کدام گزینه بهترین توصیف از عملکرد salt در فرآیند hash کردن پسورد هست؟
Anonymous Quiz
11%
یک الگوریتم رمزنگاری است که پسورد را به صورت دوطرفه رمز میکند.
4%
باعث افزایش سرعت هش کردن پسورد در پایگاه داده میشود.
81%
به پسورد اضافه میشود تا دربرابر حملات Rainbow مقاومت ایجاد بشه.
4%
فقط برای رمزنگاری فایل ها استفاده میشه و در پسورد کاربردی نداره.
🔥5
ViperNułł
@ViperNull
⭕منظور از Salt و Hash چیه دقیقا ؟⭕
توی دنیای دیجیتال امروز، یکی از مهمترین کارها، محافظت از رمز عبور کاربرهاست. نه فقط اینکه رمزا رو قفل کنیم، بلکه کاری کنیم حتی اگه دیتابیس دست یه مهاجم بیفته، نتونه ازش استفاده کنه. اینجاست که مفاهیم salt و hash به کمکمون میان.
‼ Hash ‼
یعنی چی و چرا انقدر مهمه؟
راجب هشینگ قبلا پست گزاشتم میتونید مطالعه کنید اما
هش یه جور تابع ریاضیه که ورودی (مثلاً یه رمز عبور ساده) رو به یه خروجی با طول ثابت تبدیل میکنه. مثلاً وقتی رمز «password123» رو از یه تابع هش مثل SHA-256 رد میکنی، یه رشتهی طولانی و پیچیده تحویلت میده که هیچ شباهتی به رمز اصلی نداره.
ویژگی مهم هش اینه که یکطرفهست. یعنی نمیتونی از روی خروجی بفهمی ورودی چی بوده. این باعث میشه رمز عبورها رو بهجای اینکه مستقیماً ذخیره کنیم، به صورت هششده نگه داریم. تا اینجا خوبه... اما یه مشکل داریم.
مشکل کجاست؟ رمزهای تکراری!
فرض کن چند نفر از یه رمز ساده مثل «123456» استفاده کنن. هش این رمز برای همهشون دقیقاً یکیه. حالا اگه هکر به دیتابیس دسترسی پیدا کنه، فقط کافیه هشهای معروف رو با دیتابیس مقایسه کنه و رمز رو به راحتی حدس بزنه. به این نوع حمله میگن "Rainbow Table Attack"
‼ Salt ‼
میاد وسط
منظور از Salt یه رشتهی تصادفیه که قبل از هش کردن، به رمز عبور اضافه میشه. اینطوری، حتی اگه دو نفر رمز یکسان داشته باشن، خروجی نهاییشون فرق میکنه. چون salt برای هر کاربر متفاوته
مثال:
رمز کاربر A: qwerty
حالا Salt کاربر A: X9!ad7
ترکیب: X9!ad7qwerty → هش نهایی
کاربر B ممکنه همون رمز رو داشته باشه ولی salt متفاوت باشه، پس هش اونم فرق میکنه. این یعنی هکر حتی با لیست کامل هشهای رایج هم نمیتونه کاری از پیش ببره.
یه قدم جلوتر: ترکیب با الگوریتمهای امنتر
امروزه فقط استفاده از SHA یا MD5 برای هش کافی نیست. الگوریتمهایی مثل bcrypt، scrypt یا Argon2 طراحی شدن که هم salt رو خودشون مدیریت میکنن، هم فرآیند هش کردن رو کند و پیچیده میکنن تا کار برای مهاجم سختتر بشه.
و گزینه خوبی برای هش کردن رمز عبور یا هرجیز دیگه استفاده کردن از این الگوریتم هاست
اینم بگم که الگوریتم مثل SHA-256 نیازه که salt رو بصورت دستی برنامه نویس وارد کنه
اما الگوریتم هایی مثل bcrypt و argon2 بصورت خودکار اضافه میکنن
خلاصه و نتیجهگیری نهایی
استفاده از hash برای ذخیرهسازی رمز، یه پایهی اساسی امنیت سایبریه. اما بدون salt، این پایه به راحتی قابل نفوذ میشه. Salt باعث میشه رمز هر کاربر منحصر بهفرد بشه، حتی اگه رمزها تکراری باشن. توی دنیایی که هر روز دیتابیسهای بیشتری نشت پیدا میکنن، استفادهی درست از salt و hash نه فقط یه انتخابه، بلکه یه ضرورته.
@ViperNull
توی دنیای دیجیتال امروز، یکی از مهمترین کارها، محافظت از رمز عبور کاربرهاست. نه فقط اینکه رمزا رو قفل کنیم، بلکه کاری کنیم حتی اگه دیتابیس دست یه مهاجم بیفته، نتونه ازش استفاده کنه. اینجاست که مفاهیم salt و hash به کمکمون میان.
‼ Hash ‼
یعنی چی و چرا انقدر مهمه؟
راجب هشینگ قبلا پست گزاشتم میتونید مطالعه کنید اما
هش یه جور تابع ریاضیه که ورودی (مثلاً یه رمز عبور ساده) رو به یه خروجی با طول ثابت تبدیل میکنه. مثلاً وقتی رمز «password123» رو از یه تابع هش مثل SHA-256 رد میکنی، یه رشتهی طولانی و پیچیده تحویلت میده که هیچ شباهتی به رمز اصلی نداره.
ویژگی مهم هش اینه که یکطرفهست. یعنی نمیتونی از روی خروجی بفهمی ورودی چی بوده. این باعث میشه رمز عبورها رو بهجای اینکه مستقیماً ذخیره کنیم، به صورت هششده نگه داریم. تا اینجا خوبه... اما یه مشکل داریم.
مشکل کجاست؟ رمزهای تکراری!
فرض کن چند نفر از یه رمز ساده مثل «123456» استفاده کنن. هش این رمز برای همهشون دقیقاً یکیه. حالا اگه هکر به دیتابیس دسترسی پیدا کنه، فقط کافیه هشهای معروف رو با دیتابیس مقایسه کنه و رمز رو به راحتی حدس بزنه. به این نوع حمله میگن "Rainbow Table Attack"
‼ Salt ‼
میاد وسط
منظور از Salt یه رشتهی تصادفیه که قبل از هش کردن، به رمز عبور اضافه میشه. اینطوری، حتی اگه دو نفر رمز یکسان داشته باشن، خروجی نهاییشون فرق میکنه. چون salt برای هر کاربر متفاوته
مثال:
رمز کاربر A: qwerty
حالا Salt کاربر A: X9!ad7
ترکیب: X9!ad7qwerty → هش نهایی
کاربر B ممکنه همون رمز رو داشته باشه ولی salt متفاوت باشه، پس هش اونم فرق میکنه. این یعنی هکر حتی با لیست کامل هشهای رایج هم نمیتونه کاری از پیش ببره.
یه قدم جلوتر: ترکیب با الگوریتمهای امنتر
امروزه فقط استفاده از SHA یا MD5 برای هش کافی نیست. الگوریتمهایی مثل bcrypt، scrypt یا Argon2 طراحی شدن که هم salt رو خودشون مدیریت میکنن، هم فرآیند هش کردن رو کند و پیچیده میکنن تا کار برای مهاجم سختتر بشه.
و گزینه خوبی برای هش کردن رمز عبور یا هرجیز دیگه استفاده کردن از این الگوریتم هاست
اینم بگم که الگوریتم مثل SHA-256 نیازه که salt رو بصورت دستی برنامه نویس وارد کنه
اما الگوریتم هایی مثل bcrypt و argon2 بصورت خودکار اضافه میکنن
خلاصه و نتیجهگیری نهایی
استفاده از hash برای ذخیرهسازی رمز، یه پایهی اساسی امنیت سایبریه. اما بدون salt، این پایه به راحتی قابل نفوذ میشه. Salt باعث میشه رمز هر کاربر منحصر بهفرد بشه، حتی اگه رمزها تکراری باشن. توی دنیایی که هر روز دیتابیسهای بیشتری نشت پیدا میکنن، استفادهی درست از salt و hash نه فقط یه انتخابه، بلکه یه ضرورته.
@ViperNull
🔥8❤2
Forwarded from ⟁ ƁƖԼԼ ƇIƤӇЄƦ ⟁
🔖Top Hacking Books + Resources
⬇️Books:
⬇️Github Resources:
⬇️Blogs & Labs:
⬇️Books:
📚Web application hacker's handbook
📚OWASP Web Security Testing Guide
📚Real World Bug Hunting
📚Bug Bounty Bootcamp
📚Red Team Field Manual v1 & v2
📚Red Team Development ...
📚Operator Handbook: Red Team...
📚Tribe of Hackers Red Team
📚The Pentester Blueprint
📚OSINT Techniques: Resources ...
📚Evading EDR
📚Attacking Network Protocols
📚Black Hat GraphQL
📚Hacking API’s
📚Black Hat Go
📚Black Hat Python
📚Black Hat Bash
📚Zseano’s methodology
📚Breaking into information security
📚Expanding your security horizons
⬇️Github Resources:
📱 Wiki Book Pentest living document
📱 Fuzzing lists
📱 Sec Lists
📱 Payloads all the things
⬇️Blogs & Labs:
🖥 HackTRICKS
🖥 Web Security Testing Guide v4.2
🖥 APISEC University
🖥 Web security academy, Port Swigger
🖥 Pentester Lab
🖥 Try Hack Me: Red Team...
🖥 HTB Academy
🖥 Hacktivity
🖥 Vulnerable U
🖥 Bug Bounty Reports Explained
🖥 Sharing what matters in security
🖥 Intigriti
🖥 tl;dr sec
🖥 Unsupervised learning
🖥 Pentest Book
🖥 Bugcrowd
🖥 Trickest
👍4
🍎 The Art of Mac Malware - 2
Detecting Malicious Software
🔘Edited by: Theofanis Despoudis
🔘Paperback : 378 pages
🔘Edition : 2
🔘Year : 2025
As renowned Mac security expert Patrick Wardle notes in The Art of Mac Malware, Volume 2, the substantial and growing number of Mac users, both personal and enterprise, has created a compelling incentive for malware authors to ever more frequently target macOS systems. The only effective way to counter these constantly evolving and increasingly sophisticated threats is through learning and applying robust heuristic-based detection techniques.
To that end, Wardle draws upon decades of experience to guide you through the programmatic implementation of such detection techniques. By exploring how to leverage macOS’s security-centric frameworks (both public and private diving into key elements of behavioral-based detection, and highlighting relevant examples of real-life malware,Wardle teaches and underscores the efficacy of these powerful approaches
Detecting Malicious Software
🔘Edited by: Theofanis Despoudis
🔘Paperback : 378 pages
🔘Edition : 2
🔘Year : 2025
As renowned Mac security expert Patrick Wardle notes in The Art of Mac Malware, Volume 2, the substantial and growing number of Mac users, both personal and enterprise, has created a compelling incentive for malware authors to ever more frequently target macOS systems. The only effective way to counter these constantly evolving and increasingly sophisticated threats is through learning and applying robust heuristic-based detection techniques.
To that end, Wardle draws upon decades of experience to guide you through the programmatic implementation of such detection techniques. By exploring how to leverage macOS’s security-centric frameworks (both public and private diving into key elements of behavioral-based detection, and highlighting relevant examples of real-life malware,Wardle teaches and underscores the efficacy of these powerful approaches
🔥3
👌2🙏1
Forwarded from دوره های امنیتی 🎫
موافقید پادکست صوتی کتاب ثبت دائمی (1) رو بزارم براتون ؟!
اگر موافقید لایک کنید
چی باعث شد تا ادوارد اسنودن؛ جاسوس سابق سازمان سیا (CIA)، اطلاعات محرمانه کشورش رو فاش و خانه و وطنش رو ترک کنه؟ این افسر سابق آژانس امنیت ملی آمریکا، چه جوری و با چه دل و جراتی خطرات این راه رو به جون و دل خرید و در یک مسیر بیبرگشت، قدم گذاشت؟
اگر موافقید لایک کنید
چی باعث شد تا ادوارد اسنودن؛ جاسوس سابق سازمان سیا (CIA)، اطلاعات محرمانه کشورش رو فاش و خانه و وطنش رو ترک کنه؟ این افسر سابق آژانس امنیت ملی آمریکا، چه جوری و با چه دل و جراتی خطرات این راه رو به جون و دل خرید و در یک مسیر بیبرگشت، قدم گذاشت؟
👍10
دوره های امنیتی 🎫
موافقید پادکست صوتی کتاب ثبت دائمی (1) رو بزارم براتون ؟! اگر موافقید لایک کنید چی باعث شد تا ادوارد اسنودن؛ جاسوس سابق سازمان سیا (CIA)، اطلاعات محرمانه کشورش رو فاش و خانه و وطنش رو ترک کنه؟ این افسر سابق آژانس امنیت ملی آمریکا، چه جوری و با چه دل و…
ثبت دائمی
📻@newamoz
اینم از پادکست ثبت دائمی
HTTP.The.Definitive.Guide.Brian.Totty.David.Gourley.OReilly.pdf
9.5 MB
Http The Definitive Guide
@ViperNull
@ViperNull
Forwarded from NSEs
اگه به چلنج های نتورک فارنزیک علاقه دارید
https://cybertalents.com/challenges/network/
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
https://cybertalents.com/challenges/network/
➖➖➖➖➖
CHANNEL
GROUP
DISCORD
CyberTalents
Network Security » CyberTalents
Cyber Talents is a platform that ranks cyber security talents across the globe according to their skills in different cyber security categories through Capture The Flag Contests in order to be hired by recruiters.
🔥5