اکسپلویت دو باگ امنیتی وردپرس به صورت گسترده
دو باگ امنیتی در پلاگینهای وردپرس به تیم TI وردپرس گزارش شد که شامل پلاگینهای Elementor Pro و Ultimate Addons for Elementor هستند.
https://blog.bugdasht.ir/wordpress-cve-2020-13125-13126/
دو باگ امنیتی در پلاگینهای وردپرس به تیم TI وردپرس گزارش شد که شامل پلاگینهای Elementor Pro و Ultimate Addons for Elementor هستند.
https://blog.bugdasht.ir/wordpress-cve-2020-13125-13126/
اکسپلویت آسیبپذیری امنیتی در پکیج پایتون
یک باگ امنیتی بحرانی در پکیج jw.util از پایتون وجود دارد. بارگذاری این تنظیمات میتواند منجربه اجرای دستورات دلخواه پایتون و در نهایت اجرای حمله command execution شود.
https://blog.bugdasht.ir/python-cve-2020-13388/
یک باگ امنیتی بحرانی در پکیج jw.util از پایتون وجود دارد. بارگذاری این تنظیمات میتواند منجربه اجرای دستورات دلخواه پایتون و در نهایت اجرای حمله command execution شود.
https://blog.bugdasht.ir/python-cve-2020-13388/
برگزاری مشترک وبینار "سیاستگذاری امنیت سایبری در کسب و کار" مجموعه باگدشت و فضای کار اشتراکی زاویه
با توجه به اهمیت ایجاد ساختار و تفکر امنیت سایبری در تمامی سطوح کسب و کارها و سازمانها، مجموعه باگدشت با همکاری فضای کار اشتراکی زاویه اقدام به برگزاری وبینار سیاست گذاری امنیت سایبری در کسب و کار نموده است.
https://blog.bugdasht.ir/cyber-security-tutorial-1-webinar-bugdasht-evand-alireza-ghahrood/
با توجه به اهمیت ایجاد ساختار و تفکر امنیت سایبری در تمامی سطوح کسب و کارها و سازمانها، مجموعه باگدشت با همکاری فضای کار اشتراکی زاویه اقدام به برگزاری وبینار سیاست گذاری امنیت سایبری در کسب و کار نموده است.
https://blog.bugdasht.ir/cyber-security-tutorial-1-webinar-bugdasht-evand-alireza-ghahrood/
شناسایی باگ RCE در Microsoft Exchange Server
مایکروسافت در به روزرسانی امنیتی ماهیانه خود یک باگ RCE را در سرور اکسچنج اعلام نمود. این باگ توسط یک متخصص امنیتی ناشناس به پلتفرم باگ بانتی ZDI گزارش شد و تمامی نسخههای نرم افزار مربوطه را تحت تاثیر قرار می دهد.
https://blog.bugdasht.ir/microsoft-exchange-server-rce-cve-2020-0688/
مایکروسافت در به روزرسانی امنیتی ماهیانه خود یک باگ RCE را در سرور اکسچنج اعلام نمود. این باگ توسط یک متخصص امنیتی ناشناس به پلتفرم باگ بانتی ZDI گزارش شد و تمامی نسخههای نرم افزار مربوطه را تحت تاثیر قرار می دهد.
https://blog.bugdasht.ir/microsoft-exchange-server-rce-cve-2020-0688/
برگزاری مشترک وبینار "سیاستگذاری امنیت سایبری در کسب و کار" توسط مجموعه باگدشت و فضای کار اشتراکی زاویه، 24 خرداد ماه
با توجه به اهمیت ایجاد ساختار و تفکر امنیت سایبری در تمامی سطوح کسب و کارها و سازمانها، مجموعه باگدشت با همکاری فضای کار اشتراکی زاویه اقدام به برگزاری وبینار سیاست گذاری امنیت سایبری در کسب و کار نموده است.
https://blog.bugdasht.ir/cyber-security-tutorial-1-webinar-bugdasht-evand-alireza-ghahrood/
با توجه به اهمیت ایجاد ساختار و تفکر امنیت سایبری در تمامی سطوح کسب و کارها و سازمانها، مجموعه باگدشت با همکاری فضای کار اشتراکی زاویه اقدام به برگزاری وبینار سیاست گذاری امنیت سایبری در کسب و کار نموده است.
https://blog.bugdasht.ir/cyber-security-tutorial-1-webinar-bugdasht-evand-alireza-ghahrood/
باگ خطرناک PrintDemon و تاثیر آن بر روی تمام نسخههای ویندوز
دو متخصص امنیتی یک باگ امنیتی خطرناک در سرویس پرینت ویندوز را شناسایی و در کنفرانس امنیتی Black Hat اعلام نمودند که تمامی نسخههای ویندوز که از سال 1996 تولید شدهاند را در برمیگیرد.
https://blog.bugdasht.ir/printdemon-cve-2020-1048-1070/
دو متخصص امنیتی یک باگ امنیتی خطرناک در سرویس پرینت ویندوز را شناسایی و در کنفرانس امنیتی Black Hat اعلام نمودند که تمامی نسخههای ویندوز که از سال 1996 تولید شدهاند را در برمیگیرد.
https://blog.bugdasht.ir/printdemon-cve-2020-1048-1070/
مشکل امنیتی سرور ایمیل Exim و وجود RCE
وجود باگ امنیتی در سرور ایمیل Exim و صحت سنجی نادرست ادرس گیرنده در تابع dliver_message() در src/dliver.c منجربه RCE میشود.
https://blog.bugdasht.ir/exim-rce-cve-2019-10149/
وجود باگ امنیتی در سرور ایمیل Exim و صحت سنجی نادرست ادرس گیرنده در تابع dliver_message() در src/dliver.c منجربه RCE میشود.
https://blog.bugdasht.ir/exim-rce-cve-2019-10149/
باگ بانتی چیست؟
معنی لغت باگ به فارسی به معنی حشره است و دلیلی که از عنوان BUG استفاده میکنند اتفاقی است که در سال ۱۹۴۷ برای اولین بار در کامپیوتر الکترومکانیکی افتاد به این نحو که شاپرک مردهای بین رلههای کامپیوتر افتاده بود و باعث ایجاد خطا در عملکرد کامپیوتر شد.
https://blog.bugdasht.ir/bug-bounty-definition/
معنی لغت باگ به فارسی به معنی حشره است و دلیلی که از عنوان BUG استفاده میکنند اتفاقی است که در سال ۱۹۴۷ برای اولین بار در کامپیوتر الکترومکانیکی افتاد به این نحو که شاپرک مردهای بین رلههای کامپیوتر افتاده بود و باعث ایجاد خطا در عملکرد کامپیوتر شد.
https://blog.bugdasht.ir/bug-bounty-definition/
وجود باگ افزایش سطح دسترسی در تمامی نسخههای اندروید و سرقت اطلاعات کاربران
در startActivities از ActivityStartcontroller.java تمامی نسخههای اندروید یک باگ افزایش سطح دسترسی به دلیل تداخل عملگرها وجود دارد.
https://blog.bugdasht.ir/android-stranhogg-cve-2020-0096/
در startActivities از ActivityStartcontroller.java تمامی نسخههای اندروید یک باگ افزایش سطح دسترسی به دلیل تداخل عملگرها وجود دارد.
https://blog.bugdasht.ir/android-stranhogg-cve-2020-0096/
آشنایی با مفهوم برنامه اعلام باگ یا VDP
مصاحبه اختصاصی با مدیرعامل باگدشت و بررسی نتایج فعالیت تیمهای حقوقی و فنی باگدشت در خصوص برنامه اعلام باگ یا VDP متناسب با نیازمندی هر سازمان بصورت عمومی و اختصاصی.
https://blog.bugdasht.ir/vdp-bug-bounty/
مصاحبه اختصاصی با مدیرعامل باگدشت و بررسی نتایج فعالیت تیمهای حقوقی و فنی باگدشت در خصوص برنامه اعلام باگ یا VDP متناسب با نیازمندی هر سازمان بصورت عمومی و اختصاصی.
https://blog.bugdasht.ir/vdp-bug-bounty/
گزارش ماهیانه
قدردانی از برترین متخصصین امنیت و کسب و کارهای همکار با باگدشت در خرداد ماه ۱۳۹۹.
https://blog.bugdasht.ir/month-report-1-3-1399/
قدردانی از برترین متخصصین امنیت و کسب و کارهای همکار با باگدشت در خرداد ماه ۱۳۹۹.
https://blog.bugdasht.ir/month-report-1-3-1399/
باگ امنیتی پیام رسان فیسبوک و کنترل کامل سیستم قربانی
محققان امنیتی در آزمایشگاه Reason جزئیات آسیبپذیری در پیامرسان فیسبوک نسخه ویندوز را بعد از انتشار بهروز رسانی توسط مایکروسافت افشا کردند.
https://blog.bugdasht.ir/persistence-method-facebook-messenger-desktop-app/
محققان امنیتی در آزمایشگاه Reason جزئیات آسیبپذیری در پیامرسان فیسبوک نسخه ویندوز را بعد از انتشار بهروز رسانی توسط مایکروسافت افشا کردند.
https://blog.bugdasht.ir/persistence-method-facebook-messenger-desktop-app/
باگ ایجاد دسترسی ممتاز در PowerToys ویندوز ۱۰
این باگ باعث افزایش سطح دسترسی ممتاز نرم افزارهای اجرا شده از طریق PowerToys ویندوز میگردد که شرکت مایکروسافت برای این باگ بهروز رسانی منتشر کرده است.
https://blog.bugdasht.ir/admin-mode-bugs-windows-10-powertoys/
این باگ باعث افزایش سطح دسترسی ممتاز نرم افزارهای اجرا شده از طریق PowerToys ویندوز میگردد که شرکت مایکروسافت برای این باگ بهروز رسانی منتشر کرده است.
https://blog.bugdasht.ir/admin-mode-bugs-windows-10-powertoys/
باگ امنیتی پردازندههای اینتل به حمله Crosstalk و SGAxe
محققین امنیتی آسیبپذیری Crosstalk را که منجربه نشت اطلاعات در پردازندههای اینتل در تمام CPU های استفاده شده در کامپیوترهای شخصی، موبایل و سرور میشود را شناسایی نمودند.
https://blog.bugdasht.ir/intel-cpu-cve-2020-0543-0549/
محققین امنیتی آسیبپذیری Crosstalk را که منجربه نشت اطلاعات در پردازندههای اینتل در تمام CPU های استفاده شده در کامپیوترهای شخصی، موبایل و سرور میشود را شناسایی نمودند.
https://blog.bugdasht.ir/intel-cpu-cve-2020-0543-0549/
جذب کارشناس تست نفوذ نرمافزارهای موبایل و سامانههای تحت وب در یک شرکت خصوصی معتبر (تهران جردن)
شرح موقعیت شغلی:
حداقل ۳ سال سابقه کار در زمینه تست نفوذ در شرکتهای معتبر
همکاری تمام وقت شنبه تا چهارشنبه ۸ تا ۱۷
شرایط عمومی:
- متعهد به کار
- علاقهمند به یادگیری
- روحیه کار تیمی و قابلیت انتقال دانش
دانش تخصصی:
- آزمون نفوذ سامانههای تحت وب و برنامههای موبایل
- توانایی آزمون نفوذ با روشهای دستی
- توانایی اکسپلویت نویسی
- مسلط به استانداردها و متدولوژی های آزمون نفوذ وب و موبایل
- مسلط به ابزارهای شناسایی آسیبپذیریها و آزمون نفوذ
- توانایی مستندسازی و گزارش نویسی
- مسلط به راهکارهای امنیتی و امنسازی
- آشنا به فایروالهای های تحت وب
- توانایی تحلیل آسیبپذیریها و حملات
- توانایی سناریو سازی حملات
- توانایی تحلیل کد
- خلاقیت در آزمون نفوذ و توانایی شناسایی آسیب پذیری های منطق کسب و کار
متخصصین علاقهمند به همکاری در این حوزه میتوانند رزومه خود را به آدرس ایمیل منابع انسانی باگدشت ارسال نمایند تا پس از تایید به شرکت مذکور جهت انجام مصاحبه اعلام شود. [email protected]
#HR_bugdasht
شرح موقعیت شغلی:
حداقل ۳ سال سابقه کار در زمینه تست نفوذ در شرکتهای معتبر
همکاری تمام وقت شنبه تا چهارشنبه ۸ تا ۱۷
شرایط عمومی:
- متعهد به کار
- علاقهمند به یادگیری
- روحیه کار تیمی و قابلیت انتقال دانش
دانش تخصصی:
- آزمون نفوذ سامانههای تحت وب و برنامههای موبایل
- توانایی آزمون نفوذ با روشهای دستی
- توانایی اکسپلویت نویسی
- مسلط به استانداردها و متدولوژی های آزمون نفوذ وب و موبایل
- مسلط به ابزارهای شناسایی آسیبپذیریها و آزمون نفوذ
- توانایی مستندسازی و گزارش نویسی
- مسلط به راهکارهای امنیتی و امنسازی
- آشنا به فایروالهای های تحت وب
- توانایی تحلیل آسیبپذیریها و حملات
- توانایی سناریو سازی حملات
- توانایی تحلیل کد
- خلاقیت در آزمون نفوذ و توانایی شناسایی آسیب پذیری های منطق کسب و کار
متخصصین علاقهمند به همکاری در این حوزه میتوانند رزومه خود را به آدرس ایمیل منابع انسانی باگدشت ارسال نمایند تا پس از تایید به شرکت مذکور جهت انجام مصاحبه اعلام شود. [email protected]
#HR_bugdasht
اکسپلویت آسیبپذیری پروتکل IP-in-IP tunneling و حمله DoS
چندین محصول سیسکو و برندهای دیگر دارای باگ امنیتی در پروتکل IP-in-IP tunneling یا Encapsulation IP هستند که منجربه دور زدن محدودیتهای امنیتی این تجهیزات میگردد.
https://blog.bugdasht.ir/ip-in-ip-encapsulation-dos-cve-2020-10136/
چندین محصول سیسکو و برندهای دیگر دارای باگ امنیتی در پروتکل IP-in-IP tunneling یا Encapsulation IP هستند که منجربه دور زدن محدودیتهای امنیتی این تجهیزات میگردد.
https://blog.bugdasht.ir/ip-in-ip-encapsulation-dos-cve-2020-10136/
سناریو DNS Bruteforcing برای شناسایی زیردامنه ها توسط Fierce، dnsmap و Nmap
در ادامه سری آموزشهای باگبانتی در این آموزش به سه ابزار رایج باگ بانتی یعنی dnsmap، Nmap و Fierce میپردازیم. اطلاعات زیادی از DNS server میتوان بدست آورد و از تکنیک های bruteforce و zone transfer استفاده میکنیم.
https://blog.bugdasht.ir/tutorial-dns-brutforcing-dnsmap-fierce-nmap/
در ادامه سری آموزشهای باگبانتی در این آموزش به سه ابزار رایج باگ بانتی یعنی dnsmap، Nmap و Fierce میپردازیم. اطلاعات زیادی از DNS server میتوان بدست آورد و از تکنیک های bruteforce و zone transfer استفاده میکنیم.
https://blog.bugdasht.ir/tutorial-dns-brutforcing-dnsmap-fierce-nmap/
آسیبپذیری RCE در نرمافزار Anydesk
در نرمافزار Anydesk در نسخه linux و FreeBSD، آسیبپذیری در فرمت استرینگ وجود دارد که به حمله کننده اجازه اکسپلویت آسیبپذیری و اجرای RCE میدهد.بهروز رسانی امنیتی برای این آسیبپذیری بعد از آگاه کردن سازنده در چند روز منتشر شد و به متخصصی که این باگ امنیتی را اعلام کرد ۵۰۰۰ یورو بانتی تعلق گرفت.
https://blog.bugdasht.ir/anydesk-rce-cve-2020-10160/
در نرمافزار Anydesk در نسخه linux و FreeBSD، آسیبپذیری در فرمت استرینگ وجود دارد که به حمله کننده اجازه اکسپلویت آسیبپذیری و اجرای RCE میدهد.بهروز رسانی امنیتی برای این آسیبپذیری بعد از آگاه کردن سازنده در چند روز منتشر شد و به متخصصی که این باگ امنیتی را اعلام کرد ۵۰۰۰ یورو بانتی تعلق گرفت.
https://blog.bugdasht.ir/anydesk-rce-cve-2020-10160/
نقش باگ بانتی در راهکارهای ایمنسازی سازمانی
امنیت سامانه ها و اطلاعات مشتریان و کارکنان، جایگاهی برای ملاحظات سیاسی سازمان ندارد. پیگیری نقش اساسی در پروسه رفع باگ ایفا میکند. فقط در سال گذشته برای نشت اطلاعاتی هر ۲۵ هزار رکورد اطلاعاتی در حدود ۴ میلیون دلار خسارت ایجاد شده است.
https://blog.bugdasht.ir/bugbounty-bughunting-bugdasht-benefits/
امنیت سامانه ها و اطلاعات مشتریان و کارکنان، جایگاهی برای ملاحظات سیاسی سازمان ندارد. پیگیری نقش اساسی در پروسه رفع باگ ایفا میکند. فقط در سال گذشته برای نشت اطلاعاتی هر ۲۵ هزار رکورد اطلاعاتی در حدود ۴ میلیون دلار خسارت ایجاد شده است.
https://blog.bugdasht.ir/bugbounty-bughunting-bugdasht-benefits/
باگ امنیتی deserialization در Oracle WebLogic و دسترسی RCE
آسیبپذیری deserialization در نرمافزار Oracle WebLogic Server با شناسه آسیبپذیری CVE-2020-2555 اعلام شده بود ولی در حال حاضر یک متخصص امنیتی گزارشی مبنی بر دورزدن راهکار رفع باگ را به باگ بانتی ZDI ارایه نموده است و به صورت فعال اکسپلویت آسیبپذیری صورت میگیرد.
https://blog.bugdasht.ir/deserialization-oracle-weblogic-rce-cve-2020-2883/
آسیبپذیری deserialization در نرمافزار Oracle WebLogic Server با شناسه آسیبپذیری CVE-2020-2555 اعلام شده بود ولی در حال حاضر یک متخصص امنیتی گزارشی مبنی بر دورزدن راهکار رفع باگ را به باگ بانتی ZDI ارایه نموده است و به صورت فعال اکسپلویت آسیبپذیری صورت میگیرد.
https://blog.bugdasht.ir/deserialization-oracle-weblogic-rce-cve-2020-2883/
جذب کارشناس تست نفوذ سامانههای وب و شبکه در یک شرکت خصوصی معتبر (تهران آرژانتین)
شرح موقعیت شغلی:
حداقل ۳ سال سابقه کار در زمینه تست نفوذ در شرکتهای معتبر
همکاری تمام وقت شنبه تا چهارشنبه ۸ تا ۱۷
دانش تخصصی:
- آزمون نفوذ سامانههای تحت وب
- توانایی آزمون نفوذ شبکه
- مسلط به استانداردها و متدولوژی های آزمون نفوذ وب و شبکه
- مسلط به ابزارهای شناسایی آسیبپذیریها و آزمون نفوذ
- توانایی مستندسازی و گزارش نویسی
- خلاقیت در آزمون نفوذ و توانایی شناسایی آسیب پذیری های منطق کسب و کار
متخصصین علاقهمند به همکاری در این حوزه میتوانند رزومه خود را به آدرس ایمیل منابع انسانی باگدشت ارسال نمایند تا پس از تایید به شرکت مذکور جهت انجام مصاحبه اعلام شود. [email protected]
#HR_bugdasht
شرح موقعیت شغلی:
حداقل ۳ سال سابقه کار در زمینه تست نفوذ در شرکتهای معتبر
همکاری تمام وقت شنبه تا چهارشنبه ۸ تا ۱۷
دانش تخصصی:
- آزمون نفوذ سامانههای تحت وب
- توانایی آزمون نفوذ شبکه
- مسلط به استانداردها و متدولوژی های آزمون نفوذ وب و شبکه
- مسلط به ابزارهای شناسایی آسیبپذیریها و آزمون نفوذ
- توانایی مستندسازی و گزارش نویسی
- خلاقیت در آزمون نفوذ و توانایی شناسایی آسیب پذیری های منطق کسب و کار
متخصصین علاقهمند به همکاری در این حوزه میتوانند رزومه خود را به آدرس ایمیل منابع انسانی باگدشت ارسال نمایند تا پس از تایید به شرکت مذکور جهت انجام مصاحبه اعلام شود. [email protected]
#HR_bugdasht