برای تحلیل عمیق.
MFA (Multi-Factor Authentication)
احراز هویت چندعاملی (چیزی که میدانی + چیزی که داری یا بیومتریک).
Exfiltration
خروج دادهها از شبکه به بیرون (دزدیدن داده).
C2 / C&C (Command and Control)
سروری که مهاجم با آن کانال برقرار میکند تا کامند بفرستد و داده بگیرد.
OSINT (Open-Source Intelligence)
جمعآوری اطلاعات از منابع باز (وب، شبکههای اجتماعی، WHOIS و...) برای شناسایی هدف.
⭐️ @ZeroSec_team
IOC (Indicator of Compromise)
نشانه یا اثری که ثابت میکند نفوذ یا حملهای اتفاق افتاده (مثل IP مخرب، hash فایل، تغییر رجیستری).
TTPs (Tactics, Techniques, Procedures)
تاکتیکها، تکنیکها و رویههای یک عامل تهدید؛ یعنی روش کلی و گامهایی که مهاجم استفاده میکند.
Red Team / Blue Team / Purple Team
Red Team = تیم حملهکننده شبیهسازی تهدید؛ Blue Team = تیم دفاع (SOC، IR)؛ Purple = هماهنگسازی و یادگیری بین آنها.
SIEM (Security Information and Event Management)
ابزار/سیستم جمعآوری، نرمالسازی، ارتباطسنجی و هشداردهی از لاگها و رخدادها (برای شناسایی حمله).
DLP (Data Loss Prevention)
جلوگیری از خروج یا نشت دادههای حساس (مسدودسازی یا هشدار هنگام تلاش برای ارسال اطلاعات محرمانه).
EDR (Endpoint Detection and Response)
عامل (agent) روی endpointها که رفتار فرآیندها/فایلها/شبکه را مانیتور و هشدار و قابلیت واکنش فراهم میکند.
XDR (Extended Detection and Response)
توسعه EDR که دادهها را از endpoint، شبکه، ایمیل و ابری یکپارچه میکند.
IDS / IPS (Intrusion Detection/Prevention System)
IDS هشدار میدهد وقتی الگوی حمله دید؛ IPS میتواند ترافیک را مسدود کند.
NIDS / NIPS
نسخهٔ شبکهای IDS/IPS (حسگری که ترافیک شبکه را میبیند).
SOAR (Security Orchestration, Automation and Response)
اتوماسیون پاسخ حادثه و اجرای playbookها (مثلاً وقتی SIEM آلارم داد، مجموعهای از اقدامات خودکار اجرا شود).
UEBA (User and Entity Behavior Analytics)
تحلیل رفتار کاربران/ماشینها برای تشخیص آنومیالیها (مثلاً کاربری که ناگهان مقدار زیادی دیتا میخواند).
NetFlow / PCAP
NetFlow = خلاصهٔ جریانهای ترافیکی؛ PCAP = ضبط کامل بستهها برای تحلیل عمیق.
MFA (Multi-Factor Authentication)
احراز هویت چندعاملی (چیزی که میدانی + چیزی که داری یا بیومتریک).
Exfiltration
خروج دادهها از شبکه به بیرون (دزدیدن داده).
C2 / C&C (Command and Control)
سروری که مهاجم با آن کانال برقرار میکند تا کامند بفرستد و داده بگیرد.
OSINT (Open-Source Intelligence)
جمعآوری اطلاعات از منابع باز (وب، شبکههای اجتماعی، WHOIS و...) برای شناسایی هدف.
⭐️ @ZeroSec_team
❤3
۲) دستهبندی ابزارها / برنامهها و کاربردشان (دفاعی — تهاجمی)
هشدار: ابزارهای هک/رد تیم میتوانند دوبُعدی (dual-use) باشند — آموزش دربارهشان مجاز است، اما ارائهٔ دستورالعمل اجرایی برای نفوذ غیرقانونی مجاز نیست.
ابزارهای دفاعی (معمولاً در SOC استفاده میشوند)
Splunk (Enterprise Security) — SIEM تجاری و قوی، جستجو و داشبورد و correlation.
IBM QRadar — SIEM سازمانی با قابلیتهای تحلیلی قوی.
Microsoft Sentinel — SIEM ابری در اکوسیستم مایکروسافت.
Elastic Stack (ELK + Elastic SIEM) — ELK برای لاگ و تحلیل؛ نسخهٔ SIEM قابلسفارشیسازی.
ArcSight, AlienVault (OSSIM) — دیگر محصولات SIEM (برخی اوپنسورس).
CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint — EDRهای معروف.
Palo Alto Cortex XDR, VMware Carbon Black — XDR/EDR.
Snort / Suricata — NIDS اوپنسورس برای شناسایی الگوهای ترافیکی.
Tenable (Nessus), Qualys — اسکن آسیبپذیری.
Forcepoint / Symantec DLP / Microsoft Purview DLP — محصولات DLP.
SIEM + SOAR combos (مثلاً Splunk Phantom, Demisto) — اتوماسیون پاسخ حادثه.
ابزارها و مفاهیم مورد استفاده توسط Red Team (مثالی، بدون جزئیات سوءاستفاده)
Cobalt Strike — پلتفرم شبیهسازی حمله و C2 تجاری (ابزاری حرفهای که در محیطهای قانونی استفاده میشود اما گاهی مورد سوءاستفاده قرار میگیرد).
Metasploit Framework — فریمورک تست نفوذ و اثبات مفهوم (برای آزمایش و آموزشی).
Meterpreter (بخشی از Metasploit) — پوستهٔ تعاملی روی ماشین قربانی.
Mimikatz — ابزار استخراج credentialها از حافظه (ابزاری برای تست قدرت دفاعی؛ استفادهٔ غیرمجاز جرم است).
Empire, PowerShell Empire — فریمورک post-exploitation با محور PowerShell.
sqlmap — ابزار شناختهشده تست تزریق SQL (تذکر: فقط برای تست در محیط مجاز).
nmap — اسکنر پورت و کشف سرویسها.
Burp Suite — ابزار تست نفوذ وب (pro و community).
Responder — ابزاری برای سوءاستفاده از پروتکلهای نامگذاری شبکه محلی (testing/awareness).
BloodHound — تحلیل ساختار Active Directory و مسیرهای privilege escalation.
(تذکر: Red Team ها معمولاً ابزارها را بازکامپایل/پیکربندی میکنند تا IOCها را کنترل کنند.)
⭐️ @ZeroSec_team
هشدار: ابزارهای هک/رد تیم میتوانند دوبُعدی (dual-use) باشند — آموزش دربارهشان مجاز است، اما ارائهٔ دستورالعمل اجرایی برای نفوذ غیرقانونی مجاز نیست.
ابزارهای دفاعی (معمولاً در SOC استفاده میشوند)
Splunk (Enterprise Security) — SIEM تجاری و قوی، جستجو و داشبورد و correlation.
IBM QRadar — SIEM سازمانی با قابلیتهای تحلیلی قوی.
Microsoft Sentinel — SIEM ابری در اکوسیستم مایکروسافت.
Elastic Stack (ELK + Elastic SIEM) — ELK برای لاگ و تحلیل؛ نسخهٔ SIEM قابلسفارشیسازی.
ArcSight, AlienVault (OSSIM) — دیگر محصولات SIEM (برخی اوپنسورس).
CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint — EDRهای معروف.
Palo Alto Cortex XDR, VMware Carbon Black — XDR/EDR.
Snort / Suricata — NIDS اوپنسورس برای شناسایی الگوهای ترافیکی.
Tenable (Nessus), Qualys — اسکن آسیبپذیری.
Forcepoint / Symantec DLP / Microsoft Purview DLP — محصولات DLP.
SIEM + SOAR combos (مثلاً Splunk Phantom, Demisto) — اتوماسیون پاسخ حادثه.
ابزارها و مفاهیم مورد استفاده توسط Red Team (مثالی، بدون جزئیات سوءاستفاده)
Cobalt Strike — پلتفرم شبیهسازی حمله و C2 تجاری (ابزاری حرفهای که در محیطهای قانونی استفاده میشود اما گاهی مورد سوءاستفاده قرار میگیرد).
Metasploit Framework — فریمورک تست نفوذ و اثبات مفهوم (برای آزمایش و آموزشی).
Meterpreter (بخشی از Metasploit) — پوستهٔ تعاملی روی ماشین قربانی.
Mimikatz — ابزار استخراج credentialها از حافظه (ابزاری برای تست قدرت دفاعی؛ استفادهٔ غیرمجاز جرم است).
Empire, PowerShell Empire — فریمورک post-exploitation با محور PowerShell.
sqlmap — ابزار شناختهشده تست تزریق SQL (تذکر: فقط برای تست در محیط مجاز).
nmap — اسکنر پورت و کشف سرویسها.
Burp Suite — ابزار تست نفوذ وب (pro و community).
Responder — ابزاری برای سوءاستفاده از پروتکلهای نامگذاری شبکه محلی (testing/awareness).
BloodHound — تحلیل ساختار Active Directory و مسیرهای privilege escalation.
(تذکر: Red Team ها معمولاً ابزارها را بازکامپایل/پیکربندی میکنند تا IOCها را کنترل کنند.)
⭐️ @ZeroSec_team
❤3
۳) دادهها و منابع لاگ مهم که SIEM و تیم دفاعی ازشون استفاده میکنن
Authentication logs (AD/LDAP/Windows Event)
Endpoint logs (EDR)
Firewall logs
Proxy / Web gateway logs
DNS logs (دامنههای مشکوک)
NetFlow / Network flow
Database logs (reads/writes غیرعادی)
Application logs (اپلیکیشنهای کلیدی، APIها)
Cloud provider logs (CloudTrail، Azure Monitor، GCP logs)
Email logs (SMTP/Exchange/Office365)
۴) معیارها و اصطلاحات سنجش عملکرد (KPIs برای SOC)
MTTD (Mean Time To Detect) — میانگین زمان تا شناسایی حمله.
MTTR (Mean Time To Respond/Recover) — زمان میانگین پاسخ یا بازیابی.
Coverage % — درصد داراییها که مانیتور میشوند.
False Positive Rate / False Negative Rate — خطاهای تشخیصی.
Dwell Time — مدت زمانی که مهاجم قبل از شناسایی در شبکه حضور داشته.
⭐️ @ZeroSec_team
Authentication logs (AD/LDAP/Windows Event)
Endpoint logs (EDR)
Firewall logs
Proxy / Web gateway logs
DNS logs (دامنههای مشکوک)
NetFlow / Network flow
Database logs (reads/writes غیرعادی)
Application logs (اپلیکیشنهای کلیدی، APIها)
Cloud provider logs (CloudTrail، Azure Monitor، GCP logs)
Email logs (SMTP/Exchange/Office365)
۴) معیارها و اصطلاحات سنجش عملکرد (KPIs برای SOC)
MTTD (Mean Time To Detect) — میانگین زمان تا شناسایی حمله.
MTTR (Mean Time To Respond/Recover) — زمان میانگین پاسخ یا بازیابی.
Coverage % — درصد داراییها که مانیتور میشوند.
False Positive Rate / False Negative Rate — خطاهای تشخیصی.
Dwell Time — مدت زمانی که مهاجم قبل از شناسایی در شبکه حضور داشته.
⭐️ @ZeroSec_team
تکنیک های injection خودتون رو بیایید بگید یه چیزیم یاد بگیریم 🤨
(shellcode + process) وب نه
(shellcode + process) وب نه
3👍10👎2🔥1
RadvanSec
تکنیک های injection خودتون رو بیایید بگید یه چیزیم یاد بگیریم 🤨 (shellcode + process) وب نه
ممنون از عزیزی که استارز زد❤️
❤10
تکینک هاتون همه قدیمی بود به وقتش یدونه ناب رو خودم میزارم براتون 👍
👍5❤1👎1🔥1
Forwarded from Mandegar SEC🎩
OWASP Top 10 LLM Vulnerabilities & Security Checklist
اگر با LLM سروکار دارید حتما این چک لیستو بخونید مخصوص پنتسترها و طراحان وب.
اینجا نکته های OWASP برای مدلها و سرویسهای مبتنی بر LLM جمع شده: prompt injection، data leakage، poisoning، unsafe deserialization، access control اشتباه و چیزای دیگه
چرا اینروز ها خیلی مهم شده؟
LLM ها نه فقط باگ نرمافزاری اند؛ اشتباه در طراحی یا پیکربندی میتونه باعث نشت داده ها یا اجرای رفتارهای ناخواسته بشه
و اثرش در production میتونه خیلی بد باشه.
@mandegar_sec | security researcher 🍸
اگر با LLM سروکار دارید حتما این چک لیستو بخونید مخصوص پنتسترها و طراحان وب.
اینجا نکته های OWASP برای مدلها و سرویسهای مبتنی بر LLM جمع شده: prompt injection، data leakage، poisoning، unsafe deserialization، access control اشتباه و چیزای دیگه
چرا اینروز ها خیلی مهم شده؟
LLM ها نه فقط باگ نرمافزاری اند؛ اشتباه در طراحی یا پیکربندی میتونه باعث نشت داده ها یا اجرای رفتارهای ناخواسته بشه
و اثرش در production میتونه خیلی بد باشه.
@mandegar_sec | security researcher 🍸
❤9
The payload contains '|/???/\b**\h,' which is meant to confuse WAF rules. Unusual characters are a common evasion tactic.
#infosec #bugbountytips #cybersec
⭐️ @ZeroSec_team
#infosec #bugbountytips #cybersec
⭐️ @ZeroSec_team
❤9
Forwarded from H1gh l4nd3r
ida-pro_92_x64win.exe
505.5 MB
IDA Pro 9.2 Beta 2 Windows
source: http://xjepeflts2qwhqb77bw5vj6xguve56rpyeoxibztd7t7fehxxowt5fad.onion/9.2/, https://bbs.kanxue.com/thread-287796.htm, https://www.52pojie.cn/thread-2049414-1-1.html
VT: https://www.virustotal.com/gui/file/894fca47a5f0f9f7a0790013073dbaf38a50540ae9c336533f3ebb5a0bf27280/details (signed by Hex-Rays)
same keygen
source: http://xjepeflts2qwhqb77bw5vj6xguve56rpyeoxibztd7t7fehxxowt5fad.onion/9.2/, https://bbs.kanxue.com/thread-287796.htm, https://www.52pojie.cn/thread-2049414-1-1.html
$ sha256sum *
894fca47a5f0f9f7a0790013073dbaf38a50540ae9c336533f3ebb5a0bf27280 ida-pro_92_x64win.exe
VT: https://www.virustotal.com/gui/file/894fca47a5f0f9f7a0790013073dbaf38a50540ae9c336533f3ebb5a0bf27280/details (signed by Hex-Rays)
same keygen
❤2
❤3
هک شدن شرکت QHR
2025-06-26
هک شدن شرکت QHR
بعد از اطلاعات شغلی و محل کار، نوبت به شرکت QHR رسید.
دادههای افشا شده = ۴۰۳ گیگابایت
PoC فاش شد
لینک دانلود :
http://vmjfieomxhnfjba57sd6jjws2ogvowjgxhhfglsikqvvrnrajbmpxqqd.onion/?p=397
⭐️ @ZeroSec_team
2025-06-26
هک شدن شرکت QHR
بعد از اطلاعات شغلی و محل کار، نوبت به شرکت QHR رسید.
دادههای افشا شده = ۴۰۳ گیگابایت
PoC فاش شد
لینک دانلود :
http://vmjfieomxhnfjba57sd6jjws2ogvowjgxhhfglsikqvvrnrajbmpxqqd.onion/?p=397
⭐️ @ZeroSec_team
🔥2