CyberSecurity
https://wordlists.assetnote.io/
fuzz wordlist
✔️ انجمن هکینگ Raidforums توسط پلیس مصادره شد.
مدیران انجمن هک Raidforum میگویند دامنه رسمی این سایت (Raidforums.com) توسط پلیس مصادره شده و مدیر اصلی سایت ( با نام کاربری Omnipotent ) مدت زیادی است که مفقود شده و احتمالا دستگیر شده است!
این سایت از انجمنساز MyBB استفاده میکند و چند هفته پیش به علت ضعف امنیتی و عدم بهروزرسانی دیتابیس این انجمن هک شد و هکرها بعد از دانلود اطلاعات جداول دیتابیس را Drop کردند که هکرهای دیگر نتوانند به دیتابیس انجمن دسترسی پیدا کنند.
- نکته قابل توجه این است که اکثر دیتاهایی که بصورت عمومی از سرویس های ایرانیان فروخته میشد در این فروم قرار میگرفت!
انجمن Raidforums یکی از بزرگترین سایتهای هک تحت وب بود که بیشتر برای درز اطلاعات و خرید و فروش دیتابیس مورد توجه قرار داشت.
مدیران انجمن هک Raidforum میگویند دامنه رسمی این سایت (Raidforums.com) توسط پلیس مصادره شده و مدیر اصلی سایت ( با نام کاربری Omnipotent ) مدت زیادی است که مفقود شده و احتمالا دستگیر شده است!
این سایت از انجمنساز MyBB استفاده میکند و چند هفته پیش به علت ضعف امنیتی و عدم بهروزرسانی دیتابیس این انجمن هک شد و هکرها بعد از دانلود اطلاعات جداول دیتابیس را Drop کردند که هکرهای دیگر نتوانند به دیتابیس انجمن دسترسی پیدا کنند.
- نکته قابل توجه این است که اکثر دیتاهایی که بصورت عمومی از سرویس های ایرانیان فروخته میشد در این فروم قرار میگرفت!
انجمن Raidforums یکی از بزرگترین سایتهای هک تحت وب بود که بیشتر برای درز اطلاعات و خرید و فروش دیتابیس مورد توجه قرار داشت.
⭕️ از دست رفتن تمام دارایی، تنها با کلیک بر یک NFT مخرب
@matitanium
💰پلتفرم Rarible با بیش از ۲.۱ میلیون کاربر و حجم معاملات بیش از ۲۷۳ میلیون دلار در سال، یکی از بزرگترین بازارهای NFT جهان بهشمار میرود.
💸 بهتازگی یک نقص امنیتی در این پلفترم شناسایی شده، که بواسطهی آن تمام دارایی کاربر تنها با کلیک کردن بر یک NFT مخرب، سرقت خواهد شد.
👾 روش هک
۱. هکر ابتدا یک NFT مانند عکس یا گیف طراحی میکند، و کد مخربی را در آن قرار میدهد.
۲. در صورت کلیک کاربر بر آن، کد جاوااسکریپت مخرب اجرا، NFTهای کاربر با استفاده از API اتریوم بررسی، و درخواست تراکنش setApprovalForAll به والت کاربر ارسال میشود.
🔗 تابع setApprovalForAll و حساسیت آن
۳. حال در صورت موافقت کاربر و تایید تراکنش، مهاجم به NFTهای قربانی دسترسی کامل پیدا کرده و میتواند آنها را به حساب خود منتقل کند.
🌐 یک نمونه NFT مخرب و مراحل هک توسط آن + توصیههای امنیتی
@matitanium
@matitanium
💰پلتفرم Rarible با بیش از ۲.۱ میلیون کاربر و حجم معاملات بیش از ۲۷۳ میلیون دلار در سال، یکی از بزرگترین بازارهای NFT جهان بهشمار میرود.
💸 بهتازگی یک نقص امنیتی در این پلفترم شناسایی شده، که بواسطهی آن تمام دارایی کاربر تنها با کلیک کردن بر یک NFT مخرب، سرقت خواهد شد.
👾 روش هک
۱. هکر ابتدا یک NFT مانند عکس یا گیف طراحی میکند، و کد مخربی را در آن قرار میدهد.
۲. در صورت کلیک کاربر بر آن، کد جاوااسکریپت مخرب اجرا، NFTهای کاربر با استفاده از API اتریوم بررسی، و درخواست تراکنش setApprovalForAll به والت کاربر ارسال میشود.
🔗 تابع setApprovalForAll و حساسیت آن
۳. حال در صورت موافقت کاربر و تایید تراکنش، مهاجم به NFTهای قربانی دسترسی کامل پیدا کرده و میتواند آنها را به حساب خود منتقل کند.
🌐 یک نمونه NFT مخرب و مراحل هک توسط آن + توصیههای امنیتی
@matitanium
یه پارامتر تمپرینگ (تغیر قیمت محصولات و خرید) هم هستش بعدا رایتاپش میکنم فعلا نمیتونم پابلیکش کنم
Media is too big
VIEW IN TELEGRAM
Bug Bounty ssrf