Forwarded from P.F.K CTF
Media is too big
VIEW IN TELEGRAM
Practical Phishing Email Analysis | PhishTool & Any.Run | TryHackMe
تحلیل عملی ایمیل فیشینگ | PhishTool & Any.Run | TryHackMe را امتحان کنید
@PfkCtf
تحلیل عملی ایمیل فیشینگ | PhishTool & Any.Run | TryHackMe را امتحان کنید
@PfkCtf
👍1
🧰 HTTP Garden
مجموعه ای از سرورهای HTTP و پروکسی است که به گونه ای پیکربندی شده اند که می توان آنها را به راحتی ترکیب کرد + اسکریپت برای تعامل با آنها که جستجوی آسیب پذیری ها را بسیار ساده می کند.
برای نمایش جالب آسیبپذیریهایی که میتوان با استفاده از HTTP Garden کشف کرد، صحبت نویسندگان در ShmooCon 2024 را بررسی کنید.
#pentest #bugbounty #tools
@TryHackBox
مجموعه ای از سرورهای HTTP و پروکسی است که به گونه ای پیکربندی شده اند که می توان آنها را به راحتی ترکیب کرد + اسکریپت برای تعامل با آنها که جستجوی آسیب پذیری ها را بسیار ساده می کند.
برای نمایش جالب آسیبپذیریهایی که میتوان با استفاده از HTTP Garden کشف کرد، صحبت نویسندگان در ShmooCon 2024 را بررسی کنید.
#pentest #bugbounty #tools
@TryHackBox
🔍 php-static-analysis-tools
- مجموعه گسترده ای از ابزارها برای تجزیه و تحلیل استاتیک کدهای PHP.
در صورت امکان دسترسی به کد منبع برنامه تحت مطالعه یا تحقیق در مورد پروژه های منبع باز می توان از آن برای پیدا کردن باگ ها استفاده کرد.
👉 GitHub
#tools #security #research
@TryHackBox
- مجموعه گسترده ای از ابزارها برای تجزیه و تحلیل استاتیک کدهای PHP.
در صورت امکان دسترسی به کد منبع برنامه تحت مطالعه یا تحقیق در مورد پروژه های منبع باز می توان از آن برای پیدا کردن باگ ها استفاده کرد.
👉 GitHub
#tools #security #research
@TryHackBox
💡 یک نکته قدیمی اما عالی: هدرهای HTTP را برای بایپس کردن محدودیت های برنامه های وب تغییر دهید
🔝یک محقق 3000 دلار برای دور زدن محدودیت نرخ با افزودن دو هدر X-Forwarded-For دریافت کرد .
#tip #bugbounty
@TryHackBox
🔝یک محقق 3000 دلار برای دور زدن محدودیت نرخ با افزودن دو هدر X-Forwarded-For دریافت کرد .
#tip #bugbounty
@TryHackBox
👍3🔥1
😎 فکر می کنید چه آسیب پذیری هایی در کد داده شده وجود دارد و چگونه می توان از آنها سوء استفاده کرد؟👇
@TryHackBox
@TryHackBox
Attacking AWS
مخزن با مواردوابزارهای مختلف امنیت اطلاعات میتوانیداطلاعات مفیدی برای هر سلیقه و رنگی پیداکنید:
• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.
#aws
@TryHackBox
مخزن با مواردوابزارهای مختلف امنیت اطلاعات میتوانیداطلاعات مفیدی برای هر سلیقه و رنگی پیداکنید:
• Insufficient Security Configuration;
• Insecure Data storage;
• Insecure Deployment and Configuration Management;
• Backdoor Lambda Function Through Resource-Based Policy;
• Overwrite Lambda Function Code;
• Create an IAM Roles Anywhere trust anchor;
• Exfiltrate RDS Snapshot by Sharing;
• Backdoor an S3 Bucket via its Bucket Policy;
• Exfiltrate an AMI by Sharing It;
• Exfiltrate EBS Snapshot by Sharing It;
• Execute Discovery Commands on an EC2 Instance;
• Download EC2 Instance User Data;
• Execute Commands on EC2 Instance via User Data;
• Noncompliant Code;
• Compliant Code;
• Retrieve EC2 Password Data;
• Noncompliant Code;
• Compliant Code;
• Insecure Deployment and Configuration Management;
• Local Filesystem;
• AWS Security Token;
• AWS Security Token Permission enumeration;
• ec2:CreateSnapshot and ec2:DescribeVolumes;
• Amazon Cognito;
• References.
#aws
@TryHackBox
👍2
دنبال یه ارز دیجیتال بی دردسر برای خرید فروشی
میخوای خیلی راحد به درامد برسی و بدون دردسر ماین کنی؟
خب دیر نشده میتونی از ارز پایین استفاده کنی فقط با کلیک کردن به درامد میلیونی برسی
بزن رو این متن و ربات رو استارت بزن
میخوای خیلی راحد به درامد برسی و بدون دردسر ماین کنی؟
خب دیر نشده میتونی از ارز پایین استفاده کنی فقط با کلیک کردن به درامد میلیونی برسی
بزن رو این متن و ربات رو استارت بزن
Telegram
Notcoin
Probably nothing @notcoin
👎14
💻 بیش از 90 نکته برای کار با PostgreSQL.
• فهرستی از نکات عملی برای کار با PostgreSQL از یک متخصص با 20 سال تجربه. خوب، اگر به هر یک از موضوعات علاقه مند هستید، مطالب اضافی در مورد هشتگ ها را فراموش نکنید.
➡️ https://gitlab.com/postgres-ai/postgresql-consulting/postgres-howtos/
#PostgreSQL
@TryHackBox
• فهرستی از نکات عملی برای کار با PostgreSQL از یک متخصص با 20 سال تجربه. خوب، اگر به هر یک از موضوعات علاقه مند هستید، مطالب اضافی در مورد هشتگ ها را فراموش نکنید.
➡️ https://gitlab.com/postgres-ai/postgresql-consulting/postgres-howtos/
#PostgreSQL
@TryHackBox
GitLab
PostgresAI / PostgreSQL Consulting / postgres-howtos · GitLab
Postgres HowTo articles
👍2
🤔 آیا تا به حال با یک زیر دامنه در یکی از اهداف خود مواجه شده اید که پاسخ HTTP را با کد 401/403 برگرداند؟
3 ابزار برتر برای دور زدن صفحات با کدهای خطای 401 و 403 را پیدا کنید:
1️⃣ Bypass-url-parser
یک fuzzer است که انواع بررسی ها را انجام می دهد و سعی می کند صفحات محافظت شده با کد وضعیت 40X را دور بزند.
2️⃣ Nomore403
- یک ابزار Go که راهحلهای متعددی دارد، از جمله ارسال هدرها و روشهای HTTP برای دسترسی به صفحات محافظتشده.
3️⃣ BypassFuzzer
- یک ابزار پایتون که همه انواع بررسیها را انجام میدهد تا با ارسال انواع مختلف درخواستهای HTTP، هدرها و موارد دیگر، صفحات وب کد خطای 401/403 را دور بزند.
#tools #pentest #bugbounty
@TryHackBox
3 ابزار برتر برای دور زدن صفحات با کدهای خطای 401 و 403 را پیدا کنید:
1️⃣ Bypass-url-parser
یک fuzzer است که انواع بررسی ها را انجام می دهد و سعی می کند صفحات محافظت شده با کد وضعیت 40X را دور بزند.
2️⃣ Nomore403
- یک ابزار Go که راهحلهای متعددی دارد، از جمله ارسال هدرها و روشهای HTTP برای دسترسی به صفحات محافظتشده.
3️⃣ BypassFuzzer
- یک ابزار پایتون که همه انواع بررسیها را انجام میدهد تا با ارسال انواع مختلف درخواستهای HTTP، هدرها و موارد دیگر، صفحات وب کد خطای 401/403 را دور بزند.
#tools #pentest #bugbounty
@TryHackBox
GitHub
GitHub - laluka/bypass-url-parser: bypass-url-parser
bypass-url-parser. Contribute to laluka/bypass-url-parser development by creating an account on GitHub.
👎2👍1
😎 شما XSS را پیدا کردید، اما alert ، confirm ، prompt و print توسط WAF مسدود شده است.
💬 برای تایید تصویری XSS از چه چیزی استفاده می کنید؟
@TryHackBox
💬 برای تایید تصویری XSS از چه چیزی استفاده می کنید؟
@TryHackBox
🚀 باز کردن قدرت شناسایی DNS با dnsX v1.2.0
تمام اطلاعات DNS مورد نیاز برای دامنه یا لیست زیر دامنه های خود را با استفاده از گزینه new
👉 GitHub
#tools #recon
@TryHackBox
تمام اطلاعات DNS مورد نیاز برای دامنه یا لیست زیر دامنه های خود را با استفاده از گزینه new
-recon بازیابی کنید.👉 GitHub
#tools #recon
@TryHackBox
👍1
🤔 نفوذگران باتجربه احتمالاً با موقعیتی مواجه شده اند که در آن با یک گره آسیب پذیر در محیط روبرو می شوید که به وضوح از دیگران متمایز است.
🤦♂️ و اکنون با خوشحالی در حال اجرا برای نوشتن یک گزارش هستید، اما... این می تواند یک گره ویژه برای جمع آوری اطلاعات در مورد فعالیت های هکرها باشد.
🍯 هانی پات یک سیستم یا شبکه جعلی است که افراد را فریب می دهد تا به آن حمله کنند و به طور همزمان اطلاعاتی در مورد آن جمع آوری می کنند.
📌 هانی پات می تواند شبیه هر دارایی دیجیتالی از جمله نرم افزار، سرور، پایگاه داده یا درگاه پرداخت باشد. هدف هانی پات ها متوقف کردن مستقیم حملات نیست، بلکه برای مطالعه آنها و بهبود استراتژی امنیتی است.
#basics #security #Honeypot
@TryHackBox
🤦♂️ و اکنون با خوشحالی در حال اجرا برای نوشتن یک گزارش هستید، اما... این می تواند یک گره ویژه برای جمع آوری اطلاعات در مورد فعالیت های هکرها باشد.
🍯 هانی پات یک سیستم یا شبکه جعلی است که افراد را فریب می دهد تا به آن حمله کنند و به طور همزمان اطلاعاتی در مورد آن جمع آوری می کنند.
📌 هانی پات می تواند شبیه هر دارایی دیجیتالی از جمله نرم افزار، سرور، پایگاه داده یا درگاه پرداخت باشد. هدف هانی پات ها متوقف کردن مستقیم حملات نیست، بلکه برای مطالعه آنها و بهبود استراتژی امنیتی است.
#basics #security #Honeypot
@TryHackBox
👍1
احتمالاً اغلب در مورد مدل های زبان بزرگ (LLM) می شنوید. در حالی که این موضوع در سر و صدای زیاد است، یادگیری به موقع برای جستجو و بهره برداری از آسیب پذیری های برنامه های کاربردی وب ساخته شده بر اساس LLM مهم است. یک آزمایشگاه جدید از PortSwigger در این امر به شما کمک می کند
😎 آکادمی امنیت وب
#practice #pentest
@TryHackBox
😎 آکادمی امنیت وب
#practice #pentest
@TryHackBox
⚙️ 100 پروژه منبع باز برتر در زمینه امنیت سایبری.
• رتبه بندی مفید و ضروری 100 ابزار منبع باز محبوب برای متخصصان و نفوذگران
:
https://opensourcesecurityindex.io
• در یک جدول مناسب می توانید پیوند پروژه، تعداد ستاره ها، توضیح مختصری از ابزار، نویسنده، تعداد فورک ها و سایر اطلاعات مفید را بیابید.
#Tools
@TryHackBox
• رتبه بندی مفید و ضروری 100 ابزار منبع باز محبوب برای متخصصان و نفوذگران
:
https://opensourcesecurityindex.io
• در یک جدول مناسب می توانید پیوند پروژه، تعداد ستاره ها، توضیح مختصری از ابزار، نویسنده، تعداد فورک ها و سایر اطلاعات مفید را بیابید.
#Tools
@TryHackBox
opensourcesecurityindex.io
Open Source Security Index
The Most Popular & Fastest Growing Open Source Security Projects on GitHub
👍3
👩💻 Docker Security.
• راهنمای جامع برای راه اندازی ایمن Docker. این مطالب مربوط به سال 2024 است و حاوی حجم عظیمی از اطلاعات است. برای مبتدیان و متخصصان با تجربه مفید خواهد بود.
• Prerequisites;
• Secure configuration;
• Docker Host;
- Working Environment;
- Configuration audit;
- Lynis;
- Docker Bench for Security;
• Docker Daemon;
- Access control to Docker Daemon;
- Securing docker.sock;
- Granting and revoking permissions;
- Avoiding privileged mode;
- Access to devices;
- Blocking the ability to “granting” (acquiring) permissions;
- Privilege escalation and Linux namespaces;
- Rootless mode;
- Container communication (container isolation);
- Read-only mode;
- Resource utilization control;
- Connecting to a remote Docker Daemon;
- Event logging;
• Containers Security;
- Selecting the Right Image;
- Docker Content Trust (DCT);
- Using your own images;
- Docker build and URL;
- “latest” tag;
- USER command;
- Force UID;
- .dockerignore;
• Automatic images scanning;
- Trivy;
- Docker Scout;
• AppArmor;
• Seccomp;
• SELinux;
• The final piece of the puzzle – application security;
• Docker Desktop Security;
• Updating Software;
• Additional sources of knowledge – where to find information about; vulnerabilities;
• History of Changes.
#Docker #Security
@TryHackBox
• راهنمای جامع برای راه اندازی ایمن Docker. این مطالب مربوط به سال 2024 است و حاوی حجم عظیمی از اطلاعات است. برای مبتدیان و متخصصان با تجربه مفید خواهد بود.
• Prerequisites;
• Secure configuration;
• Docker Host;
- Working Environment;
- Configuration audit;
- Lynis;
- Docker Bench for Security;
• Docker Daemon;
- Access control to Docker Daemon;
- Securing docker.sock;
- Granting and revoking permissions;
- Avoiding privileged mode;
- Access to devices;
- Blocking the ability to “granting” (acquiring) permissions;
- Privilege escalation and Linux namespaces;
- Rootless mode;
- Container communication (container isolation);
- Read-only mode;
- Resource utilization control;
- Connecting to a remote Docker Daemon;
- Event logging;
• Containers Security;
- Selecting the Right Image;
- Docker Content Trust (DCT);
- Using your own images;
- Docker build and URL;
- “latest” tag;
- USER command;
- Force UID;
- .dockerignore;
• Automatic images scanning;
- Trivy;
- Docker Scout;
• AppArmor;
• Seccomp;
• SELinux;
• The final piece of the puzzle – application security;
• Docker Desktop Security;
• Updating Software;
• Additional sources of knowledge – where to find information about; vulnerabilities;
• History of Changes.
#Docker #Security
@TryHackBox
🔥1
• اولین هارد 5 مگابایتی 68 سال پیش اینگونه بود. بلند کردن آن بدون لیفتراک غیرممکن بود:
• این دیسک توسط IBM در سپتامبر 1956 منتشر شد. این سخت افزار برای اولین کامپیوتر "SUPER" با هارد دیسک 305 RAMAC در نظر گرفته شده بود.
• وزن این سیستم حدود یک تن بود که به نظر می رسد 0.2 گرم در هر بایت (یا 5 کیلوبایت در هر کیلوگرم) است و از 50 دیسک با قطر 24 اینچ (610 میلی متر) تشکیل شده است. هر دیسک به ترتیب 100 کیلوبایت است. و سرعت چرخش درام 1200 دور در دقیقه است.
@TryHackBox
• این دیسک توسط IBM در سپتامبر 1956 منتشر شد. این سخت افزار برای اولین کامپیوتر "SUPER" با هارد دیسک 305 RAMAC در نظر گرفته شده بود.
• وزن این سیستم حدود یک تن بود که به نظر می رسد 0.2 گرم در هر بایت (یا 5 کیلوبایت در هر کیلوگرم) است و از 50 دیسک با قطر 24 اینچ (610 میلی متر) تشکیل شده است. هر دیسک به ترتیب 100 کیلوبایت است. و سرعت چرخش درام 1200 دور در دقیقه است.
@TryHackBox
👍3
🌐 پل های جدید Tor WebTunnel ترافیک HTTPS را شبیه سازی می کنند.
• پروژه Tor راه اندازی یک ویژگی جدید را اعلام کرد - پل های WebTunnel، که بر روی یک پراکسی HTTPT مقاوم در برابر تشخیص کار می کند و به ترافیک Tor اجازه می دهد تا بهتر با ترافیک HTTPS معمولی ترکیب شود.
• به عنوان یادآوری، پلهای Tor رلههایی هستند که در فهرست عمومی Tor فهرست نشدهاند و اجازه میدهند اتصالات کاربر پنهان شوند. از آنجایی که روشهایی برای شناسایی و مسدود کردن چنین اتصالاتی برای مدتی طولانی پیدا شده است (مثلاً در چین )، Tor همچنین از پلهای obfsproxy استفاده میکند که لایه دیگری از مبهم را اضافه میکند.
• به گفته توسعه دهندگان، پل های WebTunnel برای شبیه سازی ترافیک رمزگذاری شده (HTTPS) طراحی شده اند و بر اساس HTTPT هستند. آنها بار اتصال را در یک اتصال HTTPS مانند WebSocket قرار می دهند که شبیه یک HTTPS معمولی (WebSocket) است. یعنی برای یک ناظر خارجی، این یک اتصال HTTP معمولی است که در آن کاربر به سادگی در حال مرور وب است.
• خاطرنشان می شود که آزمایش WebTunnel در تابستان 2023 آغاز شد. در حال حاضر تقریباً 60 پل WebTunnel در سراسر جهان فعال هستند و تقریباً 700 کاربر فعال روزانه از پل های جدید در چندین پلت فرم استفاده می کنند. با این حال، WebTunnel در حال حاضر در همه مناطق کار نمی کند و آدرس های پل را باید به صورت دستی بدست آورید، که آنها قصد دارند در آینده بهبود یابند.
#tor
@TryHackBox
• پروژه Tor راه اندازی یک ویژگی جدید را اعلام کرد - پل های WebTunnel، که بر روی یک پراکسی HTTPT مقاوم در برابر تشخیص کار می کند و به ترافیک Tor اجازه می دهد تا بهتر با ترافیک HTTPS معمولی ترکیب شود.
• به عنوان یادآوری، پلهای Tor رلههایی هستند که در فهرست عمومی Tor فهرست نشدهاند و اجازه میدهند اتصالات کاربر پنهان شوند. از آنجایی که روشهایی برای شناسایی و مسدود کردن چنین اتصالاتی برای مدتی طولانی پیدا شده است (مثلاً در چین )، Tor همچنین از پلهای obfsproxy استفاده میکند که لایه دیگری از مبهم را اضافه میکند.
• به گفته توسعه دهندگان، پل های WebTunnel برای شبیه سازی ترافیک رمزگذاری شده (HTTPS) طراحی شده اند و بر اساس HTTPT هستند. آنها بار اتصال را در یک اتصال HTTPS مانند WebSocket قرار می دهند که شبیه یک HTTPS معمولی (WebSocket) است. یعنی برای یک ناظر خارجی، این یک اتصال HTTP معمولی است که در آن کاربر به سادگی در حال مرور وب است.
• خاطرنشان می شود که آزمایش WebTunnel در تابستان 2023 آغاز شد. در حال حاضر تقریباً 60 پل WebTunnel در سراسر جهان فعال هستند و تقریباً 700 کاربر فعال روزانه از پل های جدید در چندین پلت فرم استفاده می کنند. با این حال، WebTunnel در حال حاضر در همه مناطق کار نمی کند و آدرس های پل را باید به صورت دستی بدست آورید، که آنها قصد دارند در آینده بهبود یابند.
#tor
@TryHackBox
blog.torproject.org
Hiding in plain sight: Introducing WebTunnel | Tor Project
We're celebrating the World Day Against Cyber Censorship by officially announcing WebTunnel, a new type of Tor bridge designed to assist users in heavily censored regions to connect to the Tor network. Available now in the stable version of Tor Browser.
👍7🔥1
👨💻 Instant Workstation.
• یکی از سروسس های متعدد برای راه اندازی سیستم عامل به طور مستقیم در مرورگر. Linux، BSD، Haiku، Redox، TempleOS و Quantix برای استفاده در دسترس هستند.
➡️ https://instantworkstation.com/virtual-machines
@TryHackBox
• یکی از سروسس های متعدد برای راه اندازی سیستم عامل به طور مستقیم در مرورگر. Linux، BSD، Haiku، Redox، TempleOS و Quantix برای استفاده در دسترس هستند.
➡️ https://instantworkstation.com/virtual-machines
@TryHackBox
👍2
یک اکسپلویت هسته برای Pixel7/8 Pro با اندروید 14
https://github.com/0x36/Pixel_GPU_Exploit
@TryHackBox
https://github.com/0x36/Pixel_GPU_Exploit
@TryHackBox
GitHub
GitHub - 0x36/Pixel_GPU_Exploit: Android 14 kernel exploit for Pixel7/8 Pro
Android 14 kernel exploit for Pixel7/8 Pro. Contribute to 0x36/Pixel_GPU_Exploit development by creating an account on GitHub.
👍2