برگزاری جلسه لایو : تست نفوذ با مهندس سجاد تیموری

با سلام خدمت دوستان و همراهان عزیز، 
در راستای ارتقای سطح دانش فنی و آشنایی بیشتر با مباحث امنیت سایبری، قصد داریم جلسه‌ای تخصصی و آموزشی در خصوص تست نفوذ (Penetration Testing) به صورت زنده برگزار کنیم.

🎙️ مهمان ویژه: 
مهندس سجاد تیموری – کارشناس تست نفوذ

📅 زمان برگزاری: سه شنبه 1404/02/23
📍 پلتفرم: تلگرام (ویس چت)
🕗 ساعت : 20:00

💬 موضوعات خود را درباره تست نفوذ در کامنت‌هاارسال کنید تا در جلسه به آن‌ها پرداخته شود.

🔔 نکته مهم: 
جهت شرکت به موقع جلسه، حتماً کانال تلگرام را چک کنید تا از این جلسه جا نمونید .

@TryHackBox

در هنگام ویس چت سوالاتتون تو گروه بپرسید :
https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

سوالات ویس چت :
ذهنیت و روانشناسی هکرها:

"به نظر شما چه تفاوت‌های کلیدی بین طرز فکر یک توسعه‌دهنده و یک هکر در مواجهه با سیستم‌ها وجود دارد؟"

"آیا تست نفوذ مؤثر بدون درک روانشناسی کاربران و رفتارهای انسانی ممکن است؟ مثال بزنید."

ابزارها و روش‌شناسی:
3. "در پروژه‌های اخیرتان، کدام ابزارها (مثل Burp Suite یا Cobalt Strike) بیشترین کاربرد را داشته‌اند؟ چرا؟"
4. "با گسترش اسکنرهای خودکار، آیا هنوز تست‌های دستی ارزش اصلی را دارند؟ نقطه قوت هرکدام چیست؟"

زیرودی‌ها (Zero-Day):
5. "در تجربه‌تان، احتمال کشف یک آسیب‌پذیری Zero-Day در تست نفوذ چقدر است؟ چه فاکتورهایی شانس آن را افزایش می‌دهد؟"
6. "اگر تاکنون یک Zero-Day کشف کرده‌اید، فرآیند گزارش و مدیریت آن چگونه بود؟"

تفاوت محیط‌های تست:
7. "تفاوت اصلی تست نفوذ یک سامانه دولتی با یک پلتفرم FinTech در چیست؟"
8. "وقتی با محدودیت‌هایی مثل عدم دسترسی به SSH مواجه می‌شوید، چه راهکارهای خلاقانه‌ای به کار می‌برید؟"

تست نفوذ مدرن (DevOps/ابری):
9. "چگونه تست نفوذ را در خطوط CI/CD یا محیط‌های Kubernetes پیاده‌سازی می‌کنید؟"
10. "چه تهدیدات نوظهوری در محیط‌های ابری مشاهده کرده‌اید که در سیستم‌های سنتی وجود نداشت؟"

هوش مصنوعی و آینده:
11. "آیا فکر می‌کنید هوش مصنوعی می‌تواند جایگزین مهارت‌های تحلیلی یک هکر شود؟ چرا؟"
12. "از ابزارهای AI مثل ChatGPT در چه مراحلی از تست نفوذ استفاده می‌کنید؟ محدودیت‌های آن چیست؟"

معیارهای موفقیت:
13. "به نظر شما یک تست نفوذ موفق، علاوه بر یافتن آسیب‌پذیری‌ها، باید چه معیارهای دیگری را پوشش دهد؟"
14. "چگونه به مشتری اثبات می‌کنید که تست شما تأثیر واقعی بر امنیت آن‌ها داشته است؟"

چالش‌های اخلاقی:
15. "در حین تست، چگونه بین کشف آسیب‌پذیری‌ها و حفظ حریم خصوصی کاربران تعادل برقرار می‌کنید؟"
16. "آیا تا به حال در موقعیتی قرار گرفته‌اید که مجبور به خودداری از افشای یک یافته حساس شده باشید؟"

محیط‌های صنعتی (OT/ICS):
17. "مهم‌ترین ملاحظات هنگام تست نفوذ سیستم‌های صنعتی (مثل SCADA) چیست؟"
18. "آیا تست نفوذ در محیط‌های OT می‌تواند به عملیات عادی آسیب بزند؟ چگونه این ریسک را مدیریت می‌کنید؟"

روزمره یک پنتستر:
19. "روز کاری معمول شما به عنوان متخصص تست نفوذ چگونه می‌گذرد؟ چه نسبتی از زمان به کدنویسی، گزارش‌نویسی یا ارتباط با مشتری اختصاص دارد؟"
20. "جالب‌ترین/پیچیده‌ترین سناریوی تست نفوذی که تجربه کرده‌اید چه بود؟ چه درسی از آن گرفتید؟"

مقایسه حوزه‌ها:
21. "اولین اقدام شما هنگام تست نفوذ یک API RESTful چیست؟"
22. "اگر به عنوان پنتستر داخلی به شبکه دسترسی داشته باشید، چه استراتژی‌ای برای اسکال کردن دسترسی (Privilege Escalation) به کار می‌گیرید؟"

سوالات تکمیلی:
23. "اگر بخواهید یک توصیه کلیدی به تازه‌کارهای تست نفوذ بکنید، آن چیست؟"
24. "چه مهارت‌های غیرفنی (مثل گزارش‌نویسی یا مذاکره) برای یک پنتستر حیاتی است؟"

⭕ قسمت اول زیرو تاک

🔶️ مهندس سجاد تیموری، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد. 

🔶️ از امنیت سایبری و تفکیک OT و IT تا ظهور ai در صنعت امنیت سایبری صحبت شد و استاد تیموری راوی یک حمله‌ی واقعی در محیط سازمانی بود 🔥

🔶️ در نهایت سوالاتی از جانب شرکت‌کنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.

🎤 راهبر گفتگوی امنیتی : حسین نائیجی

@RadioZeroPod
@TryHackBox

بسی رنج بردم در این سال سی
عجم زنده کردم بدین پارسی

25 اردیبهشت بزرگداشت فردوسی بزرگ
@TryHackBox

💠 روز بزرگداشت"دانشمند بزرگ خيام نيشابوری"
📕زادروز "دانشمند خَیام نیشابوری"ریاضی‌دان، ستاره‌شناس و چارانه‌سرای ایرانی،
در زمان سلجوقی(۴۲۷ خ)
📖سالنامه خورشيدی كه ايرانيان آن را بکار می‌برند، ششم مارس ۱۰۷۹ زایشی بدست دانشمند بزرگ خيام نوشته شد كه به سالنامه جلالی نام گرفته است، زيرا كه در زمان پادشاهی جلال الدين ملكشاه نوشته شده بود.
اين سالنامه درست‌تر از سالنامه ترسایی است، زيرا كه درست‌نویسی آن هر ۳۷۷۰ سال يک روز است و سالنامه ترسایی هر ۳۳۳۰ سال.

⭕ 28 اردیبهشت روز بزرگداشت حکیم خیام نیشابوری

@TryHackBox

⭕ قسمت دوم زیرو تاک

🔶️ مهندس پویان زمانی، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد. 

🔶️ از کجا شروع کردید؟ آیا هنوز علاقه‌مند به حوزه امنیت هستید؟
🔶️ امنیت چیست؟
🔶️ توضیح معماری دفاع در عمق
🔶️ نقش‌های امنیت‌سایبری بر اساس لایه‌های معماری دفاع در عمق
🔶️ تعریف SOC
🔶️ تاثیر هوش مصنوعی در SOC
🔶️ در نهایت سوالاتی از جانب شرکت‌کنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.

🎤 راهبر گفتگوی امنیتی : حسین نائیجی

@RadioZeroPod
@TryHackBox

⭕ دیگر کانال ها و شبکه های اجتماعی ما را دنبال کنید :

💠 کانال های تلگرام ما

🔶️ آموزش تست نفوذ و Red Team :
🆔 @TryHackBox

🔶️ رودمپ های مختلف :
🆔 @TryHackBoxOfficial

🔶️ داستان های هک :
🆔 @TryHackBoxStory

🔶️ آموزش برنامه نویسی :
🆔 @TryCodeBox

🔶️ رادیو زیروپاد ( پادکست ها ) :
🆔 @RadioZeroPod

➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
🔴 اینستاگرام :
🔗 http://www.instagram.com/TryHackBox

🔵 یوتیوب :
🔗 https://youtube.com/@tryhackbox

🚨 حمله گسترده به آسیب‌پذیری خطرناک در Microsoft SharePoint (CVE-2025-53770)

🔓 یک آسیب‌پذیری روز صفر وصله‌نشده در SharePoint توسط مهاجمان به‌صورت گسترده مورد سوءاستفاده قرار گرفته است.
🏢 بیش از ۷۵ سازمان، از جمله شرکت‌ها و نهادهای دولتی، تاکنون قربانی شده‌اند.
⚠️ مهاجمان از این باگ برای دسترسی از راه دور و نفوذ عمیق به سرورهای آسیب‌پذیر استفاده می‌کنند.

🛑 اگر از SharePoint استفاده می‌کنید:
🔍 فوراً بررسی امنیتی انجام دهید
🔒 دسترسی‌ها را محدود کنید
🚫 سرویس‌های حیاتی را موقتاً ایزوله کنید

📎 جزئیات فنی و لیست حملات:
🔗 کامل خبر
✍️نویسنده
@TryHackBoxStory | The Chaos

#News #ZeroDay #Microsoft #CVE #SharePoint

🔴 پارت اول هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint با نام ToolShell در حال بهره‌برداری فعال است

📅 تاریخ شناسایی: 18 ژوئیه 2025
🧠 کشف توسط:
شرکت امنیتی هلندی Eye Security

در یک حمله پیچیده و هماهنگ، مهاجمان با استفاده از یک زنجیره آسیب‌پذیری جدید به نام ToolShell موفق شده‌اند کنترل کامل از راه دور (RCE) را بدون نیاز به احراز هویت روی سرورهای آسیب‌پذیر SharePoint به دست آورند.

⚠️ این باگ با CVE-2025-53770 شناخته می‌شود و از ترکیب دو نقص حیاتی (CVE-2025-49706 + CVE-2025-49704) سوءاستفاده می‌کند.

🧬 ویژگی منحصربه‌فرد این اکسپلویت:
مهاجم با دور زدن کامل مکانیزم‌های احراز هویت، به کلیدهای رمزنگاری داخلی
(ValidationKey / DecryptionKey)
دسترسی یافته و با جعل کامل ورودی‌های امن، قادر به اجرای بارهای مخرب به‌صورت قانونی از دید SharePoint می‌شود.

✍️نویسنده
@TryHackBoxStory | The Chaos & Condor

#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft

🔴 پارت دوم هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint

📌 حمله از طریق endpoint آسیب‌پذیر زیر انجام می‌شود:
/_layouts/15/ToolPane.aspx

👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگ‌ترین بهره‌برداری عملیاتی‌شده SharePoint از زمان CVE-2021-28474 دانسته است.

✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمی‌کند.

مایکروسافت به‌طور رسمی CVE-2025-53770 را به‌عنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیب‌پذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانی‌های حیاتی برای SharePoint Server 2016، 2019 و نسخه Subnoscription ارائه داده است.

✍️نویسنده
@TryHackBoxStory | The Chaos & Condor

#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft

پارت سوم هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint

تحلیل فنی و آماری آسیب‌پذیری ToolShell در SharePoint

🛡 نسخه‌های آسیب‌پذیر عبارتند از:

* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subnoscription Edition پیش از: 16.0.18526.20424

‼️ مایکروسافت تأکید کرده است: هیچ راه‌حل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.

📊 شاخص‌های نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:

🧩 آدرس‌های IP مخرب:

▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)

🧩عامل کاربری (User-Agent) مشکوک:

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگ‌های IIS معمولاً به صورت URL-Encoded ظاهر می‌شود)


@TryHackBoxStory | The Chaos & Condor

#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft

پارت چهارم هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint

🧩 مسیرهای سوءاستفاده‌شده در SharePoint

▪️ POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
▪️ GET /_layouts/15/<undisclosed>.aspx
(جهت استخراج کلیدهای رمزنگاری حساس)

🧩 هش‌های فایل مخرب (SHA256):
▪️ 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
▪️ b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
▪️ fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7

⚠️ توصیه مهم برای سازمان‌ها:

* اسکن آسیب‌پذیری به‌تنهایی کافی نیست.
* این نوع حملات با دسترسی مداوم همراه است که می‌تواند از وصله، ریست سیستم و ابزارهای معمول امنیتی فرار کند.
* انجام بررسی جامع نفوذ (Full Forensic Analysis) و بررسی کلیدها، پیکربندی‌ها و Session Tokenهای فعال ضروری است.

🧪 ابزار پیشنهادی برای بررسی و شبیه‌سازی حمله در محیط امن:
🎯ابزار  ANY.RUN Sandbox که برای تحلیل تعاملی و بلادرنگ بدافزار و رفتار شبکه.

✍️نویسنده
@TryHackBoxStory | The Chaos & Condor

#ZeroDay #SharePoint #RCE #CyberSecurity #Exploit #Microsoft

🚨 هشدار امنیتی: بازگشت باج‌افزار Interlock با تاکتیک‌های پیشرفته!

باج‌افزار Interlock که پیش‌تر با حملات مستقیم و رمزنگاری فایل‌ها شناخته می‌شد، این بار با روشی پیچیده‌تر بازگشته است.

🔍 روش جدید:
مهاجمان با استفاده از یک CAPTCHA جعلی، کاربران را فریب می‌دهند تا بدافزار PHP جدیدی به نام FileFix را دانلود کنند. این بدافزار، نسخه‌ای ارتقا‌یافته از ابزار آلوده‌کننده‌ی ClickFix است که اکنون توانایی نفوذ مستقیم به File Explorer ویندوز را دارد.

🧪 عملکرد FileFix:

* نصب یک
PHP RAT (Remote Access Trojan)

* کنترل سیستم قربانی از راه دور
* سرقت فایل‌ها، کلیدهای ذخیره‌شده، و حتی دسترسی به دوربین و میکروفن
* اجرای دستورات از راه دور به صورت کاملاً مخفیانه

🌐 پوشش حمله:
برای پنهان‌سازی کامل ردپا، مهاجمان از Cloudflare Tunnel استفاده می‌کنند، که باعث می‌شود شناسایی ترافیک مخرب برای ابزارهای دفاعی سخت‌تر شود.

📎 اطلاعات بیشتر و نمونه‌ها در گزارش اصلی:
🔗 لینک خبر

✍️نویسنده
@TryHackBoxStory | The Chaos

#News #CAPTCHA #PHP #FileFix #Rat #CyberSecurity

🚨 افشای ۳۹ میلیون کلید و راز محرمانه در GitHub فقط در سال ۲۰۲۴!

🔓 در سال گذشته، بیش از ۳۹ میلیون Secret (توکن، API key، رمز عبور و...) در GitHub فاش شده‌اند اما نه به‌عنوان خطا، بلکه به‌عنوان نقاط ورود خاموش برای نفوذگران!

📉 این افشاگری‌ها به مهاجمان امکان دسترسی به:
☁️ سرویس‌های ابری
🛠 خطوط CI/CD
🗃 دیتابیس‌ها
...بدون هیچ هشدار امنیتی داده است.

🗑 حتی یک ریپوی فراموش‌شده می‌تونه کل زیرساخت شما رو به خطر بندازه.

📎 جزئیات و راهکارهای جلوگیری از این فاجعه:
لینک مقاله در The Hacker News

👀 مراقب باشید چه چیزی در گیت پابلیک می‌ذارید!

✍️نویسنده
@TryHackBoxStory | The Chaos

#News #Git #Github #DevOpsSec #DataLeak #CyberSecurity

🚨 هشدار فوری برای کاربران ایرانی

بدافزار جاسوسی جدید اندرویدی به نام DCHSpy که به وزارت اطلاعات ایران (MOIS) نسبت داده شده، در پوشش اپلیکیشن‌های استارلینک و VPN، گوشی کاربران را آلوده می‌کند.

🎯 قابلیت‌ها:
🔹 دسترسی به میکروفون و دوربین
🔹 خواندن پیام‌های واتساپ
🔹 ردیابی موقعیت مکانی
🔹 سرقت فایل‌ها

این بدافزار هنوز از طریق کانال‌های تلگرامی منتشر می‌شود و احتمالاً کاربران مخالف نظام و فعالان را هدف گرفته است، به‌ویژه پس از تنش‌های اخیر ایران-اسرائیل.

⚠️"" هیچ اپلیکیشنی را از منابع ناشناس یا کانال‌های تلگرام نصب نکنید.""
📎 گزارش کامل: The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos

#News #Telegram #Andriod #BreakingNews #VPN #Cybersecurity

🚨 هوش مصنوعی در خدمت مهاجمان: وقتی مردم علیه مردم می‌شوند

در سال ۲۰۲۵، هوش مصنوعی دیگر فقط یک ابزار نیست بلکه تبدیل به سلاحی بی‌صدا برای حملات سایبری، مهندسی اجتماعی و فریب‌های دیجیتالی شده است.

🧠 سم Shadow AI:
کارمندان سازمان‌ها بدون اطلاع بخش امنیت، از صدها اپلیکیشن GenAI استفاده می‌کنند. مسدودسازی کافی نیست بلکه آن‌ها راه دور زدن را بلدند.

⚠️ خطر پنهان:
مالکیت فکری (IP) و داده‌های حساس شما ممکن است به‌صورت ناخواسته وارد مدل‌های عمومی شود و بدون نظارت، شبکه‌ها را ترک کند.

📉 این یعنی:

نشت داده‌های طبقه‌بندی‌شده

افشای زنجیره تأمین و زیرساخت‌ها

کاهش کنترل سازمان بر دارایی‌های اطلاعاتی خود

🎭 فریب‌های دیجیتال و Deepfakes :

مهاجمان حالا شما را تقلید می‌کنند همراه با دقتی ترسناک:

🔹 اکانت‌های جعلی LinkedIn
🔹 تماس‌های صوتی و تصویری تقلبی
🔹 فریب در استخدام، انتقال پول و مهندسی اجتماعی

همه این‌ها توسط AI مولد و قابل شخصی‌سازی در لحظه انجام می‌شود.

💡 دیگر بحث «آیا» نیست بلکه سوال این است که چه زمانی هدف قرار می‌گیرید.

🔐 چه باید کرد؟
✅ آگاه‌سازی کاربران درباره تهدیدات Shadow AI
✅ پیاده‌سازی کنترل‌های رفتاری و هوشمند روی داده‌ها
✅ شناسایی و مقابله با جعل هویت توسط AI

📎 بیشتر بدانید:
سم Shadow AI در سازمان‌ها
دفاع در برابر جعل دیجیتال با AI

✍️نویسنده
@TryHackBoxStory | The Chaos

#ShadowAi #Ai #DeepFakes #Blog #CyberSecurity

🤖 همدم مصنوعی | حرف‌هایی که به هیچ‌کس نمی‌زنیم...

🎙 سم آلتمن (مدیرعامل OpenAI) در یکی از صحبت‌های اخیرش نکته‌ای گفت که لرزه به جان خیلی‌ها انداخت:

> *«ما انتظار نداشتیم این همه انسان، با مدل‌های زبانی ما درد دل کنند... چیزهایی را می‌گویند که حتی به نزدیک‌ترین دوستان یا خانواده‌شان نمی‌گویند.»*

🧠 آیا این یعنی GPT تبدیل به یک *همدم دیجیتال* شده؟ کسی که قضاوت نمی‌کند، خسته نمی‌شود، و همیشه گوش می‌دهد...

💬 این اتفاق، هم الهام‌بخش است و هم هشداردهنده:

✅ از یک سو، نشان می‌دهد انسان‌ها به امنیت عاطفی نیاز دارند، حتی در جهان مجازی.

⚠️ از سوی دیگر، باید با خودمان روراست باشیم: آیا به مدل زبانی بیش از حد وابسته شده‌ایم؟ آیا خلأ تنهایی را با کد پر کرده‌ایم؟

🌐 آینده‌ی ما فقط هوشمندتر نمی‌شود؛ بلکه شاید تنها‌تر هم بشود... یا شاید نه، اگر حواسمان باشد.

📎 منبع سخنرانی سم آلتمن در Aspen Ideas Festival

✍️نویسنده
@TryHackBoxStory | The Chaos

#AI #GPT #CyberSecurity

🚨 هشدار امنیتی درون‌سازمانی | ابزارهای چینی و افشای بی‌صدا

📊 بر اساس تحقیقات جدید، از هر ۱۲ کارمند، یک نفر در محل کار از ابزارهای هوش مصنوعی تولیدی چینی استفاده می‌کند و این اغلب بدون اطلاع سازمان.

❗️اما موضوع نگران‌کننده‌تر اینجاست:
📂 فایل‌هایی که آپلود می‌شوند شامل اطلاعات حساسی مثل:

اسناد محرمانه M&A (ادغام و تملک)

کدهای منبع پروژه‌ها

سوابق مشتریان و کاربران

🔍 این پلتفرم‌ها معمولاً سیاست‌های داده‌ای شفاف و قابل بررسی ندارند، و این یعنی شما نمی‌دانید داده‌ها دقیقاً کجا می‌روند و چه استفاده‌ای از آن‌ها می‌شود.

🛡 چه باید کرد؟

تعیین مرز استفاده از GenAI در سازمان را فعال کنید.

محدودسازی دسترسی به ابزارهای غیرمجاز.

آموزش امنیت داده به کارمندان و نه فقط فنی بلکه فرهنگی.

🎯 امروز وقت مقابله نیست؛ وقت پیشگیری هوشمندانه است.

📎 مشاهده گزارش کامل در The Hacker News

✍️نویسنده
@TryHackBoxStory | The Chaos

#GenAI #DataLeak #China #CyberSecurity

🚨 بزرگ‌ترین حمله تزریق JavaScript در سال ۲۰۲۴: بیش از ۱۰۰,۰۰۰ سایت هک شدند!

📌 اتفاق بی‌سابقه‌ای در دنیای امنیت وب افتاد تا حتی فریم‌ورک‌هایی مثل React هم در امان نماندند!

یک کتابخانه معتبر جاوااسکریپت، با آلوده شدن در زنجیره تأمین، به سیستم پخش بدافزار تبدیل شد و هزاران وب‌سایت قربانی شدند. بسیاری از توسعه‌دهندگان بدون اینکه بدانند، کدهای مخرب را مستقیماً در مرورگر کاربران اجرا کردند.

🔍 مهم‌ترین نکات:

حمله از طریق تزریق JavaScript در کتابخانه‌های قابل‌اعتماد انجام شده.

مکانیزم دفاعی React و سایر فریم‌ورک‌ها دور زده شده.

حتی سایت‌هایی با تنظیمات امنیتی قوی هم آسیب‌پذیر بودند.

🧠 پیام مهم: فقط به امنیت سمت کلاینت تکیه نکنید. اعتبارسنجی و پاک‌سازی داده‌ها، CSP، کنترل زنجیره تأمین، و نظارت فعال بر وابستگی‌ها ضروری است.

🔗 جزئیات کامل و فنی را در مقاله اصلی بخوانید:
👉 چرا React نتوانست جلوی XSS را بگیرد؟

✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #React #JSInjection #supplychainattack #JavaScript #CyberNews