EJS - Server Side Prototype Pollution gadgets to RCE
https://mizu.re/post/ejs-server-side-prototype-pollution-gadgets-to-rce
@Engineer_Computer
https://mizu.re/post/ejs-server-side-prototype-pollution-gadgets-to-rce
@Engineer_Computer
Top 10 Subdomain Finders for Great Website Reconnaissance
https://medium.com/@SamitHota/top-10-subdomain-finders-for-great-website-reconnaissance-4b5fd9dee8a2
@Engineer_Computer
https://medium.com/@SamitHota/top-10-subdomain-finders-for-great-website-reconnaissance-4b5fd9dee8a2
@Engineer_Computer
👍1
Ultimate Cheatsheet for Critical Thinking_Pro Vs Anti AI.pdf
164.7 KB
یکی از مهمترین مهارتهای یک تحلیلگر، critical thinking هست.
اینکه بتونی تو یه لحظه همه جوانب رو درنظر بگیری، بسیار مهمه.
@Engineer_Computer
اینکه بتونی تو یه لحظه همه جوانب رو درنظر بگیری، بسیار مهمه.
@Engineer_Computer
👍2
#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Engineer_Computer
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Engineer_Computer
Network Security Channel
🐞 What's security flaws with this code? How to fix it? نقص امنیتی این کد چیه؟ اصلا نقص امنیتی داره؟ چنتا و به چه صورت؟ نحوه فیکس کردنش به چه صورت هست؟ #AppSec #code_challenge #vulnerable_code #web_security #FastAPI @Engineer_Computer
Now the answer
مهم ترین آسیب پذیری ای که داشت و اکثرا دوستان هم گفتن Mass Assignment بود که میشد ما با role ای مثل admin برای خودمون account بسازیم که حالا توی fix فیلد های مهم رو صرف نظر از چیزی که کاربر میده ما تغییر میدیم، موضوع بعدی هم Insecure Password Storage بود که حالا پسورد hash میشه.
#AppSec #code_challenge #fixed_code #web_security #FastAPI
@Engineer_Computer
مهم ترین آسیب پذیری ای که داشت و اکثرا دوستان هم گفتن Mass Assignment بود که میشد ما با role ای مثل admin برای خودمون account بسازیم که حالا توی fix فیلد های مهم رو صرف نظر از چیزی که کاربر میده ما تغییر میدیم، موضوع بعدی هم Insecure Password Storage بود که حالا پسورد hash میشه.
#AppSec #code_challenge #fixed_code #web_security #FastAPI
@Engineer_Computer
The Silent Spy Among Us: Modern Attacks Against Smart Intercoms (Akuvox E11)
https://claroty.com/team82/research/the-silent-spy-among-us-modern-attacks-against-smart-intercoms
@Engineer_Computer
https://claroty.com/team82/research/the-silent-spy-among-us-modern-attacks-against-smart-intercoms
@Engineer_Computer
Iranian threat actor Agrius is using a new ransomware strain called Moneybird (programmed in C++) to target Israeli organizations
Read details:
https://thehackernews.com/2023/05/iranian-agrius-hackers-targeting.html
@Engineer_Computer
Read details:
https://thehackernews.com/2023/05/iranian-agrius-hackers-targeting.html
@Engineer_Computer
Here are 25 FREE Cybersecurity Courses (Some) with FREE certifications.
1. Cloud Computing Security
https://lnkd.in/gdwCUiN2
2. Cloud Security - For Leaders
https://lnkd.in/gEbAgH_5
3. Cryptocurrency for Law Enforcement for the Public
https://lnkd.in/g9Bu--_F
4. Cyber Supply Chain Risk Management for the Public
https://lnkd.in/gimMgH2F
5. Cyber essentials
https://lnkd.in/ge7Jpj7y
6. Don’t Wake Up to a Ransomware Attack
https://lnkd.in/gqnauxyS
7. Foundations of Cybersecurity for Managers
https://lnkd.in/g-Yxxdxp
8. Fundamentals of Cyber Risk Management
https://lnkd.in/gbV8P5m2
9. Introduction to Cyber Intelligence
https://lnkd.in/gCDd5rFr
10. Securing Internet-Accessible Systems
https://lnkd.in/gz7cnEwi
11. Understanding DNS Attack
https://lnkd.in/g5FEKCsJ
12. Understanding Web and Email Server Security
https://lnkd.in/gGB2zJZG
13. 101 Coding for the Public https://lnkd.in/gpAVr_GM
14. 101 Reverse Engineering for the Public https://lnkd.in/gq6MP-uJ
15. Introduction to Cyber Attacks at NYU
https://lnkd.in/gT6psJjU
16. Cryptography I at Stanford
https://lnkd.in/gQCt4B7D
17. Hardware Security at University of Maryland
https://lnkd.in/gzCm_VRb
18. Network and Security Foundations at Western Governors University
https://lnkd.in/ghVX7rgX
19. Internet History, Technology, and Security at University of Michigan
https://lnkd.in/gjD_BeGg
20. Network and Computer Security at MIT
https://lnkd.in/gWbzUpq2
21. Computer Networks at MIT
https://lnkd.in/g6pGYsRJ
22. System Issues in Cloud Computing Specialization at Georgia Tech
https://lnkd.in/gRMSuJs9
23. Cybersecurity Management at Charles Sturt University
https://lnkd.in/gasd7-Sz
24. Certified Information Systems Security Professional at Charles Sturt University
https://lnkd.in/giX4pV7j
25. Pen Testing at Charles Sturt University
https://lnkd.in/gd8VwMrC
@Engineer_Computer
1. Cloud Computing Security
https://lnkd.in/gdwCUiN2
2. Cloud Security - For Leaders
https://lnkd.in/gEbAgH_5
3. Cryptocurrency for Law Enforcement for the Public
https://lnkd.in/g9Bu--_F
4. Cyber Supply Chain Risk Management for the Public
https://lnkd.in/gimMgH2F
5. Cyber essentials
https://lnkd.in/ge7Jpj7y
6. Don’t Wake Up to a Ransomware Attack
https://lnkd.in/gqnauxyS
7. Foundations of Cybersecurity for Managers
https://lnkd.in/g-Yxxdxp
8. Fundamentals of Cyber Risk Management
https://lnkd.in/gbV8P5m2
9. Introduction to Cyber Intelligence
https://lnkd.in/gCDd5rFr
10. Securing Internet-Accessible Systems
https://lnkd.in/gz7cnEwi
11. Understanding DNS Attack
https://lnkd.in/g5FEKCsJ
12. Understanding Web and Email Server Security
https://lnkd.in/gGB2zJZG
13. 101 Coding for the Public https://lnkd.in/gpAVr_GM
14. 101 Reverse Engineering for the Public https://lnkd.in/gq6MP-uJ
15. Introduction to Cyber Attacks at NYU
https://lnkd.in/gT6psJjU
16. Cryptography I at Stanford
https://lnkd.in/gQCt4B7D
17. Hardware Security at University of Maryland
https://lnkd.in/gzCm_VRb
18. Network and Security Foundations at Western Governors University
https://lnkd.in/ghVX7rgX
19. Internet History, Technology, and Security at University of Michigan
https://lnkd.in/gjD_BeGg
20. Network and Computer Security at MIT
https://lnkd.in/gWbzUpq2
21. Computer Networks at MIT
https://lnkd.in/g6pGYsRJ
22. System Issues in Cloud Computing Specialization at Georgia Tech
https://lnkd.in/gRMSuJs9
23. Cybersecurity Management at Charles Sturt University
https://lnkd.in/gasd7-Sz
24. Certified Information Systems Security Professional at Charles Sturt University
https://lnkd.in/giX4pV7j
25. Pen Testing at Charles Sturt University
https://lnkd.in/gd8VwMrC
@Engineer_Computer
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
🔥1
Analytics
Cybersecurity Trends Q2/2023:☠️
⬆️ Malicious .lnk, .one, .zip > .wsf / .iso;
⬆️ HTML smuggling techniques;
⬆️ Rust based implants / loaders (+Go +Nim);
⬆️ Sliver/Havoc implants;
⬆️ Abused legit remote admin software;
⬆️ Pwd spraying/creds stuffing;
⬆️ Token/Cloud API abuse;
⬇️ Using Shortcut Files;
⬇️ VBA/XL4 Macros.
@Engineer_Computer
Cybersecurity Trends Q2/2023:☠️
⬆️ Malicious .lnk, .one, .zip > .wsf / .iso;
⬆️ HTML smuggling techniques;
⬆️ Rust based implants / loaders (+Go +Nim);
⬆️ Sliver/Havoc implants;
⬆️ Abused legit remote admin software;
⬆️ Pwd spraying/creds stuffing;
⬆️ Token/Cloud API abuse;
⬇️ Using Shortcut Files;
⬇️ VBA/XL4 Macros.
@Engineer_Computer
Ace infosec with 1000+ Chatgpt Prompts
🚀 From red teaming to blue teaming, pentesting to SOC, and everything in between - cryptography, linux sysadmin, windows exploitation, web app security and more. It's a buffet of infosec awesomeness!
🔥 First 200 people get it FREE! Use code HACK101 for a limited-time discount. Don't miss out on this exclusive offer!
🏵 Grab it now:
https://hacklidostore.gumroad.com/l/infosecdeck
@Engineer_Computer
🚀 From red teaming to blue teaming, pentesting to SOC, and everything in between - cryptography, linux sysadmin, windows exploitation, web app security and more. It's a buffet of infosec awesomeness!
🔥 First 200 people get it FREE! Use code HACK101 for a limited-time discount. Don't miss out on this exclusive offer!
🏵 Grab it now:
https://hacklidostore.gumroad.com/l/infosecdeck
@Engineer_Computer
Hacking ICS Historians: The Pivot Point from IT to OT
https://claroty.com/team82/research/hacking-ics-historians-the-pivot-point-from-it-to-ot
@Engineer_Computer
https://claroty.com/team82/research/hacking-ics-historians-the-pivot-point-from-it-to-ot
@Engineer_Computer
Graphicator - A GraphQL Enumeration And Extraction Tool
https://github.com/cybervelia/graphicator
https://www.kitploit.com/2023/03/graphicator-graphql-enumeration-and.html
@Engineer_Computer
https://github.com/cybervelia/graphicator
https://www.kitploit.com/2023/03/graphicator-graphql-enumeration-and.html
@Engineer_Computer
Producing a POC for CVE-2022-42475 (Fortinet RCE)
https://blog.scrt.ch/2023/03/14/producing-a-poc-for-cve-2022-42475-fortinet-rce/
@Engineer_Computer
https://blog.scrt.ch/2023/03/14/producing-a-poc-for-cve-2022-42475-fortinet-rce/
@Engineer_Computer
👍1