دوستان نظراتتون درباره مقالات در کامنت ها بگید و اگر چیزی هم میدونید اضافه کنید ممنون
نحوه ساخت BadUsb# از یک درایو فلش معمولی
خواندن
دوستان نظراتتون درباره مقالات در کامنت ها بگید و اگر چیزی هم میدونید اضافه کنید .
#BadUSB
@TryHackBox
خواندن
دوستان نظراتتون درباره مقالات در کامنت ها بگید و اگر چیزی هم میدونید اضافه کنید .
#BadUSB
@TryHackBox
👍6
پست اول کانال
https://news.1rj.ru/str/TryHackBox/12
https://news.1rj.ru/str/TryHackBox/12
Telegram
Try Hack Box
چگونه و از کجا هک را شروع کنیم ؟قبلاً فیلم هکرهایی را تماشا کرده اید؟
اگر بله ، شرط می بندم که شما قربانی آن صحنه های هکرها شدید.
صحنه ای که هکر به سرعت در مقابل رایانه و یک ترمینال سیاه و متن های فونت سبز ظاهر می شود.
سپس پس از تایپ سریع در صفحه کلید…
اگر بله ، شرط می بندم که شما قربانی آن صحنه های هکرها شدید.
صحنه ای که هکر به سرعت در مقابل رایانه و یک ترمینال سیاه و متن های فونت سبز ظاهر می شود.
سپس پس از تایپ سریع در صفحه کلید…
گزارش بررسیهای نقض داده Verizon 2022 منتشر شد. ما مفتخریم که بار دیگر به عنوان یک کمک کننده در تلاش های داده امسال همکاری می کنیم و در 8 سال گذشته مشارکت داشته ایم. این گزارش تجزیه و تحلیل جالبی از حجم کامل داده های حوادث جهانی ارائه می دهد.
چندین چیز در گزارش 2022 برجسته است:
چالشهای باجافزار همچنان در حال افزایش هستند – «دوران اوج باجافزار ادامه دارد و تقریباً در ۷۰ درصد از موارد نقض بدافزار در سال جاری وجود دارد».
مهندسی اجتماعی در سال گذشته به یک مشکل بزرگ تبدیل شد و بر افزایش تاکتیکهای مکرر جرایم سایبری تأکید کرد - 1. «عنصر انسانی همچنان عامل اصلی 82 درصد نقضها است و این الگو درصد زیادی از این نقضها را به تصویر میکشد». 2. انگیزه های بازیگر: مالی (89%)، جاسوسی (11%).
فعالیت APT همچنان بالا است، در گذشته کمتر گزارش شده بود، و در حالی که احتمالا همچنان گزارش نشده است، گزارش آن در حال افزایش است: "از زمانی که ما در سال 2015 ردیابی آن را شروع کردیم، انگیزه مالی اصلی بوده است. با این حال، در همان سال افزایش یافت. هکتیویسم (به ویژه نشت) باعث بسیاری از حملات شد. حملات مربوط به جاسوسی حتی در رادار هم نبود، اما هفت سال بعد دنیا مکان بسیار متفاوتی است. جاسوسی برای سالها رتبه دوم را به خود اختصاص داده است و هکتیویسم در بیشتر موارد صرفاً یک فکر بعدی است. با این حال، قبل از اینکه به ادامه مطلب برویم، باید توجه داشت که در حالی که تقریباً به طور قطع جاسوسی در چند سال گذشته افزایش یافته است، این واقعیت که در سال 2015 اصلاً ظاهر نشد، کاملاً به دلیل مشارکت کنندگان ما و بار کلی پرونده در آن زمان بود. ”
نفوذهای سیستم به شدت در بالا توسط دو بردار وزن داده میشوند: «شریک» و «بهروزرسانی نرمافزار» به عنوان بردارهای پیشرو برای حوادث. این در درجه اول به یک حادثه امنیتی بسیار بزرگ و عمومی نسبت داده می شود که سال گذشته اتفاق افتاد. ما به شما اشاره ای می کنیم، با "PolarShins" هم قافیه است." این نقاط داده برای ما تحت بحث زنجیره تامین قرار می گیرند و ما همچنان شاهد این روند در سال جاری هستیم - "زنجیره تامین" به طور فعال به عنوان یک تاکتیک استقرار در سراسر جهان مورد هدف قرار گرفته و مورد سوء استفاده قرار می گیرد و ما انتظار داریم که ادامه یابد.
رهبران کسب و کار باید حتماً ضمیمه C - رفتار را بررسی کنند. این یک رویکرد جالب در تعیین کمیت موفقیت در برنامههای آموزشی دارد، «در سال 2021 گزارش دادیم که عنصر انسانی بر 85 درصد موارد نقض تأثیر گذاشته است که در سال جاری به 82 درصد کاهش یافت. متأسفانه، مدیریت دارایی قوی و یک اسکنر آسیبپذیری ستارهای نمیتوانند این مشکل را حل کنند.»
شاید سال آینده در مورد اینترنت اشیا و مسائل صنعتی بیشتر بخوانیم، خواهیم دید. در ضمن، از انتشار امسال لذت ببرید!
منبع :
https://securelist.com/the-verizon-2022-dbir/105844/
@TryHackBox
چندین چیز در گزارش 2022 برجسته است:
چالشهای باجافزار همچنان در حال افزایش هستند – «دوران اوج باجافزار ادامه دارد و تقریباً در ۷۰ درصد از موارد نقض بدافزار در سال جاری وجود دارد».
مهندسی اجتماعی در سال گذشته به یک مشکل بزرگ تبدیل شد و بر افزایش تاکتیکهای مکرر جرایم سایبری تأکید کرد - 1. «عنصر انسانی همچنان عامل اصلی 82 درصد نقضها است و این الگو درصد زیادی از این نقضها را به تصویر میکشد». 2. انگیزه های بازیگر: مالی (89%)، جاسوسی (11%).
فعالیت APT همچنان بالا است، در گذشته کمتر گزارش شده بود، و در حالی که احتمالا همچنان گزارش نشده است، گزارش آن در حال افزایش است: "از زمانی که ما در سال 2015 ردیابی آن را شروع کردیم، انگیزه مالی اصلی بوده است. با این حال، در همان سال افزایش یافت. هکتیویسم (به ویژه نشت) باعث بسیاری از حملات شد. حملات مربوط به جاسوسی حتی در رادار هم نبود، اما هفت سال بعد دنیا مکان بسیار متفاوتی است. جاسوسی برای سالها رتبه دوم را به خود اختصاص داده است و هکتیویسم در بیشتر موارد صرفاً یک فکر بعدی است. با این حال، قبل از اینکه به ادامه مطلب برویم، باید توجه داشت که در حالی که تقریباً به طور قطع جاسوسی در چند سال گذشته افزایش یافته است، این واقعیت که در سال 2015 اصلاً ظاهر نشد، کاملاً به دلیل مشارکت کنندگان ما و بار کلی پرونده در آن زمان بود. ”
نفوذهای سیستم به شدت در بالا توسط دو بردار وزن داده میشوند: «شریک» و «بهروزرسانی نرمافزار» به عنوان بردارهای پیشرو برای حوادث. این در درجه اول به یک حادثه امنیتی بسیار بزرگ و عمومی نسبت داده می شود که سال گذشته اتفاق افتاد. ما به شما اشاره ای می کنیم، با "PolarShins" هم قافیه است." این نقاط داده برای ما تحت بحث زنجیره تامین قرار می گیرند و ما همچنان شاهد این روند در سال جاری هستیم - "زنجیره تامین" به طور فعال به عنوان یک تاکتیک استقرار در سراسر جهان مورد هدف قرار گرفته و مورد سوء استفاده قرار می گیرد و ما انتظار داریم که ادامه یابد.
رهبران کسب و کار باید حتماً ضمیمه C - رفتار را بررسی کنند. این یک رویکرد جالب در تعیین کمیت موفقیت در برنامههای آموزشی دارد، «در سال 2021 گزارش دادیم که عنصر انسانی بر 85 درصد موارد نقض تأثیر گذاشته است که در سال جاری به 82 درصد کاهش یافت. متأسفانه، مدیریت دارایی قوی و یک اسکنر آسیبپذیری ستارهای نمیتوانند این مشکل را حل کنند.»
شاید سال آینده در مورد اینترنت اشیا و مسائل صنعتی بیشتر بخوانیم، خواهیم دید. در ضمن، از انتشار امسال لذت ببرید!
منبع :
https://securelist.com/the-verizon-2022-dbir/105844/
@TryHackBox
Verizon Business
The 2025 Data Breach Investigations Report (DBIR) from Verizon is here! Get the latest updates on real-world breaches and help safeguard your organization from cybersecurity attacks.
👍2
Forwarded from Try Hack Box (Sʜᴀʀᴋ Dᴀʀᴋ)
نگاهی به پست های قبل
RedTeam & BlueTeam
نکاتی که قبل از هکر شدن باید بخوانید!
معرفی و گرایش های تست نفوذ و امنیت
قبل از اینکه مسیر راه را انتخاب کنید کدام حوزه تست نفوذ یا امنیت !
نقشه راه تست نفوذ شبکه
نقشه راه تست نفوذ وب
نقشه راه تست نفوذ IoT
هکر کیست؟
انواع هکرها. ؟
مهندسی اجتماعی چیست ؟
مستند دیپ وب
اصطلاحات تست نفوذ و امنیت
ابزارهای تیم قرمز و تیم آبی
تکنیک های مهندسی اجتماعی
#نگاهی_به_پست_های_قبل
@TryHackBox
RedTeam & BlueTeam
نکاتی که قبل از هکر شدن باید بخوانید!
معرفی و گرایش های تست نفوذ و امنیت
قبل از اینکه مسیر راه را انتخاب کنید کدام حوزه تست نفوذ یا امنیت !
نقشه راه تست نفوذ شبکه
نقشه راه تست نفوذ وب
نقشه راه تست نفوذ IoT
هکر کیست؟
انواع هکرها. ؟
مهندسی اجتماعی چیست ؟
مستند دیپ وب
اصطلاحات تست نفوذ و امنیت
ابزارهای تیم قرمز و تیم آبی
تکنیک های مهندسی اجتماعی
#نگاهی_به_پست_های_قبل
@TryHackBox
🔥5
🔥7👎1
Bug Bounty چیست؟
یک هک قانونی است که شرکت ها بابت آن به شما پول می دهند. بسیاری از شرکتها از هکرها میخواهند که به دنبال آسیبپذیریها در سرویسها یا برنامههای خود بگردند و حاضرند برای آنها پاداش بپردازند.
البته اکثر آنها افسران ایمنی مخصوص به خود را روی کارکنان دارند و در مورد ایمنی محصولات نیز تحقیق می کنند. در عین حال، آنها فرصت های بسیار بیشتری دارند، زیرا همیشه می توانند به کد منبع نگاه کنند، با توسعه دهندگان مشورت کنند و مواردی از این قبیل. اما آنها همه آسیب پذیری ها را پیدا نمی کنند.
چرا؟ من فکر می کنم همه چیز به انگیزه است. اکثریت قریب به اتفاق متخصصان تمام وقت حقوقی دریافت می کنند که به موفقیت، پشتکار و دقت آنها بستگی ندارد.
ما، محققین شخص ثالث، صرفاً از نتیجه انگیزه داریم. اگر آسیبپذیری پیدا نکنید، چیزی به دست نخواهید آورد. این تفاوت است.
در نتیجه، این شرکت تحقیقات امنیتی «رایگان» را از هزاران نفر دریافت میکند و تنها باید برای آسیبپذیریهای معتبری که پیدا شده است، هزینه پرداخت کند.
از سوی دیگر، محققان انگیزههایی دریافت میکنند که در زمان کار غیرممکن است. آنها یک برنامه رایگان، توانایی انتخاب هر هدفی از صدها شرکت مختلف با توجه به ترجیحات، مهارت ها و هزینه های خود دریافت می کنند.
#BugBounty
@TryHackBox
یک هک قانونی است که شرکت ها بابت آن به شما پول می دهند. بسیاری از شرکتها از هکرها میخواهند که به دنبال آسیبپذیریها در سرویسها یا برنامههای خود بگردند و حاضرند برای آنها پاداش بپردازند.
البته اکثر آنها افسران ایمنی مخصوص به خود را روی کارکنان دارند و در مورد ایمنی محصولات نیز تحقیق می کنند. در عین حال، آنها فرصت های بسیار بیشتری دارند، زیرا همیشه می توانند به کد منبع نگاه کنند، با توسعه دهندگان مشورت کنند و مواردی از این قبیل. اما آنها همه آسیب پذیری ها را پیدا نمی کنند.
چرا؟ من فکر می کنم همه چیز به انگیزه است. اکثریت قریب به اتفاق متخصصان تمام وقت حقوقی دریافت می کنند که به موفقیت، پشتکار و دقت آنها بستگی ندارد.
ما، محققین شخص ثالث، صرفاً از نتیجه انگیزه داریم. اگر آسیبپذیری پیدا نکنید، چیزی به دست نخواهید آورد. این تفاوت است.
در نتیجه، این شرکت تحقیقات امنیتی «رایگان» را از هزاران نفر دریافت میکند و تنها باید برای آسیبپذیریهای معتبری که پیدا شده است، هزینه پرداخت کند.
از سوی دیگر، محققان انگیزههایی دریافت میکنند که در زمان کار غیرممکن است. آنها یک برنامه رایگان، توانایی انتخاب هر هدفی از صدها شرکت مختلف با توجه به ترجیحات، مهارت ها و هزینه های خود دریافت می کنند.
#BugBounty
@TryHackBox
🔥4
جمع آوری اطلاعات محرمانه از طریق Google Dork's به زودی ...
بتونم تا ی ساعت دیگه واستون میذارم دارم امادش میکنم
بتونم تا ی ساعت دیگه واستون میذارم دارم امادش میکنم
قسمت اول از جمع آوری اطلاعات محرمانه از طریق Google Dork's
خواندن
اگر استقبال بشه قسمت دوم رو هم میزارم
#Google_Dork
@TryHackBox
خواندن
اگر استقبال بشه قسمت دوم رو هم میزارم
#Google_Dork
@TryHackBox
👍16
#حرفه
دومین گزارش سالانه Ethical Hacker Insights Intigriti نشان میدهد که پاداش باگ سریعترین رشد حرفهای امنیت سایبری در سال 2022 است. 66 درصد از متخصصان این فعالیت را یک حرفه تمام عیار می دانند.
بیشتر
@TryHackBox
دومین گزارش سالانه Ethical Hacker Insights Intigriti نشان میدهد که پاداش باگ سریعترین رشد حرفهای امنیت سایبری در سال 2022 است. 66 درصد از متخصصان این فعالیت را یک حرفه تمام عیار می دانند.
بیشتر
@TryHackBox
Intigriti
Free eBook: The Ethical Hacker Insights Report 2022
The Ethical Hacker Insights Report 2022 shares the drivers, motivations & ambitions of the ethical hacking community. Download now to discover more!
👍5
https://jobs.null.community/
با این سایت میتونید کار در زمینه تخصصی خودتون پیدا کنید.
خوبی این سایتها اینکه علاوه بر اینکه میتونه کمک کنه تا یه شغل با تخصصون پیدا کنید ، میتونه در زمینه اینکه چه مشاغلی تو امنیت ، بازار کار خوبی دارند و یا اینکه بازار کار ،چه نیازمندی های برای شغل شما رو تقاضا میکنه هم به شما کمک بکنه.
@TryHackBox
با این سایت میتونید کار در زمینه تخصصی خودتون پیدا کنید.
خوبی این سایتها اینکه علاوه بر اینکه میتونه کمک کنه تا یه شغل با تخصصون پیدا کنید ، میتونه در زمینه اینکه چه مشاغلی تو امنیت ، بازار کار خوبی دارند و یا اینکه بازار کار ،چه نیازمندی های برای شغل شما رو تقاضا میکنه هم به شما کمک بکنه.
@TryHackBox
null Jobs
null Jobs is free initiative by https://null.community
jobs.null.community allows you to post or find jobs in Cybersecurity for absolutely free.
👍5
چگونه از دسترسی اپلیکیشن های اندروید به اینترنت جلوگیری کنیم
اکثر برنامه های اندروید دوست دارند اینترنت را در پس زمینه به طور گسترده مصرف کنند: به روز رسانی داده ها، ارسال تجزیه و تحلیل و غیره. با استفاده از برنامه های خاصی مانند NoRoot Firewall می توانید دسترسی اپلیکیشن ها به اینترنت را کنترل کنید.
پس از فشار دادن دکمه "START"، برنامه نیاز به دسترسی به ماژول VPN دارد. سپس، در برگه "در انتظار"، برنامه هایی ظاهر می شوند که می توانید دسترسی به اینترنت را رد یا اجازه دهید. اگر می خواهید برنامه به طور خودکار هنگام راه اندازی سیستم راه اندازی شود، کادر "شروع خودکار در بوت" را علامت بزنید.
با استفاده از این اپلیکیشن می توانید به عنوان مثال تبلیغات برخی از بازی های آفلاین یا اپلیکیشن هایی که برای کار به اینترنت نیاز ندارند را غیرفعال کنید.
https://play.google.com/store/apps/details?id=app.greyshirts.firewall
اکثر برنامه های اندروید دوست دارند اینترنت را در پس زمینه به طور گسترده مصرف کنند: به روز رسانی داده ها، ارسال تجزیه و تحلیل و غیره. با استفاده از برنامه های خاصی مانند NoRoot Firewall می توانید دسترسی اپلیکیشن ها به اینترنت را کنترل کنید.
پس از فشار دادن دکمه "START"، برنامه نیاز به دسترسی به ماژول VPN دارد. سپس، در برگه "در انتظار"، برنامه هایی ظاهر می شوند که می توانید دسترسی به اینترنت را رد یا اجازه دهید. اگر می خواهید برنامه به طور خودکار هنگام راه اندازی سیستم راه اندازی شود، کادر "شروع خودکار در بوت" را علامت بزنید.
با استفاده از این اپلیکیشن می توانید به عنوان مثال تبلیغات برخی از بازی های آفلاین یا اپلیکیشن هایی که برای کار به اینترنت نیاز ندارند را غیرفعال کنید.
https://play.google.com/store/apps/details?id=app.greyshirts.firewall
👍4
Try Hack Box pinned «Information Gathering جمع آوری اطلاعات اولین و یکی از بیشترین مراحل اساسی یک تست نفوذ موفق است . بیشتر مبتدیان تمایل دارند این مرحله را نادیده بگیرند یا عجله کنند. اگر شما می خواهید یک تست نفوذ موثر انجام دهید. اون کارو نکنید! #نکته @TryHackBox»
معرفی ابزار John the Ripper
از این ابزار برای شکستن کلمات عبور استفاده می شود.
از ابزار John the Ripper به منظور حمله به پسورد ها به صورت آفلاین استفاده می گردد. این ابزار قادر به شکستن پسورد سیستم عامل های ویندوز، لینوکس، Mac و دیتابیس های SQL و اوراکل می باشد.
ساختار عمومی استفاده از John the Ripper به صورت زیر است:
john [options] [password-file]
دستور زیر نمونه ای از استفاده John می باشد:
John –wordfile:password.lst file_to_crack.txt
در دستور بالا فایل (file_to_crack.txt) حاوی پسورد های به دست آمده از یک سیستم عامل است که به صورت رمز شده می باشد و ما قصد داریم با سوییچ (–wordfile) که در ادامه آن لیستی از پسوردها قرار می گیرد، اقدام به کرک پسورد های موجود در فایل (file_to_crack.txt) نماییم.
یکی دیگر از حملاتی که می توان با ابزار John the Ripper انجام داد، حمله Brute Force می باشد.
دستورات زیر به منظور انجام حمله brute force بوسیله John the Ripper مورد استفاده قرار می گیرد:
john –incremental:alpha file_to_crack.txt
john –incremental:digits file_to_crack.txt
در دستور بالا، منظور از (–incremental:alpha) تست فقط حروف است و منظور از (–incremental:digits) تست فقط اعداد می باشد.
همچنین شما می توانید خروجی را با قرار دادن علامت > در انتهای دستور، داخل یک فایل ،ذخیره نمایید.
john –incremental:alpha pass.txt > resolt.txt
#Password_Attacks
@TryHackBox
از این ابزار برای شکستن کلمات عبور استفاده می شود.
از ابزار John the Ripper به منظور حمله به پسورد ها به صورت آفلاین استفاده می گردد. این ابزار قادر به شکستن پسورد سیستم عامل های ویندوز، لینوکس، Mac و دیتابیس های SQL و اوراکل می باشد.
ساختار عمومی استفاده از John the Ripper به صورت زیر است:
john [options] [password-file]
دستور زیر نمونه ای از استفاده John می باشد:
John –wordfile:password.lst file_to_crack.txt
در دستور بالا فایل (file_to_crack.txt) حاوی پسورد های به دست آمده از یک سیستم عامل است که به صورت رمز شده می باشد و ما قصد داریم با سوییچ (–wordfile) که در ادامه آن لیستی از پسوردها قرار می گیرد، اقدام به کرک پسورد های موجود در فایل (file_to_crack.txt) نماییم.
یکی دیگر از حملاتی که می توان با ابزار John the Ripper انجام داد، حمله Brute Force می باشد.
دستورات زیر به منظور انجام حمله brute force بوسیله John the Ripper مورد استفاده قرار می گیرد:
john –incremental:alpha file_to_crack.txt
john –incremental:digits file_to_crack.txt
در دستور بالا، منظور از (–incremental:alpha) تست فقط حروف است و منظور از (–incremental:digits) تست فقط اعداد می باشد.
همچنین شما می توانید خروجی را با قرار دادن علامت > در انتهای دستور، داخل یک فایل ،ذخیره نمایید.
john –incremental:alpha pass.txt > resolt.txt
#Password_Attacks
@TryHackBox
👍8