⭕ قسمت دوم زیرو تاک

🔶️ مهندس پویان زمانی، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد. 

🔶️ از کجا شروع کردید؟ آیا هنوز علاقه‌مند به حوزه امنیت هستید؟
🔶️ امنیت چیست؟
🔶️ توضیح معماری دفاع در عمق
🔶️ نقش‌های امنیت‌سایبری بر اساس لایه‌های معماری دفاع در عمق
🔶️ تعریف SOC
🔶️ تاثیر هوش مصنوعی در SOC
🔶️ در نهایت سوالاتی از جانب شرکت‌کنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.

🎤 راهبر گفتگوی امنیتی : حسین نائیجی

@RadioZeroPod
@TryHackBox

لینک گروه
https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

🎣 Evilginx3 Phishlets

•  شاید قبلاً اسم ابزار Evilginx رو شنیده باشید این یک reverse proxy (پروکسی معکوس) است که ارتباط بین کاربر و یک وب‌سایت هدف را از طریق خودش رد می‌کند و به شما امکان می‌دهد نام کاربری، رمز عبور و توکن‌های سشن را سرقت کنید. با استفاده از این فریم‌ورک حتی می‌توانید احراز هویت دو مرحله‌ای (2FA) را هم دور بزنید.

•  در Evilginx از چیزی به نام fishlet (فیشلت) استفاده می‌شود. فیشلت‌ها فایل‌های تنظیماتی هستند که رفتار اصلی Evilginx را تعیین می‌کنند. درون این فایل‌ها مشخص می‌کنید که چگونه وارد کردن نام کاربری و رمز عبور تشخیص داده شود، چه نوع کوکی‌های سشن وجود دارند و چطور آن‌ها را جمع‌آوری کنید تا حمله فیشینگ شما موفقیت‌آمیز باشد.

• خبر خوش اینکه تمامی این فیشلت‌ها را می‌توانید در یک ریپوزیتوری منظم پیدا کنید. لینک زیر:

https://github.com/simplerhacking/Evilginx3-Phishlets

در این ریپوزیتوری صفحات ورود (login) اصلی سرویس‌های بزرگ ابری مثل Google، AWS و Microsoft آماده شده است و همه‌چیز برای استفاده با Evilginx3 تنظیم شده است.

⚠️ نکته مهم: 
این مطالب فقط جنبه آموزشی و شناخت فنی دارند و صرفاً برای متخصصان امنیت اطلاعات و در محیط‌های کنترل‌شده تستی طراحی شده‌اند. 

استفاده غیرقانونی و سوء‌قصد به دیگران کاملاً غیراخلاقی و غیرمجاز است.

@TryHackBox

🎯 دوره آموزشی SEC504 مبتنی بر چالش

🔐 یادگیری استاندارد + تمرین عملی با چالش‌های واقعی امنیت سایبری

در این دوره ترکیبی و منحصربه‌فرد، هم سرفصل‌های استاندارد دوره SEC504 موسسه SANS را آموزش می‌بینید، و هم با ۱۰ چالش واقعی از پلتفرم Challenginno مهارت‌های عملی خود را تقویت می‌کنید.

✅ آموزش مفاهیم | ✅ تحلیل و Exploit آسیب‌پذیری‌ها | ✅ حل چالش و دریافت مدرک مهارتی

👨‍💻 مناسب برای:

علاقمندان به امنیت، تحلیلگران SOC، تیم‌های تست نفوذ، شرکت‌کنندگان قبلی CEH یا SEC504، و علاقمندان CTF

📚 سرفصل‌ها:
Recon – Scanning – Exploitation – Password Attacks – Post-Exploitation – Incident Handling

🎁 ویژگی‌های دوره:

✅ ۶ جلسه آموزش با محتوای رسمی SEC504
✅ حل کامل ۱۰ چالش واقعی + Write-up
✅ دسترسی ۳ ماهه به پلتفرم Challenginno
✅ مدرک مهارتی در صورت موفقیت در چالش نهایی
✅ وبینارهای تخصصی

🗓 شروع دوره: جمعه ۲۰ تیرماه
⏰ زمان برگزاری: جمعه‌ها، ساعت ۹ تا ۱۴

📩 برای ثبت‌نام یا دریافت اطلاعات بیشتر به لینک زیر مراجعه نمایید:

🌐 https://evnd.co/TsRDb

اگر سوالی در خصوص دوره دارید با آی دی enitp در ارتباط باشید

🔥 به تحقیق در مورد امنیت وردپرس علاقه دارید؟

محقق امنیتی، آناندا داکال، روش خود را برای پیدا کردن تزریق SQL غیرمجاز در افزونه WooCommerce Wishlist وردپرس شرکت TI به اشتراک می‌گذارد.

https://patchstack.com/articles/unpatched-sql-injection-vulnerability-in-ti-woocommerce-wishlist-plugin/
#pentest #bugbounty #bestpractices
@TryHackBox

🔍 Merklemap
— یک موتور جستجوی جدید برای زیردامنه‌ها و گواهی‌های SSL/TLS. بهترین چیز وقتی که به شناسایی غیرفعال سریع نیاز دارید.

مثال:

=example.com, *ex*mple*, *.example.com

#tools #recon
@TryHackBox

🥷 دور زدن احراز هویت Ruby-SAML / GitLab (CVE-2024-45409)

چرا باید CVE های مختلف را مطالعه کنیم؟ حداقل برای گسترش افق دید شما در صنعت پیچیده ما و درک پیش‌نیازهای باگ‌ها. امروز، برای شما، یک آسیب‌پذیری حیاتی دیگر در GitLab را بررسی می‌کنیم که به شما امکان می‌دهد مکانیسم‌های احراز هویت SAML را دور بزنید و با استفاده از یک نقص در پردازش پاسخ SAML، به دسترسی غیرمجاز دست یابید.

🔶️ بخوانید

#CVE #writeup
@TryHackBox

⭕ دیگر کانال ها و شبکه های اجتماعی ما را دنبال کنید :

💠 کانال های تلگرام ما

🔶️ آموزش تست نفوذ و Red Team :
🆔 @TryHackBox

🔶️ رودمپ های مختلف :
🆔 @TryHackBoxOfficial

🔶️ داستان های هک :
🆔 @TryHackBoxStory

🔶️ آموزش برنامه نویسی :
🆔 @TryCodeBox

🔶️ رادیو زیروپاد ( پادکست ها ) :
🆔 @RadioZeroPod

➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
🔴 اینستاگرام :
🔗 http://www.instagram.com/TryHackBox

🔵 یوتیوب :
🔗 https://youtube.com/@tryhackbox

ما در مجموعه TryHackBox به دنبال مدرسین باانرژی و خلاق هستیم تا به تیم ما بپیوندند. اگر علاقه‌مند به تدریس و انتقال تجربه‌هاتون هستید، خوشحال می‌شیم رزومه‌تون رو برامون ارسال کنید یا با ما تماس بگیرید. 

ما منتظر دریافت رزومه‌های شما هستیم تا به تیم ما بپیوندید!

میتوانید رزومه خود را به ادرس های زیر ارسال کنید :
@ThbxSupport

Email : tryhackbox@gmail.com

#سوال
چگونه یک مهاجم می تواند از سرویس های آسیب پذیر برای دستیابی به دسترسی اولیه بهره برداری کند؟

لینک گروه
https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

تیرگان بر ایرانیان فرخنده باد.❤️

۱۰ تیر، روزی‌ست که در دل اساطیر ایران می‌درخشد؛
روزی که آرش کمانگیر، جان خویش را در تیر نهاد تا مرز ایران‌زمین را از فراز دماوند تا دوردست‌ها برساند.
تیرگان در تقویم ایران باستان، جشن آب، باران، تیر و پاکی‌ست. در این روز، ایرانیان به یاد آرش، برای باران دعا می‌کردند، در کوزه‌ها آب می‌ریختند، و با پاشیدن آب، دل‌ها را تازه می‌کردند.
جالب‌تر اینکه ابوریحان بیرونی این روز را «بزرگداشت نویسندگان» نیز دانسته؛ روزی برای پاسداشت اندیشه و واژه.
برخی روایت‌ها، تیرگان را در ۱۳ تیر دانسته‌اند، اما آن‌چه پابرجاست، خود یاد آرش و شکوه فرهنگ ایرانی‌ست

جشن تیرگان(جشن آب پاشان)
📖جشن تیرگان در تیر روز از تیرماه برابر با ۱۳ تیر در گاهشمار زرتشتی و ۱۰ تیر در گاهشمار جلالی برگزار می‌شود.
این جشن در گرامیداشت تیشتر(ستاره ی باران آور در فرهنگ ایرانی)است.
در روزشمارها تیرگان روز کمان‌ کشیدن آرش کمانگیر و پرتاب تیر از فراز البرز است.
همچنین جشن تیرگان به گفته ابوریحان بیرونی در آثارالباقیه، روز بزرگداشت جایگاه نویسندگان در ایران باستان بوده است.

@TryHackBox