localhost
همون طوری که خیلیاتون میدونید تو سایتا برای اینکه بفهمن هر درخواستی که میاد از طرف چه کاربری هستش از کوکی ( cookie ) استفاده میکنن خیلی ساده بخوایم توضیح بدیم یک کدی در مرورگر کاربر ذخیره میشه و در هر درخواستی که ارسال میشه کد هم داخل هدر درخواست قرار میگیره…
حالا این چطوری کار میکنه ؟
مثل همون کوکی یه کد برای شما ارسال و داخل مرورگر ذخیره میشه ، حالا این چیزی که براتون ارسال شده رو Base64 decode کنید یک json به شما میده که سه تا بخش داره
بخش اول (Header ) میاد میگه نوعش چیه و با چه کلیدی رمزنگاری شده
بخش دوم ( Payload) یک سری اطلاعات میتونه باشه ، مثل اسم ،یوزر نیم کاربر و ...
بخش سوم (Signature ) یک امضا دارید که با توجه به اطلاعات دو بخش قبلی و کلیدی که سمت سرور هست ساخته شده
خب فرقش با کوکی چیه ؟
فرقش اینجاست که دیگه سمت سرور هیچی ذخیره نمیشه
سرور میاد با کلیدی که داره و با توجه به بخش اول و دوم چک میکنه که امضا شما درست هست یا نه ، اگر کوچکترین تغییری داده باشید ( مثلا اسمتونو تو قسمتPayload عوض کرده باشید ) دیگه امضا معتبر نیست و کار نمیکنه
مزیتش چیه ؟
چون سمت سرور چیزی ذخیره نمیشه دیگه نگران از بین رفتن اطلاعات نیستی
نسبت به کوکی سبکتره
تو بعضی از ساختار ها پیاده سازی jwt خیلی بهتره ، مثلا اگر سایتتون روی چندتا سرور باشه دیگه نیازی به این نیست که Session Store داشته باشی
جلوی برخی آسیب پذیریها رو هم میگیره
مثل همون کوکی یه کد برای شما ارسال و داخل مرورگر ذخیره میشه ، حالا این چیزی که براتون ارسال شده رو Base64 decode کنید یک json به شما میده که سه تا بخش داره
بخش اول (Header ) میاد میگه نوعش چیه و با چه کلیدی رمزنگاری شده
بخش دوم ( Payload) یک سری اطلاعات میتونه باشه ، مثل اسم ،یوزر نیم کاربر و ...
بخش سوم (Signature ) یک امضا دارید که با توجه به اطلاعات دو بخش قبلی و کلیدی که سمت سرور هست ساخته شده
خب فرقش با کوکی چیه ؟
فرقش اینجاست که دیگه سمت سرور هیچی ذخیره نمیشه
سرور میاد با کلیدی که داره و با توجه به بخش اول و دوم چک میکنه که امضا شما درست هست یا نه ، اگر کوچکترین تغییری داده باشید ( مثلا اسمتونو تو قسمتPayload عوض کرده باشید ) دیگه امضا معتبر نیست و کار نمیکنه
مزیتش چیه ؟
چون سمت سرور چیزی ذخیره نمیشه دیگه نگران از بین رفتن اطلاعات نیستی
نسبت به کوکی سبکتره
تو بعضی از ساختار ها پیاده سازی jwt خیلی بهتره ، مثلا اگر سایتتون روی چندتا سرور باشه دیگه نیازی به این نیست که Session Store داشته باشی
جلوی برخی آسیب پذیریها رو هم میگیره
❤17👍5
localhost
حالا این چطوری کار میکنه ؟ مثل همون کوکی یه کد برای شما ارسال و داخل مرورگر ذخیره میشه ، حالا این چیزی که براتون ارسال شده رو Base64 decode کنید یک json به شما میده که سه تا بخش داره بخش اول (Header ) میاد میگه نوعش چیه و با چه کلیدی رمزنگاری شده بخش…
البته روی JWT هم باگ هست ، و باید تو پیاده سازیش مراقب باشید
https://www.youtube.com/watch?v=0R3xHx7fPUM
https://www.youtube.com/watch?v=0R3xHx7fPUM
YouTube
This Tiny JWT Mistake = Massive Bug Bounty
LIKE and SUBSCRIBE with NOTIFICATIONS ON if you enjoyed the video! 👍
📚 If you want to learn bug bounty hunting from me: https://bugbounty.nahamsec.training
💻 If you want to practice some of my free labs and challenges: https://app.hackinghub.io
💵 FREE…
📚 If you want to learn bug bounty hunting from me: https://bugbounty.nahamsec.training
💻 If you want to practice some of my free labs and challenges: https://app.hackinghub.io
💵 FREE…
👍10❤4
Forwarded from کانال شخصی حامد بیدی
⭕️ وزارت ارتباطات مدعی تغییر رویکرد نسبت به اینترنت است. اما کنشگران و متخصصان بهحق بدبین هستند و معتقدند دستاوردهای محدود این وزارت در قبال توقعات جامعه «هیچ» است. حالا وزارت ارتباطات همایشی با حضور منتقدان برگزار کرده. فردا اینجا از #حق_اینترنت خواهیم گفت:
evand.com/ict-ministry
✌️ شما هم بیایید تا صدایمان بلندتر شود. اگر هم اثری نداشته باشد، وظیفه اجتماعی و اخلاقی خود را در این نقطه مهم از تاریخ انجام دادهایم.
—
🔸 @hamedbd_channel
evand.com/ict-ministry
✌️ شما هم بیایید تا صدایمان بلندتر شود. اگر هم اثری نداشته باشد، وظیفه اجتماعی و اخلاقی خود را در این نقطه مهم از تاریخ انجام دادهایم.
—
🔸 @hamedbd_channel
🤣11❤1
فراخوان ایلاگ دهم
دوستانی که قبلا برای ایلاگ دهم ثبت نام کردن نیازی به ثبت نام ندارند.
اگر تشریف آوردید، میبینمتون.
https://B2n.ir/ut5228
دوستانی که قبلا برای ایلاگ دهم ثبت نام کردن نیازی به ثبت نام ندارند.
اگر تشریف آوردید، میبینمتون.
https://B2n.ir/ut5228
❤2
Forwarded from Web Application Security (Alireza)
تا حالا شده بخواین کل سرور های آسیب پذیر به یک CVE رو پیدا کنین؟
با shodan و فیلتر vuln این کار ممکنه، اما با اکانت رایگان نمیشه اینکارو انجام داد.
تو آموزشی که اینجا قرار میدم میتونیم این محدودیت رو بایپس کنیم و هزاران سرور آسیب پذیر به یک CVE خاص رو با اکانت رایگان پیدا کنیم.
برای مثال با این کوئری میتونیم کلی سرور آسیب پذیر به BlueKeep رو پیدا کنیم :
آموزش ساخت کوئری در ویدئو زیر :
با shodan و فیلتر vuln این کار ممکنه، اما با اکانت رایگان نمیشه اینکارو انجام داد.
تو آموزشی که اینجا قرار میدم میتونیم این محدودیت رو بایپس کنیم و هزاران سرور آسیب پذیر به یک CVE خاص رو با اکانت رایگان پیدا کنیم.
برای مثال با این کوئری میتونیم کلی سرور آسیب پذیر به BlueKeep رو پیدا کنیم :
Country:"JP" Org:"NTT DOCOMO,INC." OS:"Windows 7 Professional" ssl.version:"tlsv1" ssl.jarm:"26d26d16d26d26d22c26d26d26d26dfd9c9d14e4f4f67f94f0359f8b28f532"
آموزش ساخت کوئری در ویدئو زیر :
Forwarded from Web Application Security (Alireza)
This media is not supported in your browser
VIEW IN TELEGRAM
به نظرم ایونتها و رویدادهایی که تو حوزه تکنولوژی برگزار میشن، باید اونقدری وقت براشون گذاشته بشه که آدم وقتی از جلسه میاد بیرون، حس کنه چیز جدید یاد گرفته.
همین نکتهست که یه ایونت معمولی رو تبدیل میکنه به یه تجربه خیلی خاص و بهیادموندنی.
در واقع، برمیگردیم به همون حرف قدیمی: کیفیت همیشه از کمیت مهمتره.
همین نکتهست که یه ایونت معمولی رو تبدیل میکنه به یه تجربه خیلی خاص و بهیادموندنی.
در واقع، برمیگردیم به همون حرف قدیمی: کیفیت همیشه از کمیت مهمتره.
👍17❤2
بررسی تفاوت های RAID 10, RAID 5, RAID 1:
RAID
(Redundant Array of Independent Disk)
تکنیکی برای ترکیب چند هارد دیسک به منظور بهبود کارایی، افزونگی یا هر دو است. اما هر سطح RAID مزایا و محدودیت های خاص خود را دارد.
RAID 1 (Mirroring)
در این حالت داده ها روی حداقل ۲ هارد دیسک(تعداد زوج) بدون Striping کپی میشوند. RAID 1 با نام آینهای نیز شناخته میشود.
عملکرد: سرعت خواندن بالا(خواندن همزمان از هر دیسک)، سرعت نوشتن مشابه یک دیسک(به دلیل نوشتن دوباره).
مزایا:
-تحمل خطا(خرابی یکی از دیسک ها بدون توقف سیستم)
-بکاپ فوری برای اپلیکیشن های حیاتی(Disaster Recovery)
-سرعت خواندن بالا و ریکاوری سریع مناسب SSD
معایب:
-نصب ظرفیت ذخیره سازی از دست میرود.
-گرانقیمت، مناسب سازمان های بزرگ.
-ظرفیت مفید کمتر از RAID 5 و 6، اما ریکاوری سریعتر.
کاربرد:
-اپلیکیشن های حساس(Transactional)، ایمیل و سیستم عامل.
-محیط بانی با نیاز به خواندن سریع یا دسترسپذیری بالا.
-آرشیو دادههایی که از دست رفتن آنها غیرقابل قبول است.
RAID
(Redundant Array of Independent Disk)
تکنیکی برای ترکیب چند هارد دیسک به منظور بهبود کارایی، افزونگی یا هر دو است. اما هر سطح RAID مزایا و محدودیت های خاص خود را دارد.
RAID 1 (Mirroring)
در این حالت داده ها روی حداقل ۲ هارد دیسک(تعداد زوج) بدون Striping کپی میشوند. RAID 1 با نام آینهای نیز شناخته میشود.
عملکرد: سرعت خواندن بالا(خواندن همزمان از هر دیسک)، سرعت نوشتن مشابه یک دیسک(به دلیل نوشتن دوباره).
مزایا:
-تحمل خطا(خرابی یکی از دیسک ها بدون توقف سیستم)
-بکاپ فوری برای اپلیکیشن های حیاتی(Disaster Recovery)
-سرعت خواندن بالا و ریکاوری سریع مناسب SSD
معایب:
-نصب ظرفیت ذخیره سازی از دست میرود.
-گرانقیمت، مناسب سازمان های بزرگ.
-ظرفیت مفید کمتر از RAID 5 و 6، اما ریکاوری سریعتر.
کاربرد:
-اپلیکیشن های حساس(Transactional)، ایمیل و سیستم عامل.
-محیط بانی با نیاز به خواندن سریع یا دسترسپذیری بالا.
-آرشیو دادههایی که از دست رفتن آنها غیرقابل قبول است.
❤11👎1
RAID 5
(Parity Block-Level Striping)
در این حالت دادهها و پریتی بین حداقل ۳دیسک (حداکثر۳۲) توزیع میشوند.
اگر یک دیسک خراب شود، سیستم با پریتی به کار خود ادامه میدهد.
مزایا:
-تحمل خرابی یک دیسک.
-استفاده بهینه از ظرفیت(فقط یک دیسک برای پریتی).
-سرعت خواندن خوب و قابلیت Hot-Swap (جایگزینی دیسک بدون وقفه)
-فضای ذخیرهسازی بیشتر نسبت به RAID1 و 10.
-امکان افزایش ظرفیت با افزودن دیسک.
-اقتصادی تر از RAID 0 برای افزونگی.
معایب:
-بازسازی(Rebuild) کند و زمانبر (ساعت ها تا روزها).
-خرابی دیسک دوم در حین بازسازی = از دست رفتن دادهها.
-برای سیستمهای Write-Intensive (نوشتن سنگین) مناسب نیست.
-دیسکهای SATA استاندارد بهینه نیستند.
کاربرد:
-فایل سرورها، پایگاه داده(مثل SQL) با نوشتن کم.
-سیستم هایی با محدودیت تعداد دیسک و نیاز به تعادل بین سرعت، ظرفیت و امنیت.
جمعبندی:
به دلیل تعادل بین سرعت، امنیت و ظرفیت، رایج ترین نوع RAID است. اما برای سیستمهایی با نوشتن سنگین یا نیاز به بازسازی سریع مناسب نیست.
(Parity Block-Level Striping)
در این حالت دادهها و پریتی بین حداقل ۳دیسک (حداکثر۳۲) توزیع میشوند.
اگر یک دیسک خراب شود، سیستم با پریتی به کار خود ادامه میدهد.
مزایا:
-تحمل خرابی یک دیسک.
-استفاده بهینه از ظرفیت(فقط یک دیسک برای پریتی).
-سرعت خواندن خوب و قابلیت Hot-Swap (جایگزینی دیسک بدون وقفه)
-فضای ذخیرهسازی بیشتر نسبت به RAID1 و 10.
-امکان افزایش ظرفیت با افزودن دیسک.
-اقتصادی تر از RAID 0 برای افزونگی.
معایب:
-بازسازی(Rebuild) کند و زمانبر (ساعت ها تا روزها).
-خرابی دیسک دوم در حین بازسازی = از دست رفتن دادهها.
-برای سیستمهای Write-Intensive (نوشتن سنگین) مناسب نیست.
-دیسکهای SATA استاندارد بهینه نیستند.
کاربرد:
-فایل سرورها، پایگاه داده(مثل SQL) با نوشتن کم.
-سیستم هایی با محدودیت تعداد دیسک و نیاز به تعادل بین سرعت، ظرفیت و امنیت.
جمعبندی:
به دلیل تعادل بین سرعت، امنیت و ظرفیت، رایج ترین نوع RAID است. اما برای سیستمهایی با نوشتن سنگین یا نیاز به بازسازی سریع مناسب نیست.
❤5
RAID 10
(1+0, Mirroring + Striping)
حالت RAID 10 ترکیبی از (Mirroing) RAID 1 و RAID 0 (Striping) است که در آن دادهها ابتدا کپی(Mirror) و سپس به صورت نواری(Stripe) بین دیسکها توزیع میشوند.
**حداقل دیسک: ۴دیسک(تعداد زوج).
عملکرد:
سرعت خواندن و نوشتن بالا (مشابه RAID 0) با تحمل خطای RAID 1
مزایا:
-کارایی بالا (سرعت خواندن/نوشتن عالی).
-تحمل خرابی حداقل یک دیسک از هر جفت آینهای.
-دسترسپذیری بالا و ریکاوری سریع.
معایب:
-نیمی از ظرفیت دیسکها به دلیل Mirroring از دست میرود.
-هزینه بالا به دلیل نیاز به دیسکهای بیشتر.
-بدون پریتی، خرابی هر دو دیسک یک جفت آینه ای = از دست رفتن دادهها.
کاربرد:
-دیتابیسهای حساس، سرورهای پرسرعت، اپلیکیشنهای حیاتی (Mission-Critical ) محیطهایی با نیاز به سرعت و امنیت بالا (مثل سرورهای تراکنشی).
جمعبندی:
تعادل عالی بین سرعت و امنیت ارائه میدهد. اما پر هزینه است و نصف ظرفیت ذخیرهسازی را از دست میدهد. مناسب برای کاربردهایی که در آن عملکرد و دسترسپذیری حیاتی است.
(1+0, Mirroring + Striping)
حالت RAID 10 ترکیبی از (Mirroing) RAID 1 و RAID 0 (Striping) است که در آن دادهها ابتدا کپی(Mirror) و سپس به صورت نواری(Stripe) بین دیسکها توزیع میشوند.
**حداقل دیسک: ۴دیسک(تعداد زوج).
عملکرد:
سرعت خواندن و نوشتن بالا (مشابه RAID 0) با تحمل خطای RAID 1
مزایا:
-کارایی بالا (سرعت خواندن/نوشتن عالی).
-تحمل خرابی حداقل یک دیسک از هر جفت آینهای.
-دسترسپذیری بالا و ریکاوری سریع.
معایب:
-نیمی از ظرفیت دیسکها به دلیل Mirroring از دست میرود.
-هزینه بالا به دلیل نیاز به دیسکهای بیشتر.
-بدون پریتی، خرابی هر دو دیسک یک جفت آینه ای = از دست رفتن دادهها.
کاربرد:
-دیتابیسهای حساس، سرورهای پرسرعت، اپلیکیشنهای حیاتی (Mission-Critical ) محیطهایی با نیاز به سرعت و امنیت بالا (مثل سرورهای تراکنشی).
جمعبندی:
تعادل عالی بین سرعت و امنیت ارائه میدهد. اما پر هزینه است و نصف ظرفیت ذخیرهسازی را از دست میدهد. مناسب برای کاربردهایی که در آن عملکرد و دسترسپذیری حیاتی است.
❤6
This media is not supported in your browser
VIEW IN TELEGRAM
سخنگوی دولت ، مهاجرانی: ما دنبال اينترنت آزاد واسه همه مردم ایران هستیم ولی قبل اون باید به یه سری افراد مثل خبرنگارها اینترنت آزادتر (بدون فیلتر) بدیم .
دوستان توجه کنید، ما در قرن 21 و عصر تکنولوژی قرار داریم. ما در کشوری که مدعی دموکراسی هستش قرار داریم.
#اینترنت_آزاد_یا_برای_همه_یا_برای_هیچکس
دوستان توجه کنید، ما در قرن 21 و عصر تکنولوژی قرار داریم. ما در کشوری که مدعی دموکراسی هستش قرار داریم.
#اینترنت_آزاد_یا_برای_همه_یا_برای_هیچکس
🤣40👎4❤1😁1🤯1
localhost
RAID 10 (1+0, Mirroring + Striping) حالت RAID 10 ترکیبی از (Mirroing) RAID 1 و RAID 0 (Striping) است که در آن دادهها ابتدا کپی(Mirror) و سپس به صورت نواری(Stripe) بین دیسکها توزیع میشوند. **حداقل دیسک: ۴دیسک(تعداد زوج). عملکرد: سرعت خواندن و نوشتن بالا…
روش Parity (پریتی) یکی از سادهترین و ابتداییترین روشها برای کشف خطا در دادههای دیجیتال هستش. این تکنیک با اضافه کردن یک بیت اضافه به داده، امکان بررسی صحت دادهها را فراهم میکنه. این بیت اضافه که به آن بیت پریتی (Parity Bit) گفته میشه، طوری تنظیم میشه که مجموع تعداد بیتهای 1 در کل داده، طبق یک قاعده مشخص یا زوج (Even Parity) یا فرد (Odd Parity) باشه. در حالت Even Parity، اگر تعداد 1های موجود در داده زوج باشه، بیت پریتی صفر میشه و اگر فرد باشه، با اضافه کردن یک 1، تعداد بیتهای 1 به حالت زوج میرسه. در مقابل، در Odd Parity، اگر تعداد 1ها فرد باشد، بیت پریتی صفر باقی میماند و اگر زوج باشد، یک 1 اضافه میشود تا مجموع فرد شود.
هدف اصلی استفاده از پریتی، کشف خطاهای احتمالی در زمان انتقال دادهها یا ذخیرهسازی آنها هستش. به عنوان مثال، اگر دادهای هنگام انتقال دچار تغییر یک بیتی شود، گیرنده با بررسی تعداد 1ها و مقایسه با بیت پریتی، متوجه ناسازگاری میشه و خطا را شناسایی میکنه. اما یکی از محدودیتهای این روش اینه که تنها خطاهای تکبیتی (Single-Bit Errors) را تشخیص میده. در صورتی که دو یا چند بیت همزمان تغییر بکنه ممکنه که سیستم توانایی شناسایی خطا را نداشته باشه.
روش Parity در بسیاری از سیستمها و فناوریهای قدیمی مورد استفاده قرار گرفته. از جمله در حافظههای قدیمی مثل DRAMهای دارای بیت پریتی، پروتکلهای ارتباطی ساده مانند UART، و همچنین در بعضی از معماریهای RAID که از ساختار پریتی برای بازسازی دادهها استفاده میکنن. البته با پیشرفت فناوری، روشهای پیشرفتهتری مانند CRC (Cyclic Redundancy Check) و کدهای همینگ (Hamming Codes) جایگزین آن شدهاند که توانایی شناسایی و حتی تصحیح خطا را دارند. با این حال، Parity به دلیل سادگی و مصرف کم منابع، هنوز هم در بعضی کاربردهای خاص مورد استفاده قرار میگیره.
هدف اصلی استفاده از پریتی، کشف خطاهای احتمالی در زمان انتقال دادهها یا ذخیرهسازی آنها هستش. به عنوان مثال، اگر دادهای هنگام انتقال دچار تغییر یک بیتی شود، گیرنده با بررسی تعداد 1ها و مقایسه با بیت پریتی، متوجه ناسازگاری میشه و خطا را شناسایی میکنه. اما یکی از محدودیتهای این روش اینه که تنها خطاهای تکبیتی (Single-Bit Errors) را تشخیص میده. در صورتی که دو یا چند بیت همزمان تغییر بکنه ممکنه که سیستم توانایی شناسایی خطا را نداشته باشه.
روش Parity در بسیاری از سیستمها و فناوریهای قدیمی مورد استفاده قرار گرفته. از جمله در حافظههای قدیمی مثل DRAMهای دارای بیت پریتی، پروتکلهای ارتباطی ساده مانند UART، و همچنین در بعضی از معماریهای RAID که از ساختار پریتی برای بازسازی دادهها استفاده میکنن. البته با پیشرفت فناوری، روشهای پیشرفتهتری مانند CRC (Cyclic Redundancy Check) و کدهای همینگ (Hamming Codes) جایگزین آن شدهاند که توانایی شناسایی و حتی تصحیح خطا را دارند. با این حال، Parity به دلیل سادگی و مصرف کم منابع، هنوز هم در بعضی کاربردهای خاص مورد استفاده قرار میگیره.
👍2