نمونه پلاگین burp suite برای تست authorization ها در وب اپلیکیشن ها و وب سرویس ها.
https://github.com/SecurityInnovation/AuthMatrix
#pentesting #informationtechnology #bugbounty #hacking #HackTool
@securation
https://github.com/SecurityInnovation/AuthMatrix
#pentesting #informationtechnology #bugbounty #hacking #HackTool
@securation
نمونه برگ تقلب ها در ویندوز برای تیم قرمز با عناوین زیر:
• Recon;
• Elevation of Privileges;
• Lateral Movement;
• Golden and Silver Tickets;
• AD Attacks;
• Bypass-Evasion Techniques;
• Miscellaneous;
• Post exploitation - information gathering;
• Summary of tools;
• Credits.
https://morph3sec.com/Cheat-Sheets/Windows-Red-Team-Cheat-Sheet/
#Red_Team #CheatSheet
#win #securation
• Recon;
• Elevation of Privileges;
• Lateral Movement;
• Golden and Silver Tickets;
• AD Attacks;
• Bypass-Evasion Techniques;
• Miscellaneous;
• Post exploitation - information gathering;
• Summary of tools;
• Credits.
https://morph3sec.com/Cheat-Sheets/Windows-Red-Team-Cheat-Sheet/
#Red_Team #CheatSheet
#win #securation
برگ تقلب های بالا بردن سطح دسترسی
https://0xsp.com/offensive/privilege-escalation-cheatsheet
#CheatSheet #offensive
@securation
https://0xsp.com/offensive/privilege-escalation-cheatsheet
#CheatSheet #offensive
@securation
اگه از کلاب هاوس استفاده میکنید بدونین که حریم شخصی شما نقض میشه و اگه کارتون امنیت هست و براتون مهمه که ردیابی نشید بهتره کلاب هاوس رو نصب نکنید !
البته اینم بگم شما نمیتونید اکانت خودتون رو حذف کنین یا حتی اینم بدونین که هرچی دارین توسط کلاب هاوس رکورد میشه و اطلاعات شخصیتون رو بدون اطلاع شما میتونند به اشتراک بزارن :
https://inc.com/jason-aten/clubhouse-is-recording-your-conversations-thats-not-even-its-worst-privacy-problem.html
#clubhouse #privacy #security
@securation
البته اینم بگم شما نمیتونید اکانت خودتون رو حذف کنین یا حتی اینم بدونین که هرچی دارین توسط کلاب هاوس رکورد میشه و اطلاعات شخصیتون رو بدون اطلاع شما میتونند به اشتراک بزارن :
https://inc.com/jason-aten/clubhouse-is-recording-your-conversations-thats-not-even-its-worst-privacy-problem.html
#clubhouse #privacy #security
@securation
Inc.com
Clubhouse Is Recording Your Conversations. That's Not Even Its Worst Privacy Problem
The popular new social media platform is scooping up more data than you might think.
فازر جالب برای تست نفوذ وب اپلیکیشن ها
https://github.com/NESCAU-UFLA/FuzzingTool
https://securityonline.info/fuzzingtool-web-penetration-testing-tool/
#Fuzzing #webapp
@securation
https://github.com/NESCAU-UFLA/FuzzingTool
https://securityonline.info/fuzzingtool-web-penetration-testing-tool/
#Fuzzing #webapp
@securation
چک لیست امن سازی API
https://github.com/shieldfy/API-Security-Checklist
اینجا هم مثال کاربردی زده که API چطور کار میکنه و چطور باعث وجود اومدن آسیب پذیری میشه وچطور میشه سو استفاده کرد :
https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a
#API #WEB
@securation
https://github.com/shieldfy/API-Security-Checklist
اینجا هم مثال کاربردی زده که API چطور کار میکنه و چطور باعث وجود اومدن آسیب پذیری میشه وچطور میشه سو استفاده کرد :
https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a
#API #WEB
@securation
GitHub
GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…
Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist
آسیب پذیری SSRF چی هست و چطوری رخ میده؟
چطور اکسپلویت میشه کرد این آسیب پذیری رو و چند نمونه ی اکسپلویت کردن در موقعیت های مختلف رو در این لینک میتونید بخونید جالبه از دستش ندید:
https://goteleport.com/blog/ssrf-attacks
#SSRF #Web #article
@securation
چطور اکسپلویت میشه کرد این آسیب پذیری رو و چند نمونه ی اکسپلویت کردن در موقعیت های مختلف رو در این لینک میتونید بخونید جالبه از دستش ندید:
https://goteleport.com/blog/ssrf-attacks
#SSRF #Web #article
@securation
Goteleport
How to prevent ssrf attack
Understanding Server-Side Request Forgery (SSRF), vulnerabilities and mitigations.
این ابزار آنلاین با توجه به چک لیست ریسک های آسیب پذیری در رده بندی مختلف استاندارد OWASP , به شما کمک میکنه محاسبه کنید آسیب پذیری های تحت وب که پیدا کردید در چه سطح از ریسک امنیتی قرار داره:
https://javierolmedo.github.io/OWASP-Calculator/
#OWASP #Tools #web
@securation
https://javierolmedo.github.io/OWASP-Calculator/
#OWASP #Tools #web
@securation
This media is not supported in your browser
VIEW IN TELEGRAM
این افزونه BurpSuite به اسم Autowasp توسعه داده شده که به صورت اتوماتیک OWASP WSTG رو بررسی و تست میکنه.
https://github.com/PortSwigger/autowasp
#cybersecurity #hacking #redteam #bugbountytips #owasp #ethicalhacking #bugbounty
@securation
https://github.com/PortSwigger/autowasp
#cybersecurity #hacking #redteam #bugbountytips #owasp #ethicalhacking #bugbounty
@securation
طی تحلیل هایی که گوگل انجام داده ، هکرهای کره شمالی با ایجاد کمپانی های فیک در حیطه امنیت سایبری ، برای محققین امنیت که در شبکه های اجتماعی فعالیت دارند، با بدست آوردن راه های ارتباطی باهاشون درخواست کار داده و با بکارگیری تکنیک های مهندسی اجتماعی و حملات فیشینگ در صدد هک کردن محققین امنیت بوده.
این چندمین مورد هست که گزارشش بیرون میاد ، دوستانی که دنبال انجام کار برای شرکت های خارجی هستند و حتما مواظب این موارد باشید.
https://thehackernews.com/2021/03/hackers-set-up-fake-cybersecurity-firm.html?m=1
#phishing #socialmedia
#social_engineering #fake_Company
@securation
این چندمین مورد هست که گزارشش بیرون میاد ، دوستانی که دنبال انجام کار برای شرکت های خارجی هستند و حتما مواظب این موارد باشید.
https://thehackernews.com/2021/03/hackers-set-up-fake-cybersecurity-firm.html?m=1
#phishing #socialmedia
#social_engineering #fake_Company
@securation
🔴 این تصویر, شماتیک حمله هکرها به کاربران لینکدین با بدافزار More_eggs می باشد.
به گفته محققان ،مهاجم از فایل های ZIP برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.
رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص که با نام لینکدین شناخته میشود، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای هکرها می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor میکنند.
https://thehackernews.com/2021/04/hackers-targeting-professionals-with.html
#Malware #More_egg #Phishing #فیشینگ #امنیت_اطلاعات
@securation
به گفته محققان ،مهاجم از فایل های ZIP برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.
رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص که با نام لینکدین شناخته میشود، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای هکرها می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor میکنند.
https://thehackernews.com/2021/04/hackers-targeting-professionals-with.html
#Malware #More_egg #Phishing #فیشینگ #امنیت_اطلاعات
@securation
محققان Check Point جزئیات یک حملات هکری پیشرفته جدید علیه یک هدف لبنانی توسط گروه تهدید ایرانی APT34 (معروف به OilRig) که آن را وابسته به حکومت ایران میدانند را منتشر کرده اند.
جزییات بیشتر :
https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
#Oilrig
#APT34
@securation
جزییات بیشتر :
https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
#Oilrig
#APT34
@securation
تأسیسات هسته ای ایران به دلیل حمله سایبری خاموشی را تجربه کرد. برای دانستن در مورد #Stuxnet و حملات سایبری اخیر، بررسی مصاحبه دکتر رضوان اصغر اهل پاکستان با گریم هیل رو در @MagicTalkRadio
گوش بدید و نظرش رو بشنوید :
https://www.cs.auckland.ac.nz/~asghar/media/Magic-Nights-Stuxnet-12-April-2021.mp3
#stuxnet #cyberattack
@securation
گوش بدید و نظرش رو بشنوید :
https://www.cs.auckland.ac.nz/~asghar/media/Magic-Nights-Stuxnet-12-April-2021.mp3
#stuxnet #cyberattack
@securation
چگونه می توان با مکانیسم های احراز هویت، خود را ایمن کرد ?!
https://portswigger.net/web-security/authentication/securing
#web #tutorial
@securation
https://portswigger.net/web-security/authentication/securing
#web #tutorial
@securation
portswigger.net
How to secure your authentication mechanisms | Web Security Academy
In this section, we'll talk about how you can prevent some of the vulnerabilities we've discussed from occurring in your authentication mechanisms. ...
یک نمونه ی آسیب پذیری CORS رو در یاهو ببینید :
https://www.corben.io/tricky-CORS/
همچنین ویدیوی این باگ بانتی در یوتیوب قابل مشاهده هستش:
https://www.youtube.com/watch?v=lg31RYYG-T4
#YAHOO #bugbounty
#CORS
@securation
https://www.corben.io/tricky-CORS/
همچنین ویدیوی این باگ بانتی در یوتیوب قابل مشاهده هستش:
https://www.youtube.com/watch?v=lg31RYYG-T4
#YAHOO #bugbounty
#CORS
@securation
1-click RCE in Telegram, Nextcloud, VLC, Libre-/OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark and Mumble
https://ift.tt/3gcdx6d
https://ift.tt/3gcdx6d
positive.security
Allow arbitrary URLs, expect arbitrary code execution | Positive Security
Insecure URL handling leading to 1-click code execution vulnerabilities in Telegram, Nextcloud (CVE-2021-22879), VLC, LibreOffice (CVE-2021-25631), OpenOffice (CVE-2021-30245), Bitcoin/Dogecoin Wallets, Wireshark (CVE-2021-22191) and Mumble (CVE-2021-27229).
Knockpy is a Python tool designed to enumerate subdomains on a target domain through dictionary attack.
https://github.com/guelfoweb/knock
#DNS #Python #subdomains #tool @securation
https://github.com/guelfoweb/knock
#DNS #Python #subdomains #tool @securation
GitHub
GitHub - guelfoweb/knock: Knock Subdomain Scan
Knock Subdomain Scan. Contribute to guelfoweb/knock development by creating an account on GitHub.
لیستی از ابزارهای پرکاربردی که واسه مسابقات CTF بدرد وب هکینگ کارها میخوره.
https://www.securitynewspaper.com/2019/10/21/top-tools-for-web-application-ctf-capture-the-flag
#Tools #CTF #Web
@securation
https://www.securitynewspaper.com/2019/10/21/top-tools-for-web-application-ctf-capture-the-flag
#Tools #CTF #Web
@securation
Information Security Newspaper | Hacking News
Top TOOLS for Web Application CTF (Capture the Flag)
Top tools for web application capture the flag as per the ethical hacking course offered by International Institute of Cyber Security
Wfuzz has been created to facilitate the task in web applications assessments and it is based on a simple concept: it replaces any reference to the FUZZ keyword by the value of a given payload.
This simple concept allows any input to be injected in any field of an HTTP request, allowing to perform complex web security attacks in different web application components such as: parameters, authentication, forms, directories/files, headers, etc.
#web #tool #CTF #hacking #redteaming @securation
https://github.com/xmendez/wfuzz
This simple concept allows any input to be injected in any field of an HTTP request, allowing to perform complex web security attacks in different web application components such as: parameters, authentication, forms, directories/files, headers, etc.
#web #tool #CTF #hacking #redteaming @securation
https://github.com/xmendez/wfuzz
GitHub
GitHub - xmendez/wfuzz: Web application fuzzer
Web application fuzzer. Contribute to xmendez/wfuzz development by creating an account on GitHub.