5️⃣ راه های آسان برای هک یک برنامه وب با استفاده از GraphQL
اگر endoint مورد نظر را پیدا کرده اید (به عنوان مثال، /graphql )، ممکن است چندین گزینه برای exploitation بیشتر وجود داشته باشد:
🔷 Introspection query enabled
🔷 Introspection field suggestions
🔷 GET/POST based CSRF
🔷 Bypassing rate limits
🔷 Denial of service through batched queries
و بله، این یک لیست جامع نیست. این راهنما، در میان چیزهای دیگر، ابزارهایی را فهرست میکند که کار دستی را خودکار میکنند.
https://blog.intigriti.com/2024/05/31/five-easy-ways-to-hack-graphql-targets/
#pentest #bugbounty #guide
@TryHackBox
اگر endoint مورد نظر را پیدا کرده اید (به عنوان مثال، /graphql )، ممکن است چندین گزینه برای exploitation بیشتر وجود داشته باشد:
🔷 Introspection query enabled
🔷 Introspection field suggestions
🔷 GET/POST based CSRF
🔷 Bypassing rate limits
🔷 Denial of service through batched queries
و بله، این یک لیست جامع نیست. این راهنما، در میان چیزهای دیگر، ابزارهایی را فهرست میکند که کار دستی را خودکار میکنند.
https://blog.intigriti.com/2024/05/31/five-easy-ways-to-hack-graphql-targets/
#pentest #bugbounty #guide
@TryHackBox
👍1
MSA چیست ؟
توافقنامه سرویس اصلییا همون Master Service Agreement (MSA)
- MSA :
شامل مواردی است که بسیار گسترده تر از یک آزمایش واحد است. مثلا، یک سازمان در مورد شرایط پرداخت مشترک برای همه فروشندگان خارجی مذاکره می کند تا کار سازمان را آسان تر کند. این توافق شامل نکات کلیدی زیر است:
• مالکیت معنوی یا Intellectual Property (IP)
- اینکه چه کسی مالک گزارش خواهد بود؟ اگر مشتری مالک گزارش باشد، آیا این بدان معناست که اگر پنتسترها از یافتههای کلی استفاده مجدد کنند، حقوق کپیرایت را نقض کند یا نه. برای جلوگیری از این مشکل، بسیاری از آزمایشکنندگان مالکیت گزارش را برای خودشان حفظ میکنند و مجوز غیر قابل فسخ را برای گزارش ارائه میکنند.
• نکته مهم دیگر محدودیت مسئولیت در قبال خسارت یا اختلال است. اگر خسارت ناشی از شرایط غیر قابل پیش بینی باشد، آزمایش کنندگان مسئولیتی ندارند. هرگز نباید 100% uptime تضمین کنید، زیرا سیستم ها حتی در بهترین شرایط عملیاتی خراب می شوند.
#MSA
#قرارداد
@TryHackBox
توافقنامه سرویس اصلییا همون Master Service Agreement (MSA)
- MSA :
شامل مواردی است که بسیار گسترده تر از یک آزمایش واحد است. مثلا، یک سازمان در مورد شرایط پرداخت مشترک برای همه فروشندگان خارجی مذاکره می کند تا کار سازمان را آسان تر کند. این توافق شامل نکات کلیدی زیر است:
• مالکیت معنوی یا Intellectual Property (IP)
- اینکه چه کسی مالک گزارش خواهد بود؟ اگر مشتری مالک گزارش باشد، آیا این بدان معناست که اگر پنتسترها از یافتههای کلی استفاده مجدد کنند، حقوق کپیرایت را نقض کند یا نه. برای جلوگیری از این مشکل، بسیاری از آزمایشکنندگان مالکیت گزارش را برای خودشان حفظ میکنند و مجوز غیر قابل فسخ را برای گزارش ارائه میکنند.
• نکته مهم دیگر محدودیت مسئولیت در قبال خسارت یا اختلال است. اگر خسارت ناشی از شرایط غیر قابل پیش بینی باشد، آزمایش کنندگان مسئولیتی ندارند. هرگز نباید 100% uptime تضمین کنید، زیرا سیستم ها حتی در بهترین شرایط عملیاتی خراب می شوند.
#MSA
#قرارداد
@TryHackBox
👍4
دیسکورد ما راه اندازی شد اگرمایل بودید به ما بپیوندید :
https://discord.com/invite/jN2tApqN
https://discord.com/invite/jN2tApqN
Discord
Discord - Group Chat That’s All Fun & Games
Discord is great for playing games and chilling with friends, or even building a worldwide community. Customize your own space to talk, play, and hang out.
👍3👎3🔥1
عزیزانی که مسئول استخدام و رد کردن کارجویان هستند یک نکته بهتون بگم : به کارجویان نگید رد شده اید به آنها بگید شما انتخاب نشده اید . کلمات میتوانند عمیقا بر مردم تأثیر بگذارند .
روی حرفم با بچه های HR هست .
@TryHackBox
روی حرفم با بچه های HR هست .
@TryHackBox
👍38👎2👏1🎃1
Try Hack Box
#جلسه_اول دوره #رایگان Network + دوره Network چیست؟ دوره Network، به عنوان مقدماتیترین دوره در زمینه آموزش شبکه، به بررسی مفاهیم بنیادی و اساسی این حوزه میپردازد. اگر شما هم به دنبال ورود به یکی از حوزههای شبکه، به ویژه CyberSecurity هستید، این دوره…
#جلسه_دوم دوره #رایگان Network +
دوره Network چیست؟
دوره Network، به عنوان مقدماتیترین دوره در زمینه آموزش شبکه، به بررسی مفاهیم بنیادی و اساسی این حوزه میپردازد. اگر شما هم به دنبال ورود به یکی از حوزههای شبکه، به ویژه CyberSecurity هستید، این دوره میتواند اولین و بهترین قدم شما باشد. آموزش Network+ یک دوره کاربردی و جامع است که به شما بینش عمیقی نسبت به شبکه و لایههای مختلف آن ارائه میدهد.
با توجه به اهمیت روزافزون شبکههای کامپیوتری در دنیای امروز، هر فردی که قصد دارد وارد حوزه شبکه، امنیت شبکه یا تست نفوذ شود، باید با مفاهیم ابتدایی شبکه آشنا باشد. دوره Network+ نه تنها این مفاهیم را آموزش میدهد،بلکه تمام دانش و مهارتهای لازم برای راهاندازی و مدیریت یک شبکه را در اختیارتان قرار میدهد.
برای کسب اطلاعات بیشتر و مشاهده محتوای آموزشی جذاب این دوره، حتماً ویدئوی ما را در یوتیوب ببینید!
جلسه اول :
https://youtu.be/qewzpztXL-I
جلسه دوم :
https://youtu.be/yJWn1PkDJ_g
-------
🆔 @TryHackBox
------
دوره Network چیست؟
دوره Network، به عنوان مقدماتیترین دوره در زمینه آموزش شبکه، به بررسی مفاهیم بنیادی و اساسی این حوزه میپردازد. اگر شما هم به دنبال ورود به یکی از حوزههای شبکه، به ویژه CyberSecurity هستید، این دوره میتواند اولین و بهترین قدم شما باشد. آموزش Network+ یک دوره کاربردی و جامع است که به شما بینش عمیقی نسبت به شبکه و لایههای مختلف آن ارائه میدهد.
با توجه به اهمیت روزافزون شبکههای کامپیوتری در دنیای امروز، هر فردی که قصد دارد وارد حوزه شبکه، امنیت شبکه یا تست نفوذ شود، باید با مفاهیم ابتدایی شبکه آشنا باشد. دوره Network+ نه تنها این مفاهیم را آموزش میدهد،بلکه تمام دانش و مهارتهای لازم برای راهاندازی و مدیریت یک شبکه را در اختیارتان قرار میدهد.
برای کسب اطلاعات بیشتر و مشاهده محتوای آموزشی جذاب این دوره، حتماً ویدئوی ما را در یوتیوب ببینید!
جلسه اول :
https://youtu.be/qewzpztXL-I
جلسه دوم :
https://youtu.be/yJWn1PkDJ_g
انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیتتری ارائه بدیم، امیدواریم از آموزش لذت ببرید :)
-------
🆔 @TryHackBox
------
👍5🔥2
ما را دنبال کنید :
Roadmap :
@TryHackBoxOfficial
Story :
@TryHackBoxStory
Discord :
https://discord.com/invite/jN2tApqN
YouTube :
https://youtube.com/@tryhackbox
Instagram :
Https://instagram.com/tryhackbox
Roadmap :
@TryHackBoxOfficial
Story :
@TryHackBoxStory
Discord :
https://discord.com/invite/jN2tApqN
YouTube :
https://youtube.com/@tryhackbox
Instagram :
Https://instagram.com/tryhackbox
Discord
Discord - Group Chat That’s All Fun & Games
Discord is great for playing games and chilling with friends, or even building a worldwide community. Customize your own space to talk, play, and hang out.
👍2
🐙 Osmedeus
— یک موتور Go برای امنیت تهاجمی است. این ابزار برای ایجاد یک زیرساخت با قابلیتها و انعطافپذیری طراحی شده که به کاربران اجازه میدهد یک سیستم اطلاعاتی سفارشی ایجاد کرده و آن را روی تعداد زیادی از اهداف راهاندازی کنند.
👉 GitHub
#recon #pentest
@TryHackBox
— یک موتور Go برای امنیت تهاجمی است. این ابزار برای ایجاد یک زیرساخت با قابلیتها و انعطافپذیری طراحی شده که به کاربران اجازه میدهد یک سیستم اطلاعاتی سفارشی ایجاد کرده و آن را روی تعداد زیادی از اهداف راهاندازی کنند.
bash <(curl -fsSL https://raw.githubusercontent.com/osmedeus/osmedeus-base/master/install.sh)
👉 GitHub
#recon #pentest
@TryHackBox
👏2
💡 چرا بررسی دستی فایل package.json مهم است؟
🤑 گاهی اوقات آنها می توانند اعتبارنامه متن واضح را شامل شوند، مانند مثال زیر!
#tips #bugbounty
@TryHackBox
🤑 گاهی اوقات آنها می توانند اعتبارنامه متن واضح را شامل شوند، مانند مثال زیر!
#tips #bugbounty
@TryHackBox
👍1
Try Hack Box
#جلسه_دوم مینی دوره #رایگان دورهی Computer programming for beginners شامل چهار بخش است که بخش اول آن تحت عنوان "مینیدوره Linux command-line پارت دوم" منتشر شد. لینک پارت اول ؛ https://youtu.be/Qn1yBFi8-MQ لینک پارت دوم؛ https://youtu.be/HuN1OAfeGZk …
#جلسه_سوم مینی دوره #رایگان
دورهی Computer programming for beginners شامل چهار بخش است که بخش اول آن تحت عنوان "مینیدوره Linux command-line پارت سوم" منتشر شد.
لینک پارت اول ؛
https://youtu.be/Qn1yBFi8-MQ
لینک پارت دوم؛
https://youtu.be/HuN1OAfeGZk
لینک پارت سوم :
https://youtu.be/XryzhyJC9xA
----------
🆔 @TryHackBox
----------
دورهی Computer programming for beginners شامل چهار بخش است که بخش اول آن تحت عنوان "مینیدوره Linux command-line پارت سوم" منتشر شد.
لینک پارت اول ؛
https://youtu.be/Qn1yBFi8-MQ
لینک پارت دوم؛
https://youtu.be/HuN1OAfeGZk
لینک پارت سوم :
https://youtu.be/XryzhyJC9xA
انتقادی داشتید حتما اطلاع بدید، تا بتونیم آموزش با کیفیتتری ارائه بدیم، امیدواریم از آموزش لذت ببرید :)
----------
🆔 @TryHackBox
----------
🔥10👍5❤🔥1👏1
👩💻 یک خط برای پیدا کردن همه ی زیر دامنه های یک سایت تارگت و فهرست کردن هش های favicon.
مورد دوم را می توان همراه با Shodan برای پیدا کردن همه برنامه های کاربردی وب با استفاده از favicon یکسان استفاده کرد.
#bugbounty #tips #recon #tools
@TryHackBox
مورد دوم را می توان همراه با Shodan برای پیدا کردن همه برنامه های کاربردی وب با استفاده از favicon یکسان استفاده کرد.
subfinder -d canva.com | httpx -favicon -j | jq -r .favicon | grep -v null | sort -u
#bugbounty #tips #recon #tools
@TryHackBox
👍5🔥4
در مناسبت شب چله، یا همانطور که در دوره ساسانی به آن گفته میشد «زایش مِهر»، به یاد ایزد مِهر، که خود پیمان مقدس است، که تابش خورشیدی است که انسان را به فرّ و خورشید، به وسپار اورمزد، و تمامی مردمان خوب را به هم متصل میکند، باشد که خجسته باشی، چله مبارک!
@TryHackBox
@TryHackBox
❤4👍3👎2
Forwarded from TryHackBox
اینجا میدونید که بحث گذاشتن رودمپ های مختلف هست که شما شروع کنید ولی خب ممکنه در این بین از مسیر لذت نبرید یا به هر دلیل اهمال کاری کنید و موارد دیگه ، سعی میکنیم اینجا به شما کمک کنیم به هدفتون برسید و حوزه ای که دوست دارید رو یاد بگیرید ..
❤5👍1