تمام کسانی که به صورت حرفه ای دارن تست نفوذ وب یا شبکه کار میکنن میدونن که سایتهای حرفه ای همه پشت فایروال وب یا شبکه(بستگی به سناریو داره) هستن و حتی گاهی پشت چند فایروال و این یه امر بدیهی محسوب میشه خصوصا تو شرکتهای بزرگ

حالا چه به عنوان نیروی امنیتی چه ضد امنیت باید آشنایی کافی با توانایی ها و رفتار اونها داشته باشیم تا قدرت کارمون رو افزایش بدیم
-از نگاه امنیتی برای بهینه کردن توان
-از نگاه ضد امنیتی برای تشخیص و دور زدن اون

ما تو اموزش هر فایروال به صورت عملی از شبکه یا وب سایت غیر ایمن خودمون توسط اون فایروال محافظت و کار اون رو بهینه میکنیم و بعد تا حد امکان راه های دور زدن و نقطه ضعف های احتمالی میس کانفیگ و ... اونها گفته میشه

پس هدف فقط آموزش فایروال نیس بلکه استفاده عملی در پروژه گفته میشه

سلام به همه دانشجویان و ... عزیز
دیگه نیازی به گفتن نداره که تو این چند روز اختلال تو دسترسی به پلتفرم های خارجی داریم و من هم از این قاعده مستثنی نیستم

خیلی از کلاسهام تو این هفته و اواخر هفته قبل به دلیل عدم دسترسی به اینترنت قابل استفاده ,تعطیل شدن و این روند احتمال داره تا آخر هفته ادامه داشته باشه

برای همین پیشاپیش بگم اگر برگزاری کلاسی رو اعلام نکردم پیش فرض بر عدم برگزاریه مگر اینکه خلافش رو اعلام کنم(دفت کنین پیش فرض بر عدم برگزاریه)

Fortinet RCE (CVE-2022-40684)

Shodan Dork:
product:"Fortinet FortiGate"

Research:
https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/

PoC:
https://github.com/horizon3ai/CVE-2022-40684

Detection for SOC:
https://www.horizon3.ai/fortinet-iocs-cve-2022-40684/

موقعی این ویدیو رو کپچر کردم و گفتم خیلی از نرم افزارهای بومی از همین روش ساخته و تولید میشن خیلی از دوستان طعنه زدن و مسخره کردن
اما گذر زمان همیشه حقیقت رو افشا میکنه

چند وقت پیش با چند تا از دانشجوهام بحث میکردم که واقعا یه شرکت ایرانی که هیچ ارتباط و پروژه بین المللی نداره چرا برای اینکه از قافله عقب نمونه مصاحبه انگلیسی میگیره
دلیل واقعیش اینه کلاس داره

سلام
تقریبا تمام مخاطبین کانال با حمله مهندسی اجتماعی آشنا هستن( اگر هم آشنا نیستین یه سری ویدیو هم تو کانال و هم آپارات و ... itshield قبلا کپچر کردم که ببینین) الان میخام‌یه نمونه حمله مهندسی غلط که بدون هیچ دانشی امروز برای من ایجاد شد رو بهتون معرفی کنم
( البته تعدادش توی این چند وقت زیاد شده خصوصا تو مسائل سیاسی که قابل ارائه اینجا نیس اما این یکی یه نمونه خوب برای ارائه دادنه)
👇👇👇

نقاط ضعف:
۱- اکانت تازه ساخته شده و عدم آگاهی به اینکه اینستاگرام این رو اعلام میکنه
۲- عدم ساختن رزومه کاری و ارتباطی قبلی( هیچ پست و فالوری نداره)
۳- معرفی به عنوان مدیر منطقه ای یک رسانه که هیچ سایت و تلفن و .... حتی کانال تلگرام مثلا نداره که راه ارتباطیش فقط یه اکانت تلکرام باشه که یک طرفه است
۴- عدم شناخت من که ۵۰۰ تومن عددی نیس که باعث برانگیخته شدن حس طمع من بشه
۵- استفاده از کاراکترهای بی معنا برای ساخت اکانت اینستاگرام
و ...
طرف فکر کرده همین که یه عکس صورت خانم بزاره و بگه من مدیر هستم و ... پس دیگه حله
( البته نوع نوشتار متن و نوع عکس استفاده شده نشان گر هویت اجتماعی و اخلاقی فرد پشت حمله هست که دیگه اونها نیازی به توضیح نیس اینجا و مباخث فارنزیکی این حمله است)

الان چند نفر از دانشجویان خبری بهم دادن که واقعا شوکه شدم
«آکادمی راوین تحریم شد»😳 توسط وزارت خزانه داری آمریکا😳
تا الان همکاری با این مجموعه آموزشی نداشتم اما خب چند نفر از اساتیدش رو به طور کامل میشناسم ( برخیشون در نقش دانشجو و برخی در نقش استاد و برخی در نقش دوست و رفیق قدیم)
این بدترین نوع تحریمه که کسانی رو تحریم کنی که در یک‌کشور خدمات آموزشی اون هم از نوع امنیت در حوزه سایبری میدن
اون هم توی این بازار شیر تو‌ شیر امنیت در کشورمون که نیاز به هیچ توضیح و تفسیری نیست
امیدوارم در خدمات آموزشی مجموعه خوب راوین خللی ایجاد نشه

Nice Url

برای یه پروژه آموزشی تست نفوذ اسکادا و وب اومدم سیرجان
بعد با این بنا روبرو شدم که هیچ رسیدگی بهش نمیشه( اینش برام مهم نبود ) اما همانطور که میبینین تاریخ روی دیوار زده برای سال ۱۲۷۴ یعنی بیشتر از یه قرن پیش ولی با اینکه کلا از خشت و گل ساخته شده هنوز این نمای گلی خودش رو به زیبایی حفظ کرده خیلی بهتر از نماهای امروزی .... 🌹
یخدانهای دو قلو - سیرجان

چک کردن xss در صفحه ثبت نام سایت
Checking the xss on the registration page

کدنویسی امن در پی اچ پی (آپلود فایل)
PHP Secure Code (Uploader)
این ارائه برای دوره های کد نویسی امن شرکت های غول امنیت مثل Sans هم قفله چون این ترکیب دیباگینگ از مهندسی معکوس و کدنویسی امنه و جالبش اینجاس که چک کردن این مورد رو با توابع پیشفرض پی اچ پی بدون استفاده از فریمورک خاصی میشه انجام داد

شروع ضبط برنامه ای با موضوع امنیت سایبری
حالا اینکه چند قسمت میشه و کی آماده پخش میشه خدا می داند
بیچاره کلی روی لباس پوشیدن و ... من کار کردن تا همین ازم دراومد
به کارگردان و ... گفتم عزیزم از اینکه من تو‌ صنعت مدلینگ نبودم شرمنده
من کارم امنیت سایبریه
ته هنرم این بوده در ماه یه بار موهام رو شونه کنم اونم اتفاقی
اولین لباسهایی هم که تو کمد میومده دستم میپوشیدم
ازم چه انتظاری داری؟😁

بخشی از دوره تست نفوذ شبکه
کار با ابزارهای :
smbmap
smbclient

episode-033
#video

👆دوره رایگان پایتون برای تست نفوذ قسمت مقدماتیش تموم‌شد و از این ویدیو مباحث اصلی دوره شروع میشه اگر پایتون رو با هدف امنیت میخایین برین جلو بدون هیچگونه هزینه ای این دوره رو ببینین
📢اگر با باپایتون آشنایی ندارین از ویدیوی اول دوره ببینین تا ویدیو ۳۲ که مقدماتیه ( البته تو همین مقدماتی ما برنامه چت و باج افزار و کنترل سیستم و .... نوشتیم)
📢اگر با پایتون کار کردین و فقط ابزار امنیتی حرفه ای میخایین بنویسین از ویدیوی ۳۳ همراه ما باشین تا ابزارها و روش های حرفه ای در پایتون‌رو‌ باهم بریم جلو
🌹هزینه شرکت در دوره : ارسال فاتحه برای فرزندان مرحوم من
🥷سعی کردم دوره رو جوری بیارم جلو و بعد از این ببرم جلو که نیازی به شرکت در هیچ دوره پایتون دیگه ای نداشته باشین
https://news.1rj.ru/str/PythonForPentester
راستی انتهای دوره آزمون عملی گرفته میشه و در صورت موفقیت مدرک پایتون برای تست نفوذ از آکادمی دوران ( درصورت درخواستتون) براتون صادر میشه

درخواستهای زیادی همیشه میشد که تو حوزه اتوماسیون صنعتی و اسکادا هم ویدیو بزارم که از امروز شروع کردم به این کار
ابتدای امر تو چند ویدیو سعی میکنم ابزارهای اولیه رو معرفی کنم و بعدا اگر عمری بود شروع کنم به تولید محتواهای تست نفوذ در این حوزه برای عموم

ویدیوی اول - معرفی ابزار شبیه ساز Factory IO

لذت میبرم موقعی میبینم تیم آموزش یک‌شرکت در کلاس یه آموزشگاه استاندارد دوره تدوین و طراحی میکنه برای نیروهاشون

خودم روی طرح, عینک گذاشتم بعدا از تصویر این پست سوءاستفاده نشه😎