Social Engineering and AI.pdf
1.3 MB
هوش مصنوعی و مهندسی اجتماعی
هوش مصنوعی در حال پیشبرد نوآوری و دگرگونی تمام صنایع است از بهداشت و درمان تا خردهفروشی و تولید.هوش مصنوعی به کسبوکارها در سراسر جهان توانایی عملکرد با کارایی و پیچیدگی بیشتر را میدهد. به همین ترتیب،هوش مصنوعی به مجرمان سایبری نیز قدرت میبخشد.
تکنیک کلاسیک مهندسی اجتماعی شامل روشهای فریبنده مانند جعل هویت یا دستکاری اعتماد برای استخراج اطلاعات شخصی و محرمانه از افراد تارگت است.با افزایش قدرت و دسترسی ابزارهای هوش مصنوعی، حملات مهندسی اجتماعی اکنون به طور قابل توجهی شخصیسازی شدهتر، مؤثرتر و مقیاسپذیرتر شدهاند. دفاع در برابر چنین حملاتی به ابزارهای پیچیدهتری نسبت به گذشته نیاز دارد.
در این مقاله،بررسی خواهیم کرد که چگونه هوش مصنوعی مهندسی اجتماعی را به سطح جدیدی ارتقا داده است.به طور خاص، به این خواهیم پرداخت که چگونه فناوریهای نوظهور مانند دیپفیکها، تکنیکهای مهندسی اجتماعی را تقویت کرده و پتانسیل تقلب را افزایش دادهاند. همچنین راهبردهای کاهش تهدید و ابزارهای موجود برای سازمانها را برای مقابله مؤثر با این چالش بررسی خواهیم کرد.
#مهندسی_اجتماعی
#AI #SE
@TryHackBox
هوش مصنوعی در حال پیشبرد نوآوری و دگرگونی تمام صنایع است از بهداشت و درمان تا خردهفروشی و تولید.هوش مصنوعی به کسبوکارها در سراسر جهان توانایی عملکرد با کارایی و پیچیدگی بیشتر را میدهد. به همین ترتیب،هوش مصنوعی به مجرمان سایبری نیز قدرت میبخشد.
تکنیک کلاسیک مهندسی اجتماعی شامل روشهای فریبنده مانند جعل هویت یا دستکاری اعتماد برای استخراج اطلاعات شخصی و محرمانه از افراد تارگت است.با افزایش قدرت و دسترسی ابزارهای هوش مصنوعی، حملات مهندسی اجتماعی اکنون به طور قابل توجهی شخصیسازی شدهتر، مؤثرتر و مقیاسپذیرتر شدهاند. دفاع در برابر چنین حملاتی به ابزارهای پیچیدهتری نسبت به گذشته نیاز دارد.
در این مقاله،بررسی خواهیم کرد که چگونه هوش مصنوعی مهندسی اجتماعی را به سطح جدیدی ارتقا داده است.به طور خاص، به این خواهیم پرداخت که چگونه فناوریهای نوظهور مانند دیپفیکها، تکنیکهای مهندسی اجتماعی را تقویت کرده و پتانسیل تقلب را افزایش دادهاند. همچنین راهبردهای کاهش تهدید و ابزارهای موجود برای سازمانها را برای مقابله مؤثر با این چالش بررسی خواهیم کرد.
#مهندسی_اجتماعی
#AI #SE
@TryHackBox
❤21
دوستان #سوال بهترین و بدترین تجربهتان با آکادمیها که آموزش دیدید چه بوده؟
اگر مایل نبودید توی کامنت ها بنویسید میتوانید در اکانت پشیبانی جواب بدید
@THBxSupport
برگزاری جلسه ویس چت : مهندس سهیل هاشمی
با سلام خدمت دوستان و همراهان عزیز،
در راستای ارتقای سطح دانش فنی و آشنایی بیشتر با مباحث امنیت سایبری، قصد داریم جلسهای تخصصی و آموزشی در خصوص اهمیت ردتیم ( Red Team ) در سازمان ها به صورت ویس چت برگزار کنیم.
🎙️ مهمان ویژه:
مهندس سهیل هاشمی – کارشناس Red Team
📅 زمان برگزاری: امشب
📍 پلتفرم: تلگرام (ویس چت)
🕗 ساعت : 20:30
💬 سوالات خود را درباره Red Team در کامنتهاارسال کنید تا در جلسه به آنها پرداخته شود.
🔔 نکته مهم:
جهت شرکت به موقع جلسه، حتماً کانال تلگرام را چک کنید تا از این جلسه جا نمونید .
@TryHackBox
با سلام خدمت دوستان و همراهان عزیز،
در راستای ارتقای سطح دانش فنی و آشنایی بیشتر با مباحث امنیت سایبری، قصد داریم جلسهای تخصصی و آموزشی در خصوص اهمیت ردتیم ( Red Team ) در سازمان ها به صورت ویس چت برگزار کنیم.
🎙️ مهمان ویژه:
مهندس سهیل هاشمی – کارشناس Red Team
📅 زمان برگزاری: امشب
📍 پلتفرم: تلگرام (ویس چت)
🕗 ساعت : 20:30
💬 سوالات خود را درباره Red Team در کامنتهاارسال کنید تا در جلسه به آنها پرداخته شود.
🔔 نکته مهم:
جهت شرکت به موقع جلسه، حتماً کانال تلگرام را چک کنید تا از این جلسه جا نمونید .
@TryHackBox
👍6🔥4
ماشینهای_هکر:_آینده_تست_نفوذ_با_هوش_مصنوعی.pdf
265.5 KB
ماژول 01 از اسلایدهای دوره CEHv13
بخش هوشمصنوعی
گردآورندگان : حسین نائیجی و کاوه
به زبان شیرین فارسی
#CEHv13 #AI
@TryHackBox
بخش هوشمصنوعی
گردآورندگان : حسین نائیجی و کاوه
به زبان شیرین فارسی
#CEHv13 #AI
@TryHackBox
❤8⚡1
مقدمه ای بر گوگل هکینگ.pdf
337.1 KB
🔍 مقدمه ای بر گوگل هکینگ
گوگل هکینگ (Google Hacking) یعنی استفاده از جستجوی پیشرفته گوگل برای پیدا کردن اطلاعات حساس، آسیبپذیریها یا اشتباهات امنیتی وبسایتها و سرورها، این کار معمولا با استفاده از ( دورک یا Google Dork ) انجام میشود . مثلا میتوان فایلهای مخفی، پسوردها، تنظیمات ناامن و حتی سورسکدها را داخل وب پیدا کرد یا نسخههای آسیبپذیر نرمافزارها را شناسایی کرد.
این تکنیک یکی از روشهای محبوب جمعآوری اطلاعات برای تست نفوذ، ردتیم و حتی هکرهاست.
#GoogleHacking
@TryHackBox
گوگل هکینگ (Google Hacking) یعنی استفاده از جستجوی پیشرفته گوگل برای پیدا کردن اطلاعات حساس، آسیبپذیریها یا اشتباهات امنیتی وبسایتها و سرورها، این کار معمولا با استفاده از ( دورک یا Google Dork ) انجام میشود . مثلا میتوان فایلهای مخفی، پسوردها، تنظیمات ناامن و حتی سورسکدها را داخل وب پیدا کرد یا نسخههای آسیبپذیر نرمافزارها را شناسایی کرد.
این تکنیک یکی از روشهای محبوب جمعآوری اطلاعات برای تست نفوذ، ردتیم و حتی هکرهاست.
ما را به دوستانتان معرفی کنید .
#GoogleHacking
@TryHackBox
👍9
جشن"امردادگان"
یکی از جشنهای دوازدگانهی سالیانه ایرانی در روزهایِ هم نام شدنِ روز و ماه است و برای گرامیداشتِ منش و کُنش و خویشکاری امُرداد یکی از فروزههایِ ششگانهِ خِرَد و دانشِ فرمانروا بر فرارَوَندِ هستی است.
امشاسپندِ جاودانگیِ امرداد همواره در کنار امشاسپندِ رساییِ خرداد، نگهبان آب و گیاه هستند.
ایرانیان در گذشته برای برگزاری این جشن به باغها و کشتزارها رفته و به شادی میپرداختهاند.
#جشن
@TryHackBox
یکی از جشنهای دوازدگانهی سالیانه ایرانی در روزهایِ هم نام شدنِ روز و ماه است و برای گرامیداشتِ منش و کُنش و خویشکاری امُرداد یکی از فروزههایِ ششگانهِ خِرَد و دانشِ فرمانروا بر فرارَوَندِ هستی است.
امشاسپندِ جاودانگیِ امرداد همواره در کنار امشاسپندِ رساییِ خرداد، نگهبان آب و گیاه هستند.
ایرانیان در گذشته برای برگزاری این جشن به باغها و کشتزارها رفته و به شادی میپرداختهاند.
#جشن
@TryHackBox
❤4🔥1
📚 کتابچه "Mimikatz: تسلط عملی بر تکنیکهای پیشرفته حملات Active Directory" از مقدماتی تا پیشرفته.
اگر در حوزه امنیت سایبری و تست نفوذ Active Directory فعالیت میکنید، این کتابچه ضروریترین منبعی است که میتوانید داشته باشید!
منبعی کامل برای تیمهای قرمز (Red Team)، شامل دستورات عملی، اسکریپتهای آماده، و تکنیکهای evasion است که مستقیماً در تستهای نفوذ استفاده میشوند.
همین حالا این کتاب تخصصی را به زبان فارسی بخوانید.
🔥 تخفیف به مناسبت جشن امردادگان
💰 قیمت اصلی: ۲۵۰,۰۰۰ تومان
💥با ۲۵ ٪ تخفیف : 188,000 تومان
⚠️ مهلت تخفیف: ندارد .
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
@TryHackBox
اگر در حوزه امنیت سایبری و تست نفوذ Active Directory فعالیت میکنید، این کتابچه ضروریترین منبعی است که میتوانید داشته باشید!
منبعی کامل برای تیمهای قرمز (Red Team)، شامل دستورات عملی، اسکریپتهای آماده، و تکنیکهای evasion است که مستقیماً در تستهای نفوذ استفاده میشوند.
همین حالا این کتاب تخصصی را به زبان فارسی بخوانید.
🔥 تخفیف به مناسبت جشن امردادگان
💰 قیمت اصلی: ۲۵۰,۰۰۰ تومان
💥
⚠️ مهلت تخفیف: ندارد .
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
@TryHackBox
❤5
قسمت سوم زیرو تاک
@RadioZeroPod | @TryHackBox
⭕ قسمت سوم زیرو تاک - بخش اول
🔶 مهندس سهیل هاشمی - با محوریت RedTeam
💢 پیشینه و مسیر حرفهای
💠 1. نقطه شروع علاقهمندی
🟠 از چه زمانی و تحت چه شرایطی به حوزه امنیت سایبری علاقهمند شدید؟
🟠 آیا هنوز هم همان سطح علاقه را نسبت به این حوزه دارید یا دیدگاهتان تغییر کرده است؟
💠 2. مسیر حرفهای و تجربیات مهم
🔴 مسیر ورودتان به دنیای امنیت سایبری و بهویژه ردتیمینگ چگونه شکل گرفت؟
🔴 چه مراحلی را طی کردید و با چه چالشهایی مواجه شدید؟
💠 3. درسی از مسیر گذشته
⚫️ اگر اکنون به ابتدای مسیر خود برگردید، چه کارهایی را انجام نمیدادید؟ و چه کارهایی را حتماً زودتر یا با تمرکز بیشتری انجام میدادید؟
🔶️ در نهایت سوالاتی از جانب شرکتکنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.
🎤 راهبر گفتگوی امنیتی : حسین نائیجی
#بخش_اول
@RadioZeroPod
@TryHackBox
🔶 مهندس سهیل هاشمی - با محوریت RedTeam
💢 پیشینه و مسیر حرفهای
💠 1. نقطه شروع علاقهمندی
🟠 از چه زمانی و تحت چه شرایطی به حوزه امنیت سایبری علاقهمند شدید؟
🟠 آیا هنوز هم همان سطح علاقه را نسبت به این حوزه دارید یا دیدگاهتان تغییر کرده است؟
💠 2. مسیر حرفهای و تجربیات مهم
🔴 مسیر ورودتان به دنیای امنیت سایبری و بهویژه ردتیمینگ چگونه شکل گرفت؟
🔴 چه مراحلی را طی کردید و با چه چالشهایی مواجه شدید؟
💠 3. درسی از مسیر گذشته
⚫️ اگر اکنون به ابتدای مسیر خود برگردید، چه کارهایی را انجام نمیدادید؟ و چه کارهایی را حتماً زودتر یا با تمرکز بیشتری انجام میدادید؟
🔶️ در نهایت سوالاتی از جانب شرکتکنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.
🎤 راهبر گفتگوی امنیتی : حسین نائیجی
#بخش_اول
@RadioZeroPod
@TryHackBox
❤11⚡1
قسمت سوم زیرو تاک
@RadioZeroPod | @TryHackBox
⭕ قسمت سوم زیرو تاک - بخش دوم
🔶 مهندس سهیل هاشمی - با محوریت RedTeam
💢 مفاهیم تخصصی ردتیم
🟠 4. تعریف ردتیم
🟠 5. مقایسه تیمهای امنیتی
🟠 6. ردتیم در مقابل تست نفوذ کلاسیک
💢 بخش سوم: عملیات ردتیم
🔴 7. مراحل اصلی عملیات ردتیمینگ
🔴 8. روایت واقعی از مهندسی اجتماعی
🔴 9. چالشهای سازمانی
🔴 10. شاخصهای موفقیت
💢 بخش چهارم: آینده و توسعه فردی
🟡 11. تأثیر هوش مصنوعی و یادگیری ماشین
🟡 12. رودمپ پیشنهادی برای شروع
🟡 13. آمادهسازی محیط آزمایشگاهی
🔶️ در نهایت سوالاتی از جانب شرکتکنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.
🎤 راهبر گفتگوی امنیتی : حسین نائیجی
#بخش_دوم #RedTeam
@RadioZeroPod
@TryHackBox
🔶 مهندس سهیل هاشمی - با محوریت RedTeam
💢 مفاهیم تخصصی ردتیم
🟠 4. تعریف ردتیم
🟠 5. مقایسه تیمهای امنیتی
🟠 6. ردتیم در مقابل تست نفوذ کلاسیک
💢 بخش سوم: عملیات ردتیم
🔴 7. مراحل اصلی عملیات ردتیمینگ
🔴 8. روایت واقعی از مهندسی اجتماعی
🔴 9. چالشهای سازمانی
🔴 10. شاخصهای موفقیت
💢 بخش چهارم: آینده و توسعه فردی
🟡 11. تأثیر هوش مصنوعی و یادگیری ماشین
🟡 12. رودمپ پیشنهادی برای شروع
🟡 13. آمادهسازی محیط آزمایشگاهی
🔶️ در نهایت سوالاتی از جانب شرکتکنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.
🎤 راهبر گفتگوی امنیتی : حسین نائیجی
#بخش_دوم #RedTeam
@RadioZeroPod
@TryHackBox
❤6👍4⚡1
What is Agentic AI.pdf
2.3 MB
مقاله Agentic Ai :
هوش مصنوعی راه زیادی رو از سیستمهای مبتنی بر قوانین که فقط طبق دستورالعمل عمل میکردند، طی کرده است. حالا با ظهور هوش مصنوعی عاملمحور (Agentic AI)، وارد دورانی شدیم که هوش مصنوعی خودش تصمیم میگیره، از محیطش یاد میگیره و بدون دخالت انسان دست به اقدام می زند. ادامه .....
@TryHackBox | @TryHackBoxOfficial
هوش مصنوعی راه زیادی رو از سیستمهای مبتنی بر قوانین که فقط طبق دستورالعمل عمل میکردند، طی کرده است. حالا با ظهور هوش مصنوعی عاملمحور (Agentic AI)، وارد دورانی شدیم که هوش مصنوعی خودش تصمیم میگیره، از محیطش یاد میگیره و بدون دخالت انسان دست به اقدام می زند. ادامه .....
@TryHackBox | @TryHackBoxOfficial
❤20
🚀 آموزش Proxies (پارت 6)
Tricky Things About Proxy Requests (A)
در ظاهر، پراکسی ساده است: ترافیک میفرستی، جواب میگیری.
اما پشت صحنه، درخواستها گاهی چنان پیچیده و مبهم میشوند که تحلیل دقیق آنها برای یک باگبانتیکار یا تحلیلگر امنیتی ضروری است.
در این پست، به 4 نکته کلیدی در این زمینه میپردازیم:
1️⃣ 🔁 تفاوت URI در درخواست کلاینت و درخواست پراکسی
وقتی مرورگر از پراکسی استفاده میکند، URI داخل درخواست ممکن است کاملتر یا متفاوت از حالت عادی باشد (مثل شامل شدن http:// کامل بهجای مسیر نسبی).
همچنین، پراکسی ممکن است URI را تغییر دهد یا بازنویسی کند (Rewriting) تا آن را با مسیر خود منطبق کند.
📌 این مورد گاهی باعث خطای تحلیل یا bypass شدن signature-based WAF میشود.
✍️نویسنده
@TryHackBox | The Chaos
#HTTP #Proxy #CyberSecurity
Tricky Things About Proxy Requests (A)
در ظاهر، پراکسی ساده است: ترافیک میفرستی، جواب میگیری.
اما پشت صحنه، درخواستها گاهی چنان پیچیده و مبهم میشوند که تحلیل دقیق آنها برای یک باگبانتیکار یا تحلیلگر امنیتی ضروری است.
در این پست، به 4 نکته کلیدی در این زمینه میپردازیم:
1️⃣ 🔁 تفاوت URI در درخواست کلاینت و درخواست پراکسی
وقتی مرورگر از پراکسی استفاده میکند، URI داخل درخواست ممکن است کاملتر یا متفاوت از حالت عادی باشد (مثل شامل شدن http:// کامل بهجای مسیر نسبی).
همچنین، پراکسی ممکن است URI را تغییر دهد یا بازنویسی کند (Rewriting) تا آن را با مسیر خود منطبق کند.
📌 این مورد گاهی باعث خطای تحلیل یا bypass شدن signature-based WAF میشود.
✍️نویسنده
@TryHackBox | The Chaos
#HTTP #Proxy #CyberSecurity
👍5👎2🙏1
Tricky Things About Proxy Requests(B)
2️⃣ 👀 نقش پراکسی معکوس و Intercepting Proxy در مبهمسازی زبان و مسیر درخواستها
پراکسیهایی مثل Intercepting Proxy (مثلاً در تجهیزات شبکه یا تست ابزارهایی مثل Burp Suite)، یا پراکسی معکوس (Reverse Proxy)، میتوانند:
هدرها را بازنویسی کنند
IP/Host اصلی را پنهان کنند
یا حتی زبان برنامهنویسی سمت سرور را برای کلاینت قابل تشخیص نکنند
✅ این موضوع برای باگبانتیکاران مهم است چون ممکن است فکر کنند با یک سرور واقعی روبهرو هستند، در حالی که پشت پرده یک لایه پراکسی همه چیز را فیلتر میکند.
3️⃣ ✏️ اصلاح هوشمندانه URI توسط مرورگرها یا افزونهها
برخی مرورگرها یا افزونههای آنها بهصورت خودکار تلاش میکنند URI ناقص یا اشتباه را "تصحیح" کنند.
مثلاً اگر آدرسی با /example داده شود، مرورگر ممکن است آن را به http://example.com/example تبدیل کند.
⚠️ در ترکیب با پراکسی، این رفتار میتواند باعث:
تغییر در مسیر اصلی درخواست
ایجاد حملات redirect/host header injection
بایپس برخی ruleهای WAF شود
4️⃣ 🌐 تأثیر زبان برنامهنویسی و دامنهها در عملکرد پراکسیها
برخی پراکسیها مسیرها را بسته به زبان سمت سرور یا پسوند فایلها متفاوت رفتار میدهند.
مثلاً مسیرهای php را differently rewrite میکنند یا cache policy برای js با json فرق دارد.
📌 دانستن این تفاوتها برای اجرای موفق حملات XSS/Path Traversal یا اجرای payloadهای خاص بسیار مهم است.
🎯 نتیجهگیری:
هر باگبانتیکار یا تحلیلگر امنیتی باید بداند:
«پراکسی فقط واسطه نیست، بلکه گاهی تصمیمگیرنده و تغییردهنده مسیر، ساختار و هویت درخواستهاست.»
✍️نویسنده
@TryHackBox | The Chaos
#HTTP #Proxy #CyberSecurity
2️⃣ 👀 نقش پراکسی معکوس و Intercepting Proxy در مبهمسازی زبان و مسیر درخواستها
پراکسیهایی مثل Intercepting Proxy (مثلاً در تجهیزات شبکه یا تست ابزارهایی مثل Burp Suite)، یا پراکسی معکوس (Reverse Proxy)، میتوانند:
هدرها را بازنویسی کنند
IP/Host اصلی را پنهان کنند
یا حتی زبان برنامهنویسی سمت سرور را برای کلاینت قابل تشخیص نکنند
✅ این موضوع برای باگبانتیکاران مهم است چون ممکن است فکر کنند با یک سرور واقعی روبهرو هستند، در حالی که پشت پرده یک لایه پراکسی همه چیز را فیلتر میکند.
3️⃣ ✏️ اصلاح هوشمندانه URI توسط مرورگرها یا افزونهها
برخی مرورگرها یا افزونههای آنها بهصورت خودکار تلاش میکنند URI ناقص یا اشتباه را "تصحیح" کنند.
مثلاً اگر آدرسی با /example داده شود، مرورگر ممکن است آن را به http://example.com/example تبدیل کند.
⚠️ در ترکیب با پراکسی، این رفتار میتواند باعث:
تغییر در مسیر اصلی درخواست
ایجاد حملات redirect/host header injection
بایپس برخی ruleهای WAF شود
4️⃣ 🌐 تأثیر زبان برنامهنویسی و دامنهها در عملکرد پراکسیها
برخی پراکسیها مسیرها را بسته به زبان سمت سرور یا پسوند فایلها متفاوت رفتار میدهند.
مثلاً مسیرهای php را differently rewrite میکنند یا cache policy برای js با json فرق دارد.
📌 دانستن این تفاوتها برای اجرای موفق حملات XSS/Path Traversal یا اجرای payloadهای خاص بسیار مهم است.
🎯 نتیجهگیری:
هر باگبانتیکار یا تحلیلگر امنیتی باید بداند:
«پراکسی فقط واسطه نیست، بلکه گاهی تصمیمگیرنده و تغییردهنده مسیر، ساختار و هویت درخواستهاست.»
✍️نویسنده
@TryHackBox | The Chaos
#HTTP #Proxy #CyberSecurity
👍5⚡1