⌨️ نمونه تک خطی برای تشخیص سریع XSS در فایل‌های PHP ....

https://www.instagram.com/p/C4kVmTGKWO9/?igsh=MzRlODBiNWFlZA==

#tips #bugbounty
@TryHackBox

💬 هدر Sec-WebSocket-Key برای چه مواردی استفاده می شود؟

key
هیچ ارتباطی با امنیت یا رمزگذاری ندارد. از آنجایی که سوکت‌های وب با استفاده از یک درخواست اولیه HTTP ایجاد می‌شوند، هدر Sec-WebSocket-Key توسط کلاینت برای بررسی اینکه آیا سرور از وب‌سوکت پشتیبانی می‌کند استفاده می‌شود.

اگر کلاینت نسخه هش شده صحیح کلید را از سرور دریافت نکند، به راه اندازی وب سوکت ادامه نمی دهد.

@TryHackBox

📦 مجموعه ای از سایت های آموزش تیم آبی.

• مجموعه کوچکی از منابع فعلی که در آن می توانید تجربه عملی و دانش لازم را برای متخصصان تیم آبی به دست آورید. مستقیم بریم سر اصل مطلب:

• codeby.games
- متخصص در امنیت تهاجمی، پلت فرم کاملا رایگان است.

• Dfir-Dirva
- مجموعه ای از مطالب رایگان و باز که شامل آزمایشگاه های آموزشی و کارهای کامل برای آماده سازی تیم آبی می باشد.

• Malware-Traffic-Analysis.net
منبعی است که خود را به عنوان مخزن وظایف و آزمون های تجزیه و تحلیل ترافیک قرار می دهد.

• Cybrary
بستری برای تمرین عملی تیم آبی است. با اشتراک رایگان، دسترسی کامل به ماشین‌های مجازی با پیکربندی‌های مختلف (اسکنر آسیب‌پذیری، SIEM، TIP و غیره) را فراهم می‌کند که تمرین در شرایط واقعی را بدون نیاز به پیکربندی اولیه ابزارهای امنیت اطلاعات ممکن می‌سازد.

• Letsdefend
یک پلت فرم آموزشی با هزاران مطالب آموزشی، دوره ها و آزمایشگاه های موجود است. تمام محتوا مطابق با ماتریس MITER ATT&CR نمایش داده می شود.

• CyberDefender
یک پلت فرم آموزشی جامع تیم آبی است. شما می توانید به صورت رایگان کارهای مختلفی را در زمینه بررسی حادثه (بایگانی با گزارش ها ارائه شده است) و پزشکی8 قانونی شبکه (ترافیک در pcap) انجام دهید. وظایفی برای تجزیه و تحلیل حوادث در ویندوز، لینوکس و اندروید وجود دارد.

• TryHackMe
- نیازی به معرفی ندارد. ارزش توجه به این مطالب را دارد: SOC Level 1 ، SOC Level 2 و Security Engineer.
@PfkCTF
@TryHackBox

یک خط ساده برای یافتن تزریق SQL : نکته ای برای هکر اخلاقی ....

https://www.instagram.com/p/C4m5AsRqMdL/?igsh=MzRlODBiNWFlZA==

@TryHackBox

🗺 🗺 نقشه راه DevOps 2024.

• یک نقشه راه DevOps جالب و به‌روز داشته باشید که شامل پیوندهای ضروری به موارد آموزشی برای هر مرحله از مسیر است.

➡️ https://github.com/milanm/DevOps-Roadmap

- GIT;
- Learn one programming language;
- Learn Linux & Scripting;
- Learn Networking & Security;
- Learn Server Management;
- Learn Containers;
- Learn Container Orchestration;
- Learn Infrastructure as a code;
- Learn CI/CD;
- Learn Monitoring & Observability;
- Learn one Cloud provider;
- Learn Software Engineering Practices;
- Additional resources;
- Tools;
- Books.

#DevOps
@TryHackBoxOfficial

Top Network Security Cheatsheet
@TryHackBox

📶 راهنمای تصویری برای SSH تونل و ارسال پورت.

• نمونه های تصویری ساخت تونل های SSH برای حل مشکلات مختلف: https://ittavern.com/visual-guide-to-ssh-tunneling-and-port-forwarding/

#SSH #security
@TryHackBox

🤔 چگونه پاسخ HTTP 403 را بایپس کنیم؟ اول، مهم است که برنامه وب را مطالعه کنید و بفهمید که چگونه می توان آن را به طور موثرتر فازی کرد. در مرحله دوم، پیلود و نقاط ورودی را درک کنید.

ادامه مطلب و ویدئو در :
https://www.instagram.com/reel/C4m6LeAKHIn/?igsh=MzRlODBiNWFlZA==

#pentest #bugbounty #gip
@TryHackBox

دعای تحویل سال ایرانی

گشت گرداگرد مهر تابناک ایران زمین
روز نو آمد و شد شادی برون زندر کمین
ای تو یزدان ای تو گرداننده مهر و سپهر
برترینش کن برایم این زمان و این زمین"

🌟نوروز باستانی پیشاپیش بر ملت بزرگ ایران و ایرانی تباران جهان خجسته باد 🌟

@TryHackBox

#نوروز باستانی شادباد


نیایش نوروز،  
                                       به فارسی


خدایا چنان کن که هر روز ما
همه سبز باشد چو نوروز ما

دل و دیده باشد ز مهر تو شاد
جهان نو شود، سال فرخنده باد

@TryHackBox

👨‍🏫 Security-101
یک دوره آموزشی رایگان در زمینه امنیت سایبری از مایکروسافت است.

📌 آنچه پس از تکمیل در انتظار شماست:

🛡️ مفاهیم اولیه امنیت سایبری
🌐 مفهوم اعتماد صفر و چرایی اهمیت آن در امنیت سایبری مدرن را درک کنید
🔑 یاد بگیرید که مفاهیم و موضوعات کلیدی در هویت، شبکه، زیرساخت و امنیت داده ها را درک کنید
🔧 دانش خود را در عمل و با آزمون ها تثبیت کنید

👉 GitHub

#learning #security
@TryHackBox

Practical Phishing Email Analysis | PhishTool & Any.Run | TryHackMe

 تحلیل عملی ایمیل فیشینگ | PhishTool & Any.Run | TryHackMe را امتحان کنید

@PfkCtf

🧰 HTTP Garden
مجموعه ای از سرورهای HTTP و پروکسی است که به گونه ای پیکربندی شده اند که می توان آنها را به راحتی ترکیب کرد + اسکریپت برای تعامل با آنها که جستجوی آسیب پذیری ها را بسیار ساده می کند.

برای نمایش جالب آسیب‌پذیری‌هایی که می‌توان با استفاده از HTTP Garden کشف کرد، صحبت نویسندگان در ShmooCon 2024 را بررسی کنید.

#pentest #bugbounty #tools
@TryHackBox

🔍 php-static-analysis-tools
- مجموعه گسترده ای از ابزارها برای تجزیه و تحلیل استاتیک کدهای PHP.

در صورت امکان دسترسی به کد منبع برنامه تحت مطالعه یا تحقیق در مورد پروژه های منبع باز می توان از آن برای پیدا کردن باگ ها استفاده کرد.

👉 GitHub

#tools #security #research
@TryHackBox

💡 یک نکته قدیمی اما عالی: هدرهای HTTP را برای بایپس کردن محدودیت های برنامه های وب تغییر دهید

🔝یک محقق 3000 دلار برای دور زدن محدودیت نرخ با افزودن دو هدر X-Forwarded-For دریافت کرد .

#tip #bugbounty
@TryHackBox

😎 فکر می کنید چه آسیب پذیری هایی در کد داده شده وجود دارد و چگونه می توان از آنها سوء استفاده کرد؟👇

@TryHackBox

Attacking AWS
مخزن با مواردوابزارهای مختلف امنیت اطلاعات میتوانیداطلاعات مفیدی برای هر سلیقه و رنگی پیداکنید:
• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.
#aws
@TryHackBox

دنبال یه ارز دیجیتال بی دردسر برای خرید فروشی

میخوای خیلی راحد به درامد برسی و بدون دردسر ماین کنی؟

خب دیر نشده میتونی از ارز پایین استفاده کنی فقط با کلیک کردن به درامد میلیونی برسی

بزن رو این متن و ربات رو استارت بزن

💻 بیش از 90 نکته برای کار با PostgreSQL.

• فهرستی از نکات عملی برای کار با PostgreSQL از یک متخصص با 20 سال تجربه. خوب، اگر به هر یک از موضوعات علاقه مند هستید، مطالب اضافی در مورد هشتگ ها را فراموش نکنید.

➡️ https://gitlab.com/postgres-ai/postgresql-consulting/postgres-howtos/

#PostgreSQL
@TryHackBox

🤔 آیا تا به حال با یک زیر دامنه در یکی از اهداف خود مواجه شده اید که پاسخ HTTP را با کد 401/403 برگرداند؟

3 ابزار برتر برای دور زدن صفحات با کدهای خطای 401 و 403 را پیدا کنید:

1️⃣ Bypass-url-parser
یک fuzzer است که انواع بررسی ها را انجام می دهد و سعی می کند صفحات محافظت شده با کد وضعیت 40X را دور بزند.
2️⃣ Nomore403
- یک ابزار Go که راه‌حل‌های متعددی دارد، از جمله ارسال هدرها و روش‌های HTTP برای دسترسی به صفحات محافظت‌شده.
3️⃣ BypassFuzzer
- یک ابزار پایتون که همه انواع بررسی‌ها را انجام می‌دهد تا با ارسال انواع مختلف درخواست‌های HTTP، هدرها و موارد دیگر، صفحات وب کد خطای 401/403 را دور بزند.

#tools #pentest #bugbounty
@TryHackBox

😎 شما XSS را پیدا کردید، اما alert ، confirm ، prompt و print توسط WAF مسدود شده است.

💬 برای تایید تصویری XSS از چه چیزی استفاده می کنید؟

@TryHackBox