digMeMore – Telegram
digMeMore
@digmemore
6.94K subscribers
249 photos
18 videos
24 files
529 links
Contact: @YShahinzadeh
Download Telegram
About
Blog
Apps
Platform
Join
digMeMore
6.94K subscribers
digMeMore
https://memoryleaks.ir/where-to-start-secure-coding
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
کدنویسی امن از کجا شروع می‌شود؟ - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
مهم نیست که توسعه‌دهنده چه زبانی هستید و با چه تکنولوژی ای مشغول به کارید ! نقش این ویدئو، گذاشتن عینک امنیتی بر چشمان همه‌ی توسعه‌دهنده هایی که دوست دارن نرم افزارایی که تولید میکنن در بهترین سطوح امنیت باشه و قراره دروازه‌ای باشه تا اونها رو به دالان پر…
4.33K viewsYasho
digMeMore
https://medium.com/bugbountywriteup/2fa-bypass-on-instagram-through-a-vulnerable-endpoint-b092498af178
Medium
2FA Bypass On Instagram Through A Vulnerable Endpoint
This report is about the missing 2FA check on Instagram login when a user uses the ‘Secure account here’ option from ‘Email changed’…
2.22K viewsYasho
digMeMore
https://memoryleaks.ir/analysis-of-xss-found-in-bug-bounty
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
روش کشف XSS در برنامه بانتی خارجی - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
سلام عماد هستم، این اولین نوشتار من برای مموری لیکز هست، تو این نوشتار میخواهیم یک بررسی بر روی فرآیند Automate کردن XSS داشته باشیم که بتونیم تو کمترین زمان ممکن به نتیجه برسیم. داستان از کشف آسیب‌پذیری Reflected DOM XSS توی یکی از برنامه‌های باگ‌بانتی خارجی…
2.33K viewsYasho
digMeMore
به درخواست دوستان Comment رو روی پست‌ها فعال کردم
2.19K viewsYasho
digMeMore
https://twitter.com/aVoorivex/status/1335938581970493443?s=19
1.85K viewsYasho
digMeMore
چند ساعت پیش FireEye طی بیانیه‌ای اعلام کرد که توسط یه گروه هکری خیلی قوی مورد نفوذ قرار گرفته. میشه گفت FireEye برترین شرکت امنیتی دنیا توی حوزه Threat Intelligence هست و کارفرماهای بسیار زیادی داره. تحلیل‌ها و کشفیات این شرکت واقعا Next Level هستن. بر اساس بیانیه این شرکت، گروه هکری (که به روسیه و سیستم اطلاعاتیش منتسب شده) به این شرکت نفوذ کرده و به یکی از ابرازهای مهمی که در فرآیند Red Team Pentest استفاده میشده دسترسی گرفتن.

البته FireEye اعلام کرده که هیچ اکسپلویت 0day توی این ابزار نبوده (اگه می‌بوده جرم بوده؟) ولی این ابزار بسیار قدرتمند بوده و هکرایی که به اون دسترسی دارن الان می‌تونن ازش برای نفوذ استفاده کنن. همچنین جای نگران کننده ماجرا اینه که نفوذ به FireEye بر اساس یه روش بسیار پیشرفته و قبلا استفاده نشده بوده (novelty) که ما کمک ماکروسافت کشف شده. تقریبا با یه چیزی مثل این هک مواجه هستیم، ولی بنظر من حرفه‌ای تر بوده و ممکنه ابعادش از این بازتاب بیشتر بوده باشه

https://memoryleaks.ir/hackback-a-diy-guide/

شرکت FireEye سریعا نحوه دفاع دربرابر ابزار لو رفته رو توی گیت‌هابش گذاشته که از لینک زیر قابل دسترسی هست. چیزی که خیلی الان مهمه اینه که سازمان‌ها همه خودشون رو نسبت به این آسیب‌پذیری‌ها امن کنن. این لیست آسیب‌پذیری‌هایی هست که ابزار از اکسپلویتشون توی فرآیند Red Team استفاده می‌کرده. اینا همه قبلا بودن ولی همین که کنار هم توی یه صفحه قرار گرفتن و FireEye ازشون استفاده می‌کرده الان Popular میشن

https://github.com/fireeye/red_team_tool_countermeasures

مورد بعدی اینکه FBI به صورت خیلی جدی داره این کیس رو بررسی می‌کنه. توصیفی که برای این گروه هکری انتخاب شده هم جالبه: «highly sophisticated state-sponsored attacker utilizing novel techniques»

امیدوارم سازمان‌های ما حداقل الان در برابر این CVEها سریعا امن بشن. الان همه‌چیز کامل مشخصه دیگه فقط باید دفاع بشه. واقعا امیدوارم نحوه نفوذ رو منتشر کنن که الته بعید می‌دونم چنین اتفاقی بیفته (مگر از سمت گروه هکری، که اونم بعیده)
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
HackBack - A DIY GUIDE - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
مقدمه‌ی مترجم یکی از راه‌های افزایش دانش و مهارت در زمینه‌های مختلف از جمله امنیت اطلاعات، مطالعه و بررسی رویداد‌های واقعی به عنوان نمونه است. مطلب پیش رو ترجمه‌ای از گزارش یک حمله‌ی سایبری معروف است. در سال 2015 یک هکر با نام مستعار Phineas Fisher شرکت معروف…
3.79K viewsYasho
digMeMore
رادیو امنیت -قسمت سیزدهم
LianGroup.net
#رادیو_امنیت #رادیو_امنیت_قسمت_سیزدهم

تهیه‌کننده : گروه لیان
مجری : الهه بهشتی
کارشناسان فنی : یاشار شاهین‌زاده، علیرضا وزیری، وحید علمی
تدوین و میکس : وحید فرهنگ، بهمن پازوکی

به‌منظور مشاهده اپیزودهای قبلی می‌توانید به لینک زیر مراجعه نمایید :

https://liantech.net/blog/radio-amniat/

——————————————————
Lian Group : @LianSec & @ITRoadMap
——————————————————
2.06K viewsYasho
digMeMore
سلام،‌ استریم‌هام رو دیگه روی این آدرس میرم

https://www.twitch.tv/voorivex
Twitch
Voorivex - Twitch
Voorivex streams live on Twitch! Check out their videos, sign up to chat, and join their community.
2.29K viewsYasho
digMeMore
https://memoryleaks.ir/class
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
کلاس - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
بچه‌ها یه سری اطلاعات خلاصه اینجا گذاشتم، ولی اصل مطلب (+لینک پرداخت ثبت‌نام هر کلاس) رو توی این لینک میتونین خیلی کامل‌تر پیدا کنین. اطلاع‌رسانی ثبت‌نام دوره‌ها از طریق شبکه‌های اجتماعی انجام میشه. می‌تونید منو توی اینستاگرام، توئیتر و تلگرام دنبال کنین.…
2.39K viewsYasho
digMeMore
Forwarded from RavinAcademy
📽 ویدیوی دورهمی #یلدای_سرخ‌آبی رو می‌تونید امشب از ساعت 20 در twitch.tv/ravinacademy ببینید.

🔥 مهمون بسیار ویژه‌ی ما، «بهروز صادقی‌پور NahamSec» عزیز هست که در انتهای برنامه می‌تونید مصاحبش رو به زبان فارسی ببینید.

@RavinAcademy
2.29K viewsYasho
digMeMore
Forwarded from RavinAcademy
🥁 ویدیوی دورهمی #یلدای_سرخ‌آبی منتشر شد.

📽 این ویدیو رو از لینک زیر می‌تونید تماشا کنید:

https://youtu.be/A7mjbIk5Vt4

@RavinAcademy
2.55K viewsYasho
digMeMore
چند وقت پیش بحث شد راجع به کشف آی.پی اصلی پشت CDN. عماد یه پست راجع به همین موضوع نوشته. اگه کسب و کار دارین و میخواین بدونین هانترا چطور دنبال آی.پی اصلی می‌گردن شاید این پست براتون جالب باشه.

https://memoryleaks.ir/origin-ip-address-discovery-behind-cdn/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
پیدا کردن Origin IP پشت CDN - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
سلام، با دومین نوشتارم برای مموری لیکز در‌خدمتتون هستم. موضوع این مقاله از این توییت که یاشار گذاشت شروع شد، کامنت دوستان رو که میخوندم متوجه شدم یک چالش برای همه ایجاد شده و همه دنبال راه‌هایی هستند که IP وب سرور پشت CDN را پیدا کنند، تصمیم گرفتم یک پست…
2.91K viewsYasho
digMeMore
https://memoryleaks.ir/android-phishing-malware-analysis
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
آنالیز بدافزار فیشینگ اندرویدی - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
در برهه‌ای از تاریخ زندگی می‌کنیم که بازار بدافزار‌های اندرویدی بیش از پیش داغه و عملا به یک هدف خوب برای کلاه‌برداران و جاسوسان تبدیل شده است. چرا که پلتفرم اندروید نسبت به سایر پلتفرم ها دسترسی بیشتری از سیستم به کاربر ‌داده و تلفن همراه به عنوان وسیله‌ای…
2.57K viewsYasho
digMeMore
این پست فنی نیست، یکم براتون خاطره نوشتم از قدیما، دوست داشتید بخونید

https://twitter.com/voorivex/status/1355963660695441410?s=19
Twitter
یاشو
مخ کامپیوتر فامیل بود،‌ هر کی هر مشکلی داشت بش می‌گفت و حل می‌کرد. تا اینجاش خوب بود،‌ ولی دیگه خانواده‌ها حرف بچه‌ها رو قبول نداشتن و فقط عمو باید در رابطه با تجهزیات کامپیوتری حکم می‌داد، این تیکش به شدت رو مخ بود. اولین باری که کامپیوتر میخو‌استم بگیرم…
2.68K viewsYasho
digMeMore
یک ماه پیش روی لاراول یه آسیب‌پذیری خطرناک پیدا شد (پچ کنید اگه اقدامی نکردین)، توی این پست روش کشف چنین آسیب‌پذیری روی برنامه‌های بانتی رو براتون نوشتم، یطورایی میشه این تیتر رو هم زد براش: «نحوه پول کردن آسیب‌پذیری‌های عمومی»

https://memoryleaks.ir/recent-laravel-rce-in-bugbounty/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
آسیب‌پذیری اخیر لاراول و باگ‌بانتی - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
چند وقتی هست که از کشف یک آسیب‌پذیری RCE در لاراول می‌گذره (جزئیات بیشتر). مهاجم با استفاده از این آسیب‌پذیری می‌تونه روی وسایت کدهای مخرب خودش رو اجرا کنه و در نهایت به اجرای دستور سیستم‌عاملی یا Command Injection برسه. تو این بلاگ به‌صورت کامل می‌تونید…
2.62K viewsYasho
digMeMore
Racce condition by Burp Turbo Intruder
2.05K viewsYasho
digMeMore
‏این جزئیات آسیب‌پذیری «تصاحب حساب کاربری» که روی نماوا کشف شد و از طریق راورو بشون گزارش شد. one-click-login از لحاظ امنیتی توصیه نمیشه، ضعف امنیتی هم همون‌جا بوده.

اگه براتون جذاب بود قسمت دومش هم میذارم.

https://memoryleaks.ir/account-takeover-in-namava-program-1/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
تصاحب حساب کاربری نماوا - قسمت اول - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
شرکت نماوا چند وقتی هست توی برنامه بانتی راورو حضور داره و آسیب‌پذیری‌های خوبی بش گزارش شده. ما هم روی نماوا وقت گذاشتیم و چندین آسیب‌پذیری بشون گزارش دادیم. توی این پست و پست بعدی سعی می‌کنم جزئیات دو تا از آسیب‌پذیری‌هایی که بشون گزارش کردیم رو منتشر کنم.…
2.93K viewsYasho
digMeMore
Zimbra.pdf
20.6 MB
اسلایدهای ارائه آفسک - امیدوارم خوشتون بیاد
2.94K viewsYasho
digMeMore
Media is too big
VIEW IN TELEGRAM
توضیحاتی پیرامون دوره OWASP+
2.25K viewsYasho, edited  
digMeMore
پست جدید راجع به حل چالش Anonymous Playground از tryhackme عه. موضوعاتی مانند: رمزنگاری، مهندسی معکوس، اکسپلویت نویسی و ارتقاء سطح دسترسی توش مطرح میشه، امیدوارم خوشتون بیاد

https://memoryleaks.ir/anonymous-playground-walkthrough/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
حل چالش Anonymous Playground - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
چالش Anonymous Playground از CTF های tryhackme.com است ، که با موضوعاتی مانند : رمزنگاری ، مهندسی معکوس ، اکسپلویت نویسی و ارتقاء‎ سطح دسترسی همراه است و ما در این نوشتار قصد داریم از چگونگی حل آن صحبت کنیم .
2.33K viewsYasho
digMeMore
این پست راجع به آسیب‌پذیری که میشد باش وارد حساب دانشجوای پیام‌نور شد و اطلاعاتشون رو دید. مباحثی مثل Password Spray و دور زدن Captcha توی این پست مرور
میشه، امیدوارم خوشتون بیاد.

https://memoryleaks.ir/account-takeover-in-payamnour-lms
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
آسیب‌پذیری تصاحب اکانت سامانه LMS دانشگاه پیام نور - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
تقریبا یکسال پیش دانشگاه پیام نور به علت شیوع ویروس کرونا سامانه‌ای را طراحی کرد با نام سامانه LMS. هدف این سامانه ایجاد بستری جهت ایجاد کلاس‌های مجازی، همچنین محیطی برای گفت و گوی دانشجوها و اساتید با یک دیگر است. نکته مهم‌تر اطلاعاتی همچون شماره تماس و…
2.54K viewsYasho