NEW BOT Телеграм, страница

Security Analysis

این ابزار آنلاین با توجه به چک لیست ریسک های آسیب پذیری در رده بندی مختلف استاندارد OWASP , به شما کمک میکنه محاسبه کنید آسیب پذیری های تحت وب که پیدا کردید در چه سطح از ریسک امنیتی قرار داره:

https://javierolmedo.github.io/OWASP-Calculator/
#OWASP #Tools #web
@securation

2.09K views15:50

Security Analysis

This media is not supported in your browser

VIEW IN TELEGRAM

این افزونه BurpSuite به اسم Autowasp توسعه داده شده که به صورت اتوماتیک OWASP WSTG رو بررسی و تست میکنه.

https://github.com/PortSwigger/autowasp
#cybersecurity #hacking #redteam #bugbountytips #owasp #ethicalhacking #bugbounty
@securation

2K viewsedited 17:06

Security Analysis

طی تحلیل هایی که گوگل انجام داده ، هکرهای کره شمالی با ایجاد کمپانی های فیک در حیطه امنیت سایبری ، برای محققین امنیت که در شبکه های اجتماعی فعالیت دارند، با بدست آوردن راه های ارتباطی باهاشون درخواست کار داده و با بکارگیری تکنیک های مهندسی اجتماعی و حملات فیشینگ در صدد هک کردن محققین امنیت بوده.
این چندمین مورد هست که گزارشش بیرون میاد ، دوستانی که دنبال انجام کار برای شرکت های خارجی هستند و حتما مواظب این موارد باشید.

https://thehackernews.com/2021/03/hackers-set-up-fake-cybersecurity-firm.html?m=1
#phishing #socialmedia
#social_engineering #fake_Company
@securation

1.89K views08:39

Security Analysis

🔴 این تصویر, شماتیک حمله هکرها به کاربران لینکدین با بدافزار More_eggs می باشد.

به گفته محققان ،مهاجم از فایل های ZIP برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.
رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص که با نام لینکدین شناخته میشود، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای هکرها می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor میکنند.

https://thehackernews.com/2021/04/hackers-targeting-professionals-with.html

#Malware #More_egg #Phishing #فیشینگ #امنیت_اطلاعات

@securation

2.57K viewsedited 13:21

Security Analysis

محققان Check Point جزئیات یک حملات هکری پیشرفته جدید علیه یک هدف لبنانی توسط گروه تهدید ایرانی APT34 (معروف به OilRig) که آن را وابسته به حکومت ایران میدانند را منتشر کرده اند.
جزییات بیشتر :‌

https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
#Oilrig
#APT34
@securation

3.05K views10:10

Security Analysis

تأسیسات هسته ای ایران به دلیل حمله سایبری خاموشی را تجربه کرد. برای دانستن در مورد #Stuxnet و حملات سایبری اخیر، بررسی مصاحبه دکتر رضوان اصغر اهل پاکستان با گریم هیل رو در @MagicTalkRadio
گوش بدید و نظرش رو بشنوید :
https://www.cs.auckland.ac.nz/~asghar/media/Magic-Nights-Stuxnet-12-April-2021.mp3

#stuxnet #cyberattack
@securation

1.61K views11:38

Security Analysis

چگونه می توان با مکانیسم های احراز هویت، خود را ایمن کرد ?!

https://portswigger.net/web-security/authentication/securing
#web #tutorial
@securation

portswigger.net

How to secure your authentication mechanisms | Web Security Academy

In this section, we'll talk about how you can prevent some of the vulnerabilities we've discussed from occurring in your authentication mechanisms. ...

1.34K viewsedited 11:53

Security Analysis

یک نمونه ی آسیب پذیری CORS رو در یاهو ببینید :

https://www.corben.io/tricky-CORS/
همچنین ویدیوی این باگ بانتی در یوتیوب قابل مشاهده هستش:

https://www.youtube.com/watch?v=lg31RYYG-T4

#YAHOO #bugbounty
#CORS
@securation

1.75K views12:01

Security Analysis

1-click RCE in Telegram, Nextcloud, VLC, Libre-/OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark and Mumble

https://ift.tt/3gcdx6d

positive.security

Allow arbitrary URLs, expect arbitrary code execution | Positive Security

Insecure URL handling leading to 1-click code execution vulnerabilities in Telegram, Nextcloud (CVE-2021-22879), VLC, LibreOffice (CVE-2021-25631), OpenOffice (CVE-2021-30245), Bitcoin/Dogecoin Wallets, Wireshark (CVE-2021-22191) and Mumble (CVE-2021-27229).

7.95K views15:14

Security Analysis

Knockpy is a Python tool designed to enumerate subdomains on a target domain through dictionary attack.

https://github.com/guelfoweb/knock

#DNS #Python #subdomains #tool @securation

GitHub

GitHub - guelfoweb/knock: Knock Subdomain Scan

Knock Subdomain Scan. Contribute to guelfoweb/knock development by creating an account on GitHub.

1.28K views06:12

Security Analysis

لیستی از ابزارهای پرکاربردی که واسه مسابقات CTF بدرد وب هکینگ کارها میخوره.

https://www.securitynewspaper.com/2019/10/21/top-tools-for-web-application-ctf-capture-the-flag

#Tools #CTF #Web
@securation

Information Security Newspaper | Hacking News

Top TOOLS for Web Application CTF (Capture the Flag)

Top tools for web application capture the flag as per the ethical hacking course offered by International Institute of Cyber Security

1.51K views13:08

Security Analysis

Wfuzz has been created to facilitate the task in web applications assessments and it is based on a simple concept: it replaces any reference to the FUZZ keyword by the value of a given payload.

This simple concept allows any input to be injected in any field of an HTTP request, allowing to perform complex web security attacks in different web application components such as: parameters, authentication, forms, directories/files, headers, etc.

#web #tool #CTF #hacking #redteaming @securation

https://github.com/xmendez/wfuzz

GitHub

GitHub - xmendez/wfuzz: Web application fuzzer

Web application fuzzer. Contribute to xmendez/wfuzz development by creating an account on GitHub.

3.61K viewsedited 16:07

Security Analysis

چند برگه تقلب که توی تست نفوذ بکار برده میشه :

https://gist.github.com/jeremypruitt/c435aefa2c2abaec02985d77fb370ec5
#redteam #cheatsheat
@securation

Gist

Pentesting Cheatsheet

Pentesting Cheatsheet. GitHub Gist: instantly share code, notes, and snippets.

1.25K views08:16

Security Analysis

چطور با استفاده از تکنیک ROP یک کد رو بصورت ریموت در برنامه اجرا میکنیم و اونو اکسپلویت میکنیم ؟

https://dev.to/jlauinger/exploitation-exercise-with-go-unsafe-pointer-rop-and-spawning-a-shell-part-3-4mm7
#rROP #Exploit #pwn #return_oriented_programing
@securation

DEV Community

Exploitation Exercise with Go unsafe.Pointer: ROP and Spawning a Shell (Part 3)

In this third part, we will see how to take the idea of code flow redirection one step further. We wi...

1.16K views08:23

Security Analysis

یکی از آسیب پذیری های رایج وب اپلیکیشن ها File Upload هست که در موارد متعددی رخ میده.
-اگه این فایل آپلود به سمت سرور باشه که منجر به دسترسی کامل از تارگت ما میشه
-اگه توی مسیر خاصی رخ بده میتونیم فایل htaccess خودمون رو جایگزین فایل اصلی htaccess کنیم.
-در بعضی موارد وجود این آسیب پذیری و استفاده ازش باعث افشای اطلاعات حساس روی سرور میشه .
-یک مورد استفاده دیگه این آسیب پذیری بایپس محدودیت اپلود فایل ها هست که میتونه رخ بده.
-در یک مورد خاص دیگه میتونیم فایل خودمون رو تزریق کنیم به تارگت مورد نظر و حملات فیشنگ انجام بدیم.
هرکدوم از این موارد در شرایط مختلفی صورت میگیره که توی لینک زیر بصورت عملی به خیلی هاش اشاره کرده:

https://www.hackingarticles.in/comprehensive-guide-on-unrestricted-file-upload/
#File_Upload #web #article
@securation

Hacking Articles

Comprehensive Guide on Unrestricted File Upload

Learn about the unrestricted file upload vulnerability and how it can lead to severe security risks for web applications.

2.35K views10:41

Security Analysis

نمونه دیگه ای از بایپسی که توسط فایل آپلود صورت میگیره که به RCE تبدیل میشه :

رفرنسش اینجاست ‌:
https://github.com/star7th/showdoc/pull/1059

اینجا هم میتونید دورک مورد نظری که واسه اون CMS هست رو چک کنید و روی تارگت های متعددی تست کنید :
https://fofa.so/result?qbase64=YXBwPSJTaG93RG9jIg%3D%3D

یک POC هم ازش ثبت شده که اینجاست :
https://gist.github.com/pikpikcu/7fc3da3ae304de2f17546ba9efc597f4

#File_upload #bypass_Extension #RCE
@Securation

1.45K views11:09

Security Analysis

Context and xss Payload for search parameter
#bugbountytips #bugbounty #bugbountytip #xss @securation

1.31K views11:53

Security Analysis

توی این مقاله CSRF و بایپس اون رو با استفاده از یک حمله XSS شرح میده و بعد نشون میده که اول چطور توکن معتبر رو دریافت میکنه و فٌرم اتک بازیابی پسورد رو میسازه و ارسال میکنه و اسکریپت خودش رو تزریق میکنه تا کنترل سرور رو بدست بگیره .
و اینکه توی تارگت های واقعی تارگت ما در جریان این حمله نیست و مهاجم یک کد iframeرو میتونه توی کدهای جاوااسکریپت جاگذاری کنه و بعد از اجرا تارگت رو به سمت یک صفحه خاص هدایت کنه.

https://security-consulting.icu/blog/2015/03/bypass-csrf-protection-via-xss/
#CSRF_Protection_Bypasss
#web #article @securation

security-consulting.icu

Bypass CSRF Protection via XSS

Bypassing CSRF protection via XSS

1.28K views06:18

Security Analysis

اگه میخواید درک کاملی از CSRF و حملات مرتبط رو داشته باشید برگ تقلب های خود OWASP رو بخونید کامل توضیح داده .
https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
#web #article @securation

cheatsheetseries.owasp.org

Cross-Site Request Forgery Prevention - OWASP Cheat Sheet Series

Website with the collection of all the cheat sheets of the project.

1.3K views06:23

Security Analysis

چطوری سطح دسترسی رو با استفاده از OpenVAS بالا میبریم ؟

https://csal.medium.com/pentesters-tricks-local-privilege-escalation-in-openvas-fe933d7f161f
#tools #openvas #exploit
@securation

1.34K viewsedited 06:46

Security Analysis

یک منبع بسیار عالی از بهروز (Nahamsec‌‌‌‌‌‌‌‌) هست که میتونید ازش برای یک باگ هانتر خوب شدن استفاده کنید :

https://github.com/nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters
#bugbounty #tools #article @securation

GitHub

GitHub - nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters: A list of resources for those interested in getting started in bug…

A list of resources for those interested in getting started in bug bounties - nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters

1.79K viewsedited 07:21

About

Blog

Apps

Platform