Network Security Channel
@Engineer_Computer
2.56K subscribers
5.33K photos
3.42K videos
5.56K files
4.44K links
شروع از سال 1395
Security Operation Center (SOC)
Bug Bounty
Vulnerability
Pentest
Hardening
Linux
Reasearch
Security Network
Security Researcher
DevSecOps
Blue Team
Red Team
Download Telegram
About
Blog
Apps
Platform
Join
Network Security Channel
2.56K subscribers
Network Security Channel
هوش مصنوعی؛ قدرت سیاسی آینده!

طی بررسی صورت گرفته توسط موسسه Statist، شرکت‌های چینی طی سال‌های 2017 الی 2021 پیشگام در ثبت اختراع در حوزه هوش مصنوعی بوده‌اند. شرکت‌های آمریکایی در رتبه‌های بعدی قرار دارند.

توسعه هوش مصنوعی الزام حرکت به سمت حکمرانی دیجیتال و حکمرانی خوب(Good governance) است. امری که تاخیر در حرکت به سمت آن کشور را به عواقب منفی بسیاری متوجه خواهد کرد.

در ايرانمان چطور!؟🥶

کانال آموزش کامپیوتر
@Engineer_Computer
220 views
Network Security Channel
Tools
Offensive security
1. PipeViewer - Tool that shows detailed information about named pipes in Windows
https://github.com/cyberark/PipeViewer

2. Full Nuclei automation script with logic explanation
https://github.com/iamthefrogy/nerdbug

کانال آموزش کامپیوتر
@Engineer_Computer
GitHub
GitHub - cyberark/PipeViewer: A tool that shows detailed information about named pipes in Windows
A tool that shows detailed information about named pipes in Windows - cyberark/PipeViewer
252 views
Network Security Channel
⭕️ Apache SCXML Remote Code Execution
POC :
https://pyn3rd.github.io/2023/02/06/Apache-SCXML-Remote-Code-Execution/

کانال آموزش کامپیوتر
@Engineer_Computer
119 views
Network Security Channel
2019 Python Crash Course.pdf
6.7 MB
2019 Python Crash Course
2nd edition
a hands-on, Project-Based introduction to Programming

#Python #Course #Hands_on #Project_Based #Programming #Handson #ProjectBased

کانال آموزش کامپیوتر
@Engineer_Computer
121 views
Network Security Channel
Media is too big
VIEW IN TELEGRAM
امیرعماد میرمیرانی جادی از سیستم های پیشنهاد دهنده می گوید مقدمه
01 ویدیوی آموزشی مقدمه سیستم‌های توصیه‌گر جادی

#Jadi #Video #Tutorials #Tutorial

کانال آموزش کامپیوتر
@Engineer_Computer
118 views
Network Security Channel
Media is too big
VIEW IN TELEGRAM
امیرعماد میرمیرانی جادی از سیستم های پیشنهاد دهنده مبتنی بر محتوا می گوید
02 ویدیوی آموزشی مقدمه سیستم‌های توصیه‌گر جادی
سیستم های توصیه گر محتوا محور
#Jadi #Video #Tutorials #Tutorial
#Content_Based_Filtering #Content_Based #Content #Filtering

کانال آموزش کامپیوتر
@Engineer_Computer
109 views
Network Security Channel
Media is too big
VIEW IN TELEGRAM
امیرعماد میرمیرانی جادی از سیستم های پیشنهاد دهنده مبتنی بر مشارکت می گوید
03 ویدیوی آموزشی مقدمه سیستم‌های توصیه‌گر جادی
سیستم های توصیه گر مشارکتی
#Jadi #Video #Tutorials #Tutorial
#Collaborative_Based_Filtering #Collaborative_Based #Collaborative #Filtering

کانال آموزش کامپیوتر
@Engineer_Computer
👍2
146 views
Network Security Channel
کانال آموزش کامپیوتر
@Engineer_Computer
137 views
Network Security Channel
کانال آموزش کامپیوتر
@Engineer_Computer
132 views
Network Security Channel
tools
Sec code review
Semgrep rules for smart contracts based on DeFi exploits
https://github.com/Decurity/semgrep-smart-contracts


کانال آموزش کامپیوتر
@Engineer_Computer
GitHub
GitHub - Decurity/semgrep-smart-contracts: Semgrep rules for smart contracts based on DeFi exploits
Semgrep rules for smart contracts based on DeFi exploits - Decurity/semgrep-smart-contracts
125 viewsedited  
Network Security Channel
VMware found no evidence of a zero-day in its software as part of an ongoing ransomware attack spree. Most reports suggest known vulnerabilities in outdated products are being targeted.
Read: https://thehackernews.com/2023/02/vmware-finds-no-evidence-of-0-day-flaw.html



کانال آموزش کامپیوتر
@Engineer_Computer
123 views
Network Security Channel
KELA_Telegram.pdf
5.6 MB
Threat Research
TELEGRAM - How a Messenger Turned Into a Cybercrime Ecosystem by 2023

کانال آموزش کامپیوتر
@Engineer_Computer
117 views
Network Security Channel
Dear customer,
A new wave of attacks deploying ransomware is currently targeting VMware ESXi versions 7 and older.
We at Leaseweb urge you to please check your own systems, and install the new version and or workarounds as soon as possible. 
For more details please check
https://kb.VMware.com/s/article/76372

کانال آموزش کامپیوتر
@Engineer_Computer
114 views
Network Security Channel
This media is not supported in your browser
VIEW IN TELEGRAM
CVE-2023-21608 : Adobe Acrobat Reader 22.003.20282 ,22.003.20281 ,20.005.30418 - Use After Free ( 'resetForm' / 'CAgg UaF' - Remote Code Execution )
POC : https://github.com/hacksysteam/CVE-2023-21608
https://hacksys.io/blogs/adobe-reader-resetform-cagg-rce-CVE-2023-21608
https://hacksys.io/blogs/adobe-reader-xfa-ansi-unicode-confusion-information-leak
https://hacksys.io/blogs/foxit-reader-uaf-rce-jit-spraying-cve-2022-28672
کانال آموزش کامپیوتر
@Engineer_Computer
😱1
122 views
Network Security Channel
This media is not supported in your browser
VIEW IN TELEGRAM
#حاکمرانی #فضای_مجازی
حاکمیت هر کشوری وظیفه اعمال مهندسی جامع و کامل داره در راستای توانمندسازی علمی جوانان علاقمند حوزه فناوری اطلاعات با بهترین امکانات روز دنیا و بروز ترین زیرساخت های تحصیلی.

در گام بعدی شکوفا سازی استعدادها در سکوهای علمی دانشگاهی و حمایت حداکثری از اونها در راستای تیم سازی و تجاری سازی محصولات روز دنیا و نیاز کشور.

امروز کشور ما چند کنفرانس علمی حرفه ای امنیت سایبری داره که حاکمیت بانیش هست؟ چند استاد بنام داره تا تولید زیرساخت های تحصیلی حرفه ای و بروز بکنه؟ اگر دودی هم بلنده از صدقه سر خود محققین مستقل در کشوره.

حاکمیت آیا نقش خودش رو درست ایفا کرده که امروز یک شخص شبهه متخصص رو میدون میدن تا اعصاب فعالین فضای سایبر رو با اراجیف بی سر و ته بهم بریزه.

دستگاه های نظارتی آیا علاقمندند تا همین فعالین محدود در کشور مانده هم فرار کنند از کشور؟

اگر دستگاه های نظارتی برخورد صحیحی نمیکنند ما به عنوان یک تیم تحقیقاتی مستقل در تمامی موضوعات حکمرانی فضای سایبر حاضریم تا با این افراد مناظره انجام داده و اساس ادعاهای اونهارو زیر سوال ببریم.

کشور ارث پدری جبهه پایداری نیست.
🔥5
265 views
Network Security Channel
⭕️ بایپس جزئی rate limit در Login AWS Console

محققی از آزمایشگاه امنیتی datadog اومده و بر روی فانکشن authentication در AWS Console کار کرده. بهتر هست بگیم روی متد IAM user در بخش sign in کار کرده.
اگر به طور خلاصه و ساده بخوام بگم IAM user چی هست ابتدا باید بگم که وقتی شما یک اکانت AWS میسازید یه کاربر root به شما داده میشه. بقیه یوزر ها مثل IAM users یا AWS IAM Identity Center users توسط این اکانت روت ساخته میشن.
(مرجع)

این فانکشن طبیعتا از rate limit برخوردا بوده و هنگام authenticate درخواست http زیر رو به سرور ارسال میکرده:
POST /authenticate HTTP/2
Host: signin.aws.amazon.com
Content-Length: 257
Content-Type: application/x-www-form-urlencoded
Origin: https://signin.aws.amazon.com

action=iam-user-authentication
&account=884527801452
&username=christophe
&password=<your-password>
&client_id=arn%3Aaws%3Asignin%3A%3A%3Aconsole%2Fcanvas
&redirect_uri=https%3A%2F%2Fus-east-1.console.aws.amazon.com%2Fconsole
اگر credential داده شده نادرست بودند پاسخ زیر
{
"state": "FAIL",
"properties": {
"result": "FAILURE",
"text": "Your authentication information is incorrect. Please try again."
}
}
و اگر درست بودند پاسخ زیر به کاربر نمایش داده میشد:
{
"state": "SUCCESS",
"properties": {
"result": "SUCCESS",
"redirectUrl": "https://us-east-1.console.aws.amazon.com/console?code\u003<token>"
}
}
همچنین در صورتی که تعداد درخواست های ارسال از حد مجاز میگذشت اپلیکیشن پیام زیر رو به کاربر نمایش میداده:
Failed attempt for password batman: 'Too many invalid passwords have been used to attempt to sign-in to this account. Please wait 4 seconds before your next attempt.'
محقق بعد از ارسال ۳۰ درخواست auth پشت سر هم که invalid credentials رو شامل میشده برای ۴ ثانیه از ارسال درخواست auth منع شده. تنها کاری که محقق انجام داده در اسکریپت brute force اش یک فانکشن sleep ساده بوده که در صورت برخورد با محدودیت به مدت 5 ثانیه هیچ درخواستی ارسال نشه و بعد از 5 ثانیه ارسال درخواست از سرگیری بشه.
همچنین اسکریپت بروت فورس اش رو باز نویسی کرده با 30 thread parallel این کار رو انجام داده که در نهایت منجر به ارسال 280 درخواست بر دقیقه یا بهتر هست بگیم 4.6 درخواست بر ثانیه شده.

در نهایت این موضوع و brute force کردن حساب کاربر در صورتی که top password داشته باشه و همچنین 2fa حساب کاربر فعال نبوده باشه،‌ میتونسته باعث تصاحب حساب کاربری بشه.

کاری که AWS Team برای جلوگیری انجام داده افزایش و سفت و سخت تر کردن rate limit هست.
طبیعتا اگر ما میخواستیم این جلوگیری رو انجام بدیم این کار هارو میتونستیم کنیم:
1) اضافه کردن محدودیت زمانی rate limit به طور افزایشی یعنی بار اول اگر 4 ثانیه هست بار دوم 8 ثانیه و بار سوم 12 ثانیه و ...
2) پیاده سازی مکانیزم Capctha به طور امن
3) مسدود کردن IP بعد از X بار تلاش نادرست ( این مسدود کردن باید موقتی باشه و نمیتونه دائمی باشه اصولا)
4) قفل کردن یا Lock کردن حسابی که داره brute force بر روش صورت میگیره:‌ حالا قابلیت unlock کردن اون حساب میتونه از یه چنل دیگه مثل email یا phone صورت بگیره.

لینک مقاله برای مطالعه:
https://securitylabs.datadoghq.com/articles/aws-console-rate-limit-bypass/

#bruteforce #web_security #rate_limit #ATO #AWS
کانال آموزش کامپیوتر
@Engineer_Computer
Amazon
IAM Identities - AWS Identity and Access Management
Provides a conceptual overview of AWS Identity and Access Management (IAM) identities, including IAM users and IAM roles, which you can create in order to provide access to resources in you AWS account for people and processes.
1👍1
292 views
Network Security Channel
info
OWASP TOP 10 Bug Bounty Writeups
https://github.com/alexbieber/Bug_Bounty_writeups
کانال آموزش کامپیوتر
@Engineer_Computer
GitHub
GitHub - alexbieber/Bug_Bounty_writeups: BUG BOUNTY WRITEUPS - OWASP TOP 10 🔴🔴🔴🔴
BUG BOUNTY WRITEUPS - OWASP TOP 10 🔴🔴🔴🔴. Contribute to alexbieber/Bug_Bounty_writeups development by creating an account on GitHub.
110 views
Network Security Channel
UPLEVEL YOUR BUG HUNTING SKILLS. Learn the #bugbounty hunting with a modern hunting approach, live training, labs, live practicals, best practices and more on GitHub.

We demonstrate practicals on the live web application inspired by real-world vulnerabilities to help you practice and sharpen your skills.
...

Name of training: *Advanced Web Security Expert (AWSE)*

*Google Meet link:* ~*Inbox me for joining link*~

Today Wednesday, 08 Feb · 09:00 - 10:30 PM IST (Indian Time)
...

Enrol for a FREE DEMO here [Google Form]: https://forms.gle/z7YKi1T37cUZFZeP9

Training syllabus: https://lnkd.in/guymi48
...

* FREE DEMO ENROLL NOW*

To know more details, call: +91-9680981337

Want to Demo Session? Direct WhatsApp Message us: https://wa.me/919571471337
...

Regards
Team The Hacktivists™️
https://www.thehacktivists.in/trainings
...

What You Will Learn

*Achievements* - ExploitDB / PacketStrom Exploit Registration (Web / Android)
*Achievements* - Research Paper Submission on ExploitDB / PacketStrom
*Achievements* - ExploitDB GHDB Registration
*Achievements* - CVE Registration (Web / Android)
*Achievements* - Hall of fames on major companies

کانال آموزش کامپیوتر
@Engineer_Computer
Google Docs
Register for Free Online Demo Session (Information Security Training)
* Certified and Experienced Instructors.
* Personalized training is also available for individuals and group.
* Weekdays and Weekends training batches as per your schedule.
* We provide training in Hindi, English, Spanish and Portuguese too.
* Trainings are…
120 views
Network Security Channel
Security-E-Books-Free-Download

https://github.com/0xjashim/Top-100-Hacking-Security-E-Books-Free-Download-2019

کانال آموزش کامپیوتر
@Engineer_Computer
GitHub
GitHub - 0xjashim/Top-100-Hacking-Security-E-Books-Free-Download-2019: Hacking and Cyber Security Ebooks | For More Visit -
Hacking and Cyber Security Ebooks | For More Visit - - GitHub - 0xjashim/Top-100-Hacking-Security-E-Books-Free-Download-2019: Hacking and Cyber Security Ebooks | For More Visit -
136 views
Network Security Channel
https://offsec.tools

کانال آموزش کامپیوتر
@Engineer_Computer
offsec.tools
offsec.tools - A vast collection of security tools
A vast collection of security tools for bug bounty, pentest and red teaming
150 views