WAF چیه و چطور کار می‌کنه؟

⭕WAF یا Web Application Firewall⭕
یه فایروال مخصوص لایه ۷ از مدل OSI هست که دقیقاً برای محافظت از اپلیکیشن‌های تحت وب طراحی شده. برخلاف فایروال‌های معمولی که روی ترافیک شبکه یا لایه‌های پایین‌تر تمرکز دارن، WAF مستقیماً با پروتکل‌های HTTP و HTTPS تخصصی کارمیکنه داره.
هدف اصلی WAF اینه که جلوی حملات تحت وب مثل SQL Injection، Cross-Site Scripting (XSS)، File Inclusion، و کلی تهدید دیگه رو بگیره.

WAF دقیقاً چه کاری می‌کنه؟

وقتی ترافیک وب از سمت کاربر (کلاینت) به سمت وب‌سایت ما ارسال می‌شه، WAF وارد عمل میشه

تمام requestها و responseها رو بررسی می‌کنه

مقدار تمام inputهایی که کاربر فرستاده رو تحلیل میکنه

دنبال الگوهای مخرب، کدهای مشکوک، و رفتارهای غیرعادی می‌گرده

اگه چیزی مشکوک باشه، اون درخواست رو بلاک می‌کنه یا هشدار میده

برای اینکه بتونه این کار رو انجام بده، WAF باید ترافیک رو بخونه و تحلیل کنه. اما چطور این امکان رو پیدا می‌کنه؟ اینجاست که بحث پروکسی‌ها مطرح میشه.

پروکسی و نقش اون در WAF

WAF
معمولاً خودش رو جای وب‌سرور جا میزنه. یعنی وقتی کاربر از بیرون می‌خواد به سایت ما وصل بشه، در واقع اول به WAF وصل میشه
چرا؟ چون WAF به صورت یه Reverse Proxy وسط قرار میگیره.

پروکسی چیه؟

پروکسی یه واسطه‌ست که بین کلاینت و سرور قرار می‌گیره و ترافیک رو دریافت، تحلیل و بعداً ارسال میکنه. این وسط، پروکسی ترافیک رو:

Decapsulate (بازش می‌کنه و می‌خونه)

بعد از پردازش، دوباره Encapsulate می‌کنه (بسته‌بندیش می‌کنه و می‌فرسته جلو)

دو حالت کلی برای استفاده از پروکسی داریم:

1. Reverse Proxy (پروکسی معکوس):

برای وقتی که یه کلاینت از بیرون شبکه می‌خواد به سایت ما دسترسی داشته باشه.
در این حالت:

ادرس IP پابلیک ما روی WAF تنظیم شده

کلاینت فکر میکنه داره به سرور ما وصل می‌شه، ولی در واقع WAF درخواست رو می‌گیره ‼

بعد از بررسی، WAF خودش درخواست رو به سرور داخلی می‌فرسته، با IP خودش به عنوان مبدا

یعنی لایه ۳ و ۴ تغییر میکنه، در نتیجه این روتینگ نیست، پروکسیه

2. Forward Proxy (پروکسی مستقیم):

برای وقتی که کاربر داخل شبکه ما می‌خواد به یه سایت بیرونی وصل بشه.

اینجا WAF یا یه پراکسی دیگه میاد بین کاربر و اینترنت قرار میگیره

می‌تونه ترافیک خروجی رو هم بررسی و محدود کنه

چرا WAF ترافیک رو می‌تونه بخونه؟

به خاطر اینکه در این سناریو، WAF پایان ارتباط TLS هست SSL Termination یعنی

گواهی SSL روی WAF نصب شده

ترافیک HTTPS به WAF میرسه و اون می‌تونه دیکریپتش کنه

بعد از تحلیل، دوباره به صورت رمزنگاری‌شده یا غیررمزنگاری‌شده به سرور فرستاده می‌شه

قابلیت‌های مهم WAF:

جلوگیری از حملات OWASP Top 10

بررسی دقیق Request/Response

فیلتر بر اساس IP، Geo، User-Agent و ...

قابلیت Rate Limiting و جلوگیری از Brute Force

گزارش‌گیری و لاگ‌برداری از ترافیک مشکوک

بعضی‌هاش حتی قابلیت Bot Management دارن

انواع WAF:

Cloud-based WAF
مثل Cloudflare, AWS WAF، نیاز به نصب نداره، مقیاس‌پذیر و راحت

Host-based WAF
نصب روی همون سروری که اپلیکیشن هست (مثل ModSecurity روی Apache/NGINX)

Network-based WAF
به صورت فیزیکی یا مجازی روی شبکه قرار می‌گیره و ترافیک رو مستقیم بررسی میکنه
https://news.1rj.ru/str/ViperNull

‼سه باند باج‌افزاری روی موج یک باگ خطرناک — ماجرای CVE-2025-31324‼

تصور کن یه در مخفی توی یکی از قلعه‌های مهم دنیای فناوری (SAP NetWeaver) پیدا بشه، در حالی که نگهبان‌ها خبر ندارن و مهاجم‌ها ازش رفت‌و‌آمد می‌کنن
این دقیقاً داستان باگ امنیتی جدیدیه به اسم CVE-2025-31324. این حفره امنیتی مثل یه مسیر مخفی بود که هکرا تونستن ازش وارد بشن و عملیات خودشونو اجرا کنن

حالا چه خبره؟ دست‌کم سه گروه خطرناک باج‌افزاری خیلی سریع خودشونو به این باگ رسوندن و دارن ازش سواستفاده میکنن. این گروه‌ها عبارت‌اند از:

1. BianLian

یه باند بدنام باج‌افزاری که قبلاً هم سابقه حملات شدید و پیشرفته رو داشته. به‌جای رمزگذاری اطلاعات، معمولاً روی افشای داده‌ها تمرکز دارن تا قربانی‌ها رو وادار به پرداخت باج کنن.

2. RansomExx (معروف به Storm-2460)

این گروه هم بیشتر با حملات به سازمان‌های دولتی و بزرگ شناخته می‌شه. اون‌ها معمولاً از ابزارهای پیچیده و سفارشی شده استفاده می‌کنن.

3. Qilin

یه باند روسی باج‌افزاری که به‌صورت گروهی و سازمان‌یافته عمل می‌کنه. Qilin قبلاً هم توی چند حمله به زیرساخت‌های حیاتی نقش داشته و حالا دوباره برگشته!

چطوری حمله می‌کنن؟

اگه بخوام خیلی ساده توضیح بدم، روششون اینطوریه:

آپلود یه شل مخرب روی سرور SAP آسیب‌پذیر

اجرای فایلی به نام rs64c.exe (یه ابزار برای دسترسی بیشتر و کنترل سیستم)

برقراری ارتباط با سرور کنترل و فرمان (Cobalt Strike C2)

اجرای کدهای مخرب برای نفوذ عمیق‌تر به شبکه قربانی

مثل اینه که یه گروه دزد با کلید یدکی، شبانه وارد بانک بشن، با دوربین حرف بزنن (C2)، و قدم‌به‌قدم راه نفوذشون رو گسترش بدن.

یه ابزار عجیب: PipeMagic

این گروه‌ها از یه تروجان خاص به اسم PipeMagic هم استفاده کردن. این ابزار مثل یه جعبه‌ابزار چندکاره برای نفوذ عمیق‌تره و قبلاً هم در حملات مربوط به یه باگ دیگه در ویندوز دیده شده بود.

ردپای چینی‌ها هم پیدا شد!

جالبه بدونی که فقط این سه گروه نبودن که از این باگ سو‌استفاده کردن. گروه‌های چینی هم وارد ماجرا شدن و تونستن از همین حفره برای اجرای فایل‌های مخرب خودشون استفاده کنن. نشون می‌ده این باگ خیلی وسوسه‌برانگیز بوده!

حرف آخر: زودتر از همه خبردار شدن!

نکته عجیب و نگران‌کننده اینجاست که هکرا از چند هفته قبل از افشای عمومی این باگ، ازش استفاده می‌کردن! یعنی در حالی که دنیا تازه فهمیده مشکل چیه، مهاجم‌ها قبلاً داشتن کارشونو می‌کردن. این نشون می‌ده که امنیت سایبری دیگه یه گزینه نیست؛ یه نیاز حتمی و فوریه

پیشنهاد امنیتی:
اگه از SAP NetWeaver یا هر سیستمی که به اینترنت وصله استفاده می‌کنی، حتماً وصله‌های امنیتی رو سریع نصب کن. از ابزارهای تشخیص نفوذ مثل EDR استفاده کن و ارتباطات خروجی سرور رو دقیق بررسی کن. چون ممکنه یکی از همین گروه‌ها همین الان داخل قلعه‌ت باشه.

https://news.1rj.ru/str/ViperNull

#پادکست
🎤 اپیزود 85 رادیو امنیت - پگاسوس و دنیای تاریک جاسوسی - سی‌ام اردیبهشت 1404

💠 موضوعات این قسمت:
00:14 مقدمه
02:28 هک پنل مدیریتی باج‌افزار LockBit و افشای جزئیات داخلی
11:28 جریمه 530 میلیون یورویی تیک‌تاک به دلیل نقض GDPR
16:43 انتشار بدافزار Noodlophile توسط تولیدکننده‌های جعلی ویدئوی هوش مصنوعی
29:00 سواستفاده از آسیب‌پذیری زیرودی MDaemon توسط گروه APT28
40:54 جریمه 168میلیون یورویی گروه NSO (سازنده بدافزار پگاسوس)
50:37 انتشار نسخه چهارم OtterCookie با قابلیت‌های جدید

⬅️ لینک CastBox
https://lian.ac/BrZ

⬅️ مشاهده ایپزودهای قبلی:
https://liangroup.net/home/podcast

تغییرات زیادی از این قسمت تو برنامه رادیو امنیت (سیف‌کست) بوجود اومده. منتظر نقطه نظرات شما هستیم.

🔸 اطلاعات بیشتر:
☺️ 02191004151 | 😎 WhatsApp | 😎 Telegram

💻 گروه لیان
☺️ https://liangroup.net/
☺️ @AcademyLian

#کتاب فارنزیک فایل سیستم

بررسی ابزارهای تحلیل و ردگیری IP در اوسینت (OSINT)
در فرایند جمع‌آوری اطلاعات از طریق اوسینت، بررسی آدرس‌های IP می‌تواند داده‌های ارزشمندی درباره موقعیت جغرافیایی، وضعیت امنیتی، ارتباطات دامنه‌ای و نشتی اطلاعات در اختیار ما بگذارد.
در این راستا، ابزارها و سرویس‌های متعددی برای تحلیل IP وجود دارد که در دسته‌بندی‌های مختلف قابل معرفی هستند:

موقعیت جغرافیایی (GeoIP):
برای تعیین موقعیت IPها می‌توان از سرویس‌هایی نظیر MaxMind، SypexGeo و IPinfo استفاده کرد.

اطلاعات مالکیت دامنه و DNS:
ابزارهایی چون DomainTools، ViewDNS، DNSDumpster، PTRArchive و DNSlytics امکان مشاهده اطلاعات WHOIS، تحلیل رکوردهای DNS و شناسایی دامنه‌های مرتبط با یک IP را فراهم می‌کنند.

نشت داده‌ها (Data Leaks):
سرویس‌هایی مانند IntelX، LeakIX و آرشیو CyberHub امکان بررسی افشای اطلاعات مرتبط با IP را در منابع عمومی فراهم می‌سازند.

ارزیابی کیفیت و شهرت IP:
Talos Intelligence و IPQualityScore دو ابزار مفید برای بررسی اعتبار و ریسک احتمالی IPها هستند.

سرویس‌های مربوط به اینترنت اشیا (IoT):
پایگاه‌هایی مانند Shodan، ZoomEye، Censys، FOFA و Spyse امکان شناسایی دستگاه‌های متصل به اینترنت را از طریق IP می‌دهند.

چارچوب‌ها و ابزارهای خودکار تحلیل:
Frameworkهایی مانند Spiderfoot و OTX (AlienVault) برای تحلیل جامع داده‌های مربوط به IP کاربرد دارند.

تصویری‌سازی و ارتباط‌سنجی:
ThreatCrowd از جمله ابزارهایی است که ارتباط بین IP، دامنه و ایمیل را به‌صورت گرافیکی نمایش می‌دهد.

رهگیری و ثبت IP از طریق لینک‌ها:
برای ثبت آدرس‌های IP بازدیدکننده از لینک‌ها می‌توان از سرویس‌هایی مانند CanaryTokens، Grabify و IPLogger بهره گرفت.

نظارت بر دانلودهای همتا به همتا:
وب‌سایتی مانند IKnowWhatYouDownload می‌تواند سابقه دانلودهای انجام‌شده با یک IP را نشان دهد.


https://news.1rj.ru/str/ViperNull

#پادکست
🎤 اپیزود 86 رادیو امنیت - هکر مصنوعی؛ شکارگر کرنل - هفتم خرداد 1404

💠 موضوعات این قسمت:
00:14 مقدمه
04:36 آسیب‌پذیری بحرانی‌ در Windows Server 2025
15:51 کمپین جدید و پیشرفته‌ی بدافزاری
29:13 کمپین جاسوسی APT28 علیه زیرساخت‌های حیاتی در اروپا و آمریکا
42:20 هکر مصنوعی؛ شکارگر کرنل

⬅️ لینک CastBox
https://lian.ac/VWJ

⬅️ مطالعه بیشتر:
https://liangroup.net/blog/microsoft-outlook-cve-2023-23397/

⬅️ مشاهده ایپزودهای قبلی:
https://liangroup.net/home/podcast

🔸 اطلاعات بیشتر:
☺️ 02191004151 | 😎 WhatsApp | 😎 Telegram

💻 گروه لیان
☺️ https://liangroup.net/
☺️ @AcademyLian

https://news.1rj.ru/str/ViperNull


چنل نویسنده ؛
https://news.1rj.ru/str/WrongBug

https://news.1rj.ru/str/ViperNull


چنل نویسنده ؛
  https://news.1rj.ru/str/WrongBug

دوستان رفیقمون یه کتابچه خفن نوشته راجب ابزار netDiscover  ازش حمایت کنین  و پیشنهاد میکنم مطالعش کنین

چنل رفیقمون :
https://news.1rj.ru/str/WrongBug

Step into the ultimate #BlackHat Cybersecurity Escape Room Challenge and test your skills in digital forensics! A rogue insider has exfiltrated sensitive data right under the radar—can you uncover their tactics before it’s too late? Learn more >> https://bit.ly/4ko2ftw


توصیه میکنم حتما بشینید چلنجش رو حل کنید یه سناریو بهتون میده و تو هر بخشش بهت سوالات چهارگزینه ای میده که با توجه به سناریو باید گزینه درست رو انتخاب کنید

➖➖➖➖➖
CHANNEL  
GROUP
DISCORD

یه سناریوی باحال از Black Hatباید یه کارمند نفوذی رو شناسایی می‌کردیم که یسری اطلاعات می‌دزدید

طرف با دستکاری دسترسی‌ها، رمز ادمین دزدید
داده‌ها رو تکه‌تکه کرد و با ترافیک عادی فرستاد بیرون
هیچ سیستمی هم نفهمید چون از روش‌های حرفه‌ای استفاده کرد

آخرش با بررسی لاگ‌ها ترافیک شبکه و رفتار کاربر متوجه کاراش میشین

پیشنهادمیکنم این سناریو رو انجام بدین

https://news.1rj.ru/str/ViperNull

معرفی کتاب "The Ghidra Book"

📚 نام کتاب: The Ghidra Book: The Definitive Guide
✍️ نویسندگان: Chris Eagle و Kara Nance
📅 انتشار: سال 2020
📖 موضوع: مهندسی معکوس با Ghidra


🔍 کتاب درباره چی هست؟

کتاب The Ghidra Book یکی از بهترین منابع برای یادگیری Ghidra، ابزار رایگان و متن‌باز تحلیل باینری توسعه‌یافته توسط NSA است. این کتاب از مقدماتی تا پیشرفته تمام قابلیت‌های Ghidra رو آموزش می‌ده و به مهندسی معکوس نرم‌افزارها، آنالیز بدافزارها و کرک کردن باینری‌ها می‌پردازه

500 🔥