❌Federated Learning: Attacks, Defenses, Opportunities, and Challenges

Using dispersed data and training, federated learning (FL) moves AI capabilities to edge devices or does tasks locally. Many consider FL the start of a new era in AI, yet it is still security, and pri and privacy concerns must be discovered, analyzed, and recorded before widespread usage and adoption. A solid comprehension of risk variables allows an FL practitioner to construct a secure environment and provide researchers with a clear perspective of potential study fields, making FL the best solution in situations where security and privacy are primary issues. This research aims features to help bridge the gap between current federated AI and broad adoption in the future. In this paper, we present a comprehensive existing challenges and defense measures to evaluate its robustness and reliability. According to our study, security concerns regarding FL are more frequent than privacy issues. Communication bottlenecks, poisoning, and backdoor attacks final part, we detail future research that will assist FL in adapting to real-world settings.

❌Link

🔉@infosectube
📌youtube channel

🔻🔻Red Teaming LLM Applications🔻🔻

What you’ll learn in this course:

Learn how to test and find vulnerabilities in your LLM applications to make them safer. In this course, you’ll attack various chatbot applications using prompt injections to see how the system reacts and understand security failures. LLM failures can lead to legal liability, reputational damage, and costly service disruptions. This course helps you mitigate these risks proactively. Learn industry-proven red teaming techniques to proactively test, attack, and improve the robustness of your LLM applications.

Link

🔉@infosectube
📌youtube channel

🟣سری آموزش های دوره owasp master class🟣

🔻Owasp Master Class- HTTP -Part1
🔻Owasp Master Class- HTTP -Part2
🔻Owasp Master Class- HTTP -Part3
🔻Owasp Master Class- HTTP -Part4
🔻Owasp Master Class- HTTP -Part5
🔻Owasp Master Class- HTTP -Part6

مدرس: میثم منصف

🔉@infosectube
📌youtube channel

🟣سری آموزش های دوره owasp master class🟣

🔻Owasp Master Class- Bypass Uploader
🔻Owasp Master Class- SQL INJECTION
🔻Owasp Master Class- XXE
🔻Owasp Master Class- Broken Authentication
🔻Owasp Master Class- Web Service
🔻Owasp Master Class- Web Headers
مدرس: میثم منصف

🔉@infosectube
📌youtube channel

#تعرفه خدمات فنی تخصصی انفورماتیک سال ۱۴۰۳
سازمان نظام صنفی رایانه‌ای کشور
نسخه ۱.۰۲ (اردیبهشت ماه ۱۴۰۳)
🔉@infosectube
📌youtube channel

https://t.iss.one/hamster_kombat_boT/start?startapp=kentId432906482
Play with me, become cryptoexchange CEO and get a token airdrop!
💸 2k Coins as a first-time gift
🔥 25k Coins if you have Telegram Premium

🟣سری آموزش های دوره owasp master class🟣

🔻Owasp Master Class- BurpSuite and Command Injection

🔻Owasp Master Class- Command Injection 2
🔻Owasp Master Class- Same Origin Policy (SOP)
🔻Owasp Master Class- XSS
🔻Owasp Master Class- CORS Misconfigurations
🔻Owasp Master Class- Solve Challanges
مدرس: میثم منصف

🔉@infosectube
📌youtube channel

🔻Shellcode Injection🔻

Shellcode injection (also known as Portable Executable (PE) injection) is a popular means of process injection that involves writing malicious code into another process’s virtual address space and executing it within it.
Steps involved with shellcode injection include:
1)Opening a handle to the victim process.
2)Allocating memory within the target process.
3)Writing shellcode into allocated memory space
4)initiating its execution via new threads.

=========================================
#cybersecurity #infosectube #hacking #shellcode
=========================================
🔉@infosectube
📌youtube channel

🔻Reflective DLL Injection🔻

Shellcode injection (also known as Portable Executable (PE) injection) is a popular means of process injection that involves writing malicious code into another process’s virtual address space and executing it within it.

More



=========================================
#cybersecurity #infosectube #hacking #Reflective_DLL_Injection

=========================================
🔉@infosectube
📌youtube channel

gargoyle is a technique for hiding all of a program’s executable code in non-executable memory. At some programmer-defined interval, gargoyle will wake up–and with some ROP trickery–mark itself executable and do some work.


=========================================
#cybersecurity #infosectube #hacking #gargoyle

=========================================
🔉@infosectube
📌youtube channel

🔴 ثبت نام برای Google CTF 2024 باز شده:

امکان ثبت نام و تیم سازی برای CTF گوگل باز شده که اگه علاقمند بودید میتونید ثبت نام کنید.

مسابقات امسال 21 تا 23 ژوئن/1 تا 3 تیر برگزار میشه.

موضوع چالشها مهندسی معکوس، وب ، pwn ، رمزنگاری ، فارنزیک و ... هستش. چالش های مهندسی معکوس و PWN سالهای قبل رو که بررسی میکردم بیشتر روی لینوکس، مرورگرها و فایلهای پایتونی بود. ویندوزی خیلی ندارن.

برای ثبت نام میتونید از این لینک استفاده کنید. برای مشاهده چالش های سالهای قبل بهمراه پاسخها هم میتونید از این لینک استفاده کنید.


جوایز :
نفر اول: 12345 دلار
نفر دوم: 5432.1 دلار
نفر سوم: 3210 دلار

=========================================
#cybersecurity #infosectube #hacking #CTF #GOOGLE

=========================================
🔉@infosectube
📌youtube channel

How to install WSL LINUX/UBUNTU on windows 10/11 (Windows Subsystem for Linux)

🔻Open PowerShell or Windows Command Prompt (cmd) in administrator mode by right-clicking and selecting “Run as administrator”

wsl --install -d Ubuntu-24.04

🔻Restart your system


==========================
#cybersecurity #infosectube #hacking #WSL

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🔒 نکات مهم در امنیت وب: Headers

چند هدر مهم در امنیت وب:

1. X-Frame-Options:
این هدر به وب‌سایت‌ها اجازه می‌دهد تا مشخص کنند که آیا مرورگرها مجاز به اجازه نمایش وب‌سایت در یک فریم (Frame) هستند یا خیر. می‌توانید با استفاده از این هدر از حملات clickjacking جلوگیری کنید.

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

2. Content-Security-Policy (CSP):
با فعال‌سازی CSP، وب‌سایت می‌تواند مشخص کند که تنها از منابع معتبر (مانند خود وب‌سایت، CDN مورد اعتماد، و ...) می‌تواند اطلاعات را بارگذاری کند، و از اجرای کدهای ناامن مانند inline JavaScript یا eval() جلوگیری کند. این کار می‌تواند به شدت از حملات XSS و سرقت اطلاعات کاربران جلوگیری کند.

Content-Security-Policy: default-src 'self'

3. Strict-Transport-Security (HSTS):
این هدر به مرورگر اعلام می‌کند که فقط از ارتباطات HTTPS با سرور مورد نظر استفاده کند. این می‌تواند از حملات MITM (Man-in-the-Middle) جلوگیری کند.

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains; preload

4.Referrer-Policy:
این هدر به وب‌سایت‌ها امکان می‌دهد که کنترل کنند که آیا مرورگر باید referrer را به صفحات دیگر ارسال کند یا خیر، و در صورت ارسال، چه قسمت‌هایی از URL باید ارسال شود.Referrer یک عنوان است که مشخص می‌کند از کدام صفحه وب یا منبع منتقل شده است.با استفاده از این هدر، وب‌سایت‌ها می‌توانند از افشای اطلاعات حساسی مانند URL صفحاتی که کاربر درخواست می‌دهد، جلوگیری کنند و حریم خصوصی کاربران را حفظ کنند.

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

==========================
#cybersecurity #infosectube #hacking #header

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🔰Freedium: Your paywall breakthrough for Medium!

❌How to Bypass:

The author made this story available to Medium members only. Upgrade to instantly unlock this story plus other member-only benefits.



🕸https://freedium.cfd/


==========================
#cybersecurity #infosectube #hacking #writeup #medium #free

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🟣سری آموزش های دوره owasp master class🟣

🔻Owasp Master Class- SQLI
🔻Owasp Master Class- XML INJECTION
🔻Owasp Master Class- Broken Authentication
🔻Owasp Master Class- API Testing
🔻Owasp Master Class - Query Parameterization
🔻Owasp Master Class - Os Command Injection Bypass
مدرس: میثم منصف

==========================
#cybersecurity #infosectube #hacking #owasp

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🔰Using a URL list for security testing can be painful as there are a lot of URLs that have uninteresting/duplicate content; uro aims to solve that.

Installation
The recommended way to install uro is through pip as follows:

pip3 install uro

Basic Usage
The quickest way to include uro in your workflow is to feed it data through stdin and print it to your terminal.

cat urls.txt | uro

==========================
#cybersecurity #infosectube #hacking #URL

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

💮Serialize و Deserialize

داده هایی از نوع object را نمیتوان در شبکه ارسال کرد مگر تبدیل به باینری یا رشته شوند ولی چگونه؟

🔖Serialize:
فرآیندی است که طی آن داده‌های یک شیء (Object) به قالبی تبدیل می‌شوند که قابل ذخیره‌سازی و انتقال (مثلاً در فایل‌ها یا شبکه) باشند. به عبارت دیگر، Serialize یعنی تبدیل یک شیء به فرمت‌های متنی یا باینری. این فرآیند به ما امکان می‌دهد که اشیاء پیچیده را در سیستم‌های مختلف منتقل کنیم.

🏷Deserialize:
فرآیندی است که طی آن داده‌های سریالایز شده به شیء اصلی خود تبدیل می‌شوند. این فرآیند برعکس Serialize است و به ما کمک می‌کند داده‌ها را از قالب ذخیره‌سازی شده به حالت اولیه بازگردانیم.

🎯اهمیت Serialize و Deserialize در امنیت

از آنجایی که Serialize و Deserialize کردن داده‌ها در بسیاری از سیستم‌های نرم‌افزاری انجام می‌شود، این فرآیندها می‌توانند مورد سوءاستفاده قرار گیرند و به نقاط ضعف امنیتی تبدیل شوند. مهمترین نقاط ضعف در این زمینه عبارتند از:

یک) Insecure Deserialization: اگر داده‌های Deserialize شده به درستی اعتبارسنجی نشوند، مهاجم می‌تواند داده‌های مخرب را تزریق کرده و کدهای دلخواه خود را اجرا کند.
دو) افشای داده‌های حساس: Serialize کردن داده‌های حساس بدون رمزنگاری مناسب می‌تواند منجر به افشای اطلاعات حساس شود.
سه) حملات بازپخش (Replay Attacks): مهاجم می‌تواند داده‌های سریالایز شده را کپی و مجدداً ارسال کند تا عملکرد ناخواسته‌ای در سیستم ایجاد کند.

==========================
#cybersecurity #infosectube #hacking #Serialize #Deserialize

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

مثال‌هایی از حملات Serialize و Deserialize

import pickle

# شیء اصلی
data = {'username': 'admin', 'password': 'password123'}

# سریالایز کردن
serialized_data = pickle.dumps(data)

# دی‌سریالایز کردن
deserialized_data = pickle.loads(serialized_data)

print(deserialized_data)

♨️در این مثال، ما از کتابخانه pickle در پایتون برای Serialize و Deserialize کردن یک دیکشنری ساده استفاده کردیم. اگر مهاجم بتواند محتوای سریالایز شده را تغییر دهد، می‌تواند کد مخربی را اجرا کند.

-اصولا بعداز serialize کردن داده از base64 استفاده میشود تا داده ها در مسیر گم نشوند.
-برای درک آسیب‌پذیری Insecure Deserialization آشنایی این دو موضوع لازم است.


==========================
#cybersecurity #infosectube #hacking #Serialize #Deserialize

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🕸Reverse Shell
شل معکوس نوعی شل هست که اتصال رو به صورت معکوس برقرار میکنه. به این معنی که به جای اینکه شما به سرور متصل بشید، سرور هدف به سیستم عامل شما متصل میشه تا کنترل کاملی بر سیستم هدف داشته باشید.

نحوه عملکرد شل معکوس:

ایجاد شنودگر: مهاجم یک شنودگر (listener) در سیستم خود راه اندازی می کند. این شنودگر منتظر اتصال از طرف سرور هدف می ماند.
اجرای کد مخرب: مهاجم یک کد مخرب را در سیستم هدف اجرا می کند. این کد می تواند به صورت یک فایل پیوست، یک اسکریپت یا یک بدافزار باشد.
برقراری اتصال: کد مخرب به شنودگر مهاجم متصل می شود و یک تونل (tunnel) ارتباطی ایجاد می کند.
دسترسی از راه دور: مهاجم از طریق تونل ایجاد شده می تواند دستورات را در سیستم هدف اجرا کند و به طور کامل آن را کنترل کند.

معرفی سایت ساخت شل معکوس:
Reverse Shell Generator

🔰https://www.revshells.com/

==========================
#cybersecurity #infosectube #hacking #Reverse_shell

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🎭 Verb Tampering
به معنای تغییر نوع درخواست‌های HTTP (مانند GET، POST، PUT، DELETE) است تا با تغییر متد درخواست، به منابع غیرمجاز دسترسی پیدا کنید یا محدودیت‌های امنیتی را دور بزنید. این تکنیک یکی از روش‌های محبوب هکرها برای سوءاستفاده از ضعف‌های امنیتی در برنامه‌های وب است.

📚 مثال عملی
فرض کنید یک فرم ورود در یک وب‌سایت فقط از متد POST برای ارسال داده‌ها استفاده می‌کند. اگر بتوانید نوع درخواست را به GET تغییر دهید، ممکن است به اطلاعات حساس دسترسی پیدا کنید یا رفتار غیرمنتظره‌ای از سرور مشاهده کنید.

🛠 چگونه Verb Tampering را تست کنیم؟
1. بررسی متدهای مجاز: با استفاده از ابزارهای پنتست مانند Burp Suite، انواع متدهای HTTP را تست کنید و ببینید سرور چگونه به اونها پاسخ میده و آیا می‌توانید به اطلاعات غیرمجاز دسترسی پیدا کنید.
۲. تحلیل پاسخ‌ها: پاسخ‌های سرور را تحلیل کنید تا متوجه شوید که آیا اطلاعات حساس لو رفته یا محدودیت‌های امنیتی دور زده شده است.


#verb_tampering

🔉@infosectube
📌youtube channel
🎁Boost Us

🤖پروتکلی کهنه ولی کاربردی

Telnet:
یه پروتکل شبکه مبتنی بر متن هست که به شما اجازه میده از راه دور به یه کامپیوتر دیگه وصل بشید و دستورات رو اجرا کنید.https://www.cloudns.net/blog/wp-content/uploads/2023/12/Telnet.png

☕️کاربردهای Telnet:

مدیریت از راه دور: Telnet یه ابزار قدرتمند برای مدیریت از راه دور سرورها، روترها و سایر تجهیزات شبکه هست.
عیب یابی: با Telnet میتونید مشکلات شبکه رو عیب یابی کنید و علت خطاها رو پیدا کنید.
آزمایش پورت ها: Telnet یه روش ساده برای اسکن پورت های یه کامپیوتر و بررسی باز یا بسته بودن اونهاست.
آموزش: Telnet میتونه یه ابزار آموزشی مفید برای یادگیری مفاهیم پایه ای شبکه و دستورات لینوکس باشه.

🕳چالش‌های امنیتی Telnet:

و‌‎Telnet یه پروتکل ناامن هست که اطلاعات رو به صورت واضح (Plain Text) ارسال میکنه.

این موضوع Telnet رو به یه طعمه لذیذ برای هکرها تبدیل کرده و استفاده از اون در دنیای امروز که خطرات سایبری به طور چشمگیری افزایش پیدا کردن، به شدت غیرقابل توصیه هست.

🪃مشکلات امنیتی Telnet:

عدم رمزنگاری: اطلاعات ارسالی و دریافتی در Telnet به صورت رمزنگاری نشده هستن و به راحتی قابل رهگیری و شنود توسط هکرها هستن.
حمله Man-in-the-Middle: هکرها میتونن بین شما و کامپیوتر مقصد قرار بگیرن و به تمام اطلاعات ارسالی و دریافتی دسترسی پیدا کنن.
جعل هویت: هکرها میتونن با جعل هویت شما، به کامپیوتر مقصد متصل بشن و دستورات مخرب اجرا کنن.

جایگزین‌های امن‌تر Telnet:

با توجه به مشکلات امنیتی Telnet، استفاده از جایگزین‌های امن‌تر به شدت توصیه میشه.

جایگزینی برای داشتن ارتباط امن:
SSH:
یه پروتکل امن برای اتصال از راه دور هست که از رمزنگاری قوی برای محافظت از اطلاعات استفاده میکنه.
=========================
#ssh #telnet
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us