InfoSecTube

🔴 ثبت نام برای Google CTF 2024 باز شده:

امکان ثبت نام و تیم سازی برای CTF گوگل باز شده که اگه علاقمند بودید میتونید ثبت نام کنید.

مسابقات امسال 21 تا 23 ژوئن/1 تا 3 تیر برگزار میشه.

موضوع چالشها مهندسی معکوس، وب ، pwn ، رمزنگاری ، فارنزیک و ... هستش. چالش های مهندسی معکوس و PWN سالهای قبل رو که بررسی میکردم بیشتر روی لینوکس، مرورگرها و فایلهای پایتونی بود. ویندوزی خیلی ندارن.

برای ثبت نام میتونید از این لینک استفاده کنید. برای مشاهده چالش های سالهای قبل بهمراه پاسخها هم میتونید از این لینک استفاده کنید.

جوایز :

نفر اول: 12345 دلار
نفر دوم: 5432.1 دلار
نفر سوم: 3210 دلار

=========================================
#cybersecurity #infosectube #hacking #CTF #GOOGLE

=========================================
🔉@infosectube
📌youtube channel

GitHub

GitHub - google/google-ctf: Google CTF

Google CTF. Contribute to google/google-ctf development by creating an account on GitHub.

👍1

921 views10:32

InfoSecTube

How to install WSL LINUX/UBUNTU on windows 10/11 (Windows Subsystem for Linux)

🔻Open PowerShell or Windows Command Prompt (cmd) in administrator mode by right-clicking and selecting “Run as administrator”

wsl --install -d Ubuntu-24.04

🔻Restart your system

==========================
#cybersecurity #infosectube #hacking #WSL

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🔥1

562 viewsedited 20:49

InfoSecTube

🔒 نکات مهم در امنیت وب: Headers

چند هدر مهم در امنیت وب:

1. X-Frame-Options:
این هدر به وب‌سایت‌ها اجازه می‌دهد تا مشخص کنند که آیا مرورگرها مجاز به اجازه نمایش وب‌سایت در یک فریم (Frame) هستند یا خیر. می‌توانید با استفاده از این هدر از حملات clickjacking جلوگیری کنید.

X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN

2. Content-Security-Policy (CSP):
با فعال‌سازی CSP، وب‌سایت می‌تواند مشخص کند که تنها از منابع معتبر (مانند خود وب‌سایت، CDN مورد اعتماد، و ...) می‌تواند اطلاعات را بارگذاری کند، و از اجرای کدهای ناامن مانند inline JavaScript یا eval() جلوگیری کند. این کار می‌تواند به شدت از حملات XSS و سرقت اطلاعات کاربران جلوگیری کند.

Content-Security-Policy: default-src 'self'

3. Strict-Transport-Security (HSTS):
این هدر به مرورگر اعلام می‌کند که فقط از ارتباطات HTTPS با سرور مورد نظر استفاده کند. این می‌تواند از حملات MITM (Man-in-the-Middle) جلوگیری کند.

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains; preload

4.Referrer-Policy:
این هدر به وب‌سایت‌ها امکان می‌دهد که کنترل کنند که آیا مرورگر باید referrer را به صفحات دیگر ارسال کند یا خیر، و در صورت ارسال، چه قسمت‌هایی از URL باید ارسال شود.Referrer یک عنوان است که مشخص می‌کند از کدام صفحه وب یا منبع منتقل شده است.با استفاده از این هدر، وب‌سایت‌ها می‌توانند از افشای اطلاعات حساسی مانند URL صفحاتی که کاربر درخواست می‌دهد، جلوگیری کنند و حریم خصوصی کاربران را حفظ کنند.

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

==========================
#cybersecurity #infosectube #hacking #header

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

YouTube

InfoSecTube

Unlock the Power of Ethical Hacking: Learn by Hacking

🔒 Looking to master the art of ethical hacking? Welcome to a channel designed to quench your thirst for diving deep into pen-testing without the inevitable headache. With casually explained walk-throughs…

❤6👍1

605 views23:45

InfoSecTube

🔰Freedium: Your paywall breakthrough for Medium!

❌How to Bypass:

The author made this story available to Medium members only. Upgrade to instantly unlock this story plus other member-only benefits.

🕸https://freedium.cfd/

==========================
#cybersecurity #infosectube #hacking #writeup #medium #free

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🔥1

575 viewsedited 20:01

InfoSecTube

🟣سری آموزش های دوره owasp master class🟣 🔻Owasp Master Class- BurpSuite and Command Injection 🔻Owasp Master Class- Command Injection 2 🔻Owasp Master Class- Same Origin Policy (SOP) 🔻Owasp Master Class- XSS 🔻Owasp Master Class- CORS Misconfigurations 🔻Owasp…

🟣سری آموزش های دوره owasp master class🟣

🔻Owasp Master Class- SQLI
🔻Owasp Master Class- XML INJECTION
🔻Owasp Master Class- Broken Authentication
🔻Owasp Master Class- API Testing
🔻Owasp Master Class - Query Parameterization
🔻Owasp Master Class - Os Command Injection Bypass
مدرس: میثم منصف

==========================
#cybersecurity #infosectube #hacking #owasp

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

YouTube

Owasp Master Class- SQLI

●▬▬▬۩❁ InfoSecTube ❁۩ ▬▬▬▬●
🔒 جامعه امنیتی دیجیتال، آموزش و آگاهی 🔒

به InfoSecTube خوش آمدید! اینجا جایی است که علاقه‌مندان به امنیت دیجیتال با هم ارتباط برقرار می‌کنند و از جدیدترین مطالب و آموزش‌های مرتبط با حوزه امنیت سایبری بهره می‌برند.

🌐 درباره InfoSecTube:…

🔥1

590 views01:39

InfoSecTube

🔰Using a URL list for security testing can be painful as there are a lot of URLs that have uninteresting/duplicate content; uro aims to solve that.

Installation
The recommended way to install uro is through pip as follows:


pip3 install uro

Basic Usage
The quickest way to include uro in your workflow is to feed it data through stdin and print it to your terminal.

cat urls.txt | uro

==========================
#cybersecurity #infosectube #hacking #URL

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

👍3

597 viewsedited 19:23

InfoSecTube

💮Serialize و Deserialize

داده هایی از نوع object را نمیتوان در شبکه ارسال کرد مگر تبدیل به باینری یا رشته شوند ولی چگونه؟

🔖Serialize:
فرآیندی است که طی آن داده‌های یک شیء (Object) به قالبی تبدیل می‌شوند که قابل ذخیره‌سازی و انتقال (مثلاً در فایل‌ها یا شبکه) باشند. به عبارت دیگر، Serialize یعنی تبدیل یک شیء به فرمت‌های متنی یا باینری. این فرآیند به ما امکان می‌دهد که اشیاء پیچیده را در سیستم‌های مختلف منتقل کنیم.

🏷Deserialize:
فرآیندی است که طی آن داده‌های سریالایز شده به شیء اصلی خود تبدیل می‌شوند. این فرآیند برعکس Serialize است و به ما کمک می‌کند داده‌ها را از قالب ذخیره‌سازی شده به حالت اولیه بازگردانیم.

🎯اهمیت Serialize و Deserialize در امنیت

از آنجایی که Serialize و Deserialize کردن داده‌ها در بسیاری از سیستم‌های نرم‌افزاری انجام می‌شود، این فرآیندها می‌توانند مورد سوءاستفاده قرار گیرند و به نقاط ضعف امنیتی تبدیل شوند. مهمترین نقاط ضعف در این زمینه عبارتند از:

یک) Insecure Deserialization: اگر داده‌های Deserialize شده به درستی اعتبارسنجی نشوند، مهاجم می‌تواند داده‌های مخرب را تزریق کرده و کدهای دلخواه خود را اجرا کند.
دو) افشای داده‌های حساس: Serialize کردن داده‌های حساس بدون رمزنگاری مناسب می‌تواند منجر به افشای اطلاعات حساس شود.
سه) حملات بازپخش (Replay Attacks): مهاجم می‌تواند داده‌های سریالایز شده را کپی و مجدداً ارسال کند تا عملکرد ناخواسته‌ای در سیستم ایجاد کند.

==========================
#cybersecurity #infosectube #hacking #Serialize #Deserialize

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

YouTube

InfoSecTube

👍4

585 views20:19

InfoSecTube

💮Serialize و Deserialize داده هایی از نوع object را نمیتوان در شبکه ارسال کرد مگر تبدیل به باینری یا رشته شوند ولی چگونه؟ 🔖Serialize: فرآیندی است که طی آن داده‌های یک شیء (Object) به قالبی تبدیل می‌شوند که قابل ذخیره‌سازی و انتقال (مثلاً در فایل‌ها یا…

مثال‌هایی از حملات Serialize و Deserialize

import pickle

# شیء اصلی
data = {'username': 'admin', 'password': 'password123'}

# سریالایز کردن
serialized_data = pickle.dumps(data)

# دی‌سریالایز کردن
deserialized_data = pickle.loads(serialized_data)

print(deserialized_data)

♨️در این مثال، ما از کتابخانه pickle در پایتون برای Serialize و Deserialize کردن یک دیکشنری ساده استفاده کردیم. اگر مهاجم بتواند محتوای سریالایز شده را تغییر دهد، می‌تواند کد مخربی را اجرا کند.

-اصولا بعداز serialize کردن داده از base64 استفاده میشود تا داده ها در مسیر گم نشوند.
-برای درک آسیب‌پذیری Insecure Deserialization آشنایی این دو موضوع لازم است.

==========================
#cybersecurity #infosectube #hacking #Serialize #Deserialize

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

🏆3

670 views20:21

InfoSecTube

🕸Reverse Shell
شل معکوس نوعی شل هست که اتصال رو به صورت معکوس برقرار میکنه. به این معنی که به جای اینکه شما به سرور متصل بشید، سرور هدف به سیستم عامل شما متصل میشه تا کنترل کاملی بر سیستم هدف داشته باشید.

نحوه عملکرد شل معکوس:

ایجاد شنودگر: مهاجم یک شنودگر (listener) در سیستم خود راه اندازی می کند. این شنودگر منتظر اتصال از طرف سرور هدف می ماند.
اجرای کد مخرب: مهاجم یک کد مخرب را در سیستم هدف اجرا می کند. این کد می تواند به صورت یک فایل پیوست، یک اسکریپت یا یک بدافزار باشد.
برقراری اتصال: کد مخرب به شنودگر مهاجم متصل می شود و یک تونل (tunnel) ارتباطی ایجاد می کند.
دسترسی از راه دور: مهاجم از طریق تونل ایجاد شده می تواند دستورات را در سیستم هدف اجرا کند و به طور کامل آن را کنترل کند.

معرفی سایت ساخت شل معکوس:
Reverse Shell Generator

🔰https://www.revshells.com/

==========================
#cybersecurity #infosectube #hacking #Reverse_shell

===========================
🔉@infosectube
📌youtube channel
🎁Boost Us

👍1

645 views16:05

InfoSecTube

🎭 Verb Tampering
به معنای تغییر نوع درخواست‌های HTTP (مانند GET، POST، PUT، DELETE) است تا با تغییر متد درخواست، به منابع غیرمجاز دسترسی پیدا کنید یا محدودیت‌های امنیتی را دور بزنید. این تکنیک یکی از روش‌های محبوب هکرها برای سوءاستفاده از ضعف‌های امنیتی در برنامه‌های وب است.

📚 مثال عملی
فرض کنید یک فرم ورود در یک وب‌سایت فقط از متد POST برای ارسال داده‌ها استفاده می‌کند. اگر بتوانید نوع درخواست را به GET تغییر دهید، ممکن است به اطلاعات حساس دسترسی پیدا کنید یا رفتار غیرمنتظره‌ای از سرور مشاهده کنید.

🛠 چگونه Verb Tampering را تست کنیم؟
1. بررسی متدهای مجاز: با استفاده از ابزارهای پنتست مانند Burp Suite، انواع متدهای HTTP را تست کنید و ببینید سرور چگونه به اونها پاسخ میده و آیا می‌توانید به اطلاعات غیرمجاز دسترسی پیدا کنید.
۲. تحلیل پاسخ‌ها: پاسخ‌های سرور را تحلیل کنید تا متوجه شوید که آیا اطلاعات حساس لو رفته یا محدودیت‌های امنیتی دور زده شده است.

#verb_tampering

🔉@infosectube
📌youtube channel
🎁Boost Us

👍2

648 views21:30

InfoSecTube

🤖پروتکلی کهنه ولی کاربردی

Telnet:
یه پروتکل شبکه مبتنی بر متن هست که به شما اجازه میده از راه دور به یه کامپیوتر دیگه وصل بشید و دستورات رو اجرا کنید.https://www.cloudns.net/blog/wp-content/uploads/2023/12/Telnet.png

☕️کاربردهای Telnet:

مدیریت از راه دور: Telnet یه ابزار قدرتمند برای مدیریت از راه دور سرورها، روترها و سایر تجهیزات شبکه هست.
عیب یابی: با Telnet میتونید مشکلات شبکه رو عیب یابی کنید و علت خطاها رو پیدا کنید.
آزمایش پورت ها: Telnet یه روش ساده برای اسکن پورت های یه کامپیوتر و بررسی باز یا بسته بودن اونهاست.
آموزش: Telnet میتونه یه ابزار آموزشی مفید برای یادگیری مفاهیم پایه ای شبکه و دستورات لینوکس باشه.

🕳چالش‌های امنیتی Telnet:

و‌‎Telnet یه پروتکل ناامن هست که اطلاعات رو به صورت واضح (Plain Text) ارسال میکنه.

این موضوع Telnet رو به یه طعمه لذیذ برای هکرها تبدیل کرده و استفاده از اون در دنیای امروز که خطرات سایبری به طور چشمگیری افزایش پیدا کردن، به شدت غیرقابل توصیه هست.

🪃مشکلات امنیتی Telnet:

عدم رمزنگاری: اطلاعات ارسالی و دریافتی در Telnet به صورت رمزنگاری نشده هستن و به راحتی قابل رهگیری و شنود توسط هکرها هستن.
حمله Man-in-the-Middle: هکرها میتونن بین شما و کامپیوتر مقصد قرار بگیرن و به تمام اطلاعات ارسالی و دریافتی دسترسی پیدا کنن.
جعل هویت: هکرها میتونن با جعل هویت شما، به کامپیوتر مقصد متصل بشن و دستورات مخرب اجرا کنن.

جایگزین‌های امن‌تر Telnet:

با توجه به مشکلات امنیتی Telnet، استفاده از جایگزین‌های امن‌تر به شدت توصیه میشه.

جایگزینی برای داشتن ارتباط امن:
SSH:
یه پروتکل امن برای اتصال از راه دور هست که از رمزنگاری قوی برای محافظت از اطلاعات استفاده میکنه.
=========================
#ssh #telnet
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

👍1

589 views21:17

InfoSecTube

🔻Building and Reversing a Simple Rust Binary: A Step-by-Step Guide

=========================
#rust #reverse_eng
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

Medium

Building and Reversing a Simple Rust Binary: A Step-by-Step Guide

In this tutorial, we will walk through the process of setting up the Rust toolchain, creating a simple Rust program, and exploring how to…

553 viewsedited 22:35

InfoSecTube

🔻 Understanding Threat Hunting and Its Integration with the MITRE ATT&CK Framework

=========================
#redteam #mitre #threat #hunting
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

Medium

Understanding Threat Hunting and Its Integration with the MITRE ATT&CK Framework

In an ever-evolving cyber threat landscape, organizations must proactively detect and mitigate threats. Threat hunting plays a crucial role…

561 viewsedited 23:43

InfoSecTube

🔰Q1:
Explain the role of DHCP, DNS, TCP/IP, and OSI in Windows networking.

Answer: DHCP is responsible for IP address allocation, DNS for name resolution, TCP/IP for communication, and OSI serves as a conceptual model.

=========================
#Interview #RedTeam #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

616 views15:48

InfoSecTube

🔰Q2:
What are some common methods used for gaining initial access to a target network?

Answer:Common methods include:
Phishing attacks
Exploiting software vulnerabilities (e.g., remote code execution)
Brute-force attacks on authentication mechanisms
Social engineering tactics

=========================
#Interview #RedTeam #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

776 views01:11

InfoSecTube

🎁Guide to OWASP Smart Contract Top 10 Vulnerabilities

=========================
#owasp #smartcontract #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

Medium

Guide to OWASP Smart Contract Top 10 Vulnerabilities

Owasp top 10 for smart contract easy understanding approach

👍1

794 views17:07

InfoSecTube

🎁The Great Rate Limit Escape: An X-Forwarded-For Exploit Story

Note:
If you enjoyed this story, please subscribe to my Medium and YouTube channel.
Don’t forget to like and leave comments to motivate me to keep creating more content!

=========================
#owasp #webhacking #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

Medium

The Great Rate Limit Escape: An X-Forwarded-For Exploit Story

In the world of web security, sometimes the smallest details can lead to the biggest vulnerabilities. This is a story about how a simple…

❤1

689 views20:29

InfoSecTube

Recovery Point Objective (RPO)

"هدف نقطه بازیابی" یا Recovery Point Objective (RPO) به زمانی اشاره دارد که داده‌های یک سیستم می‌توانند به طور مطلوب و تا چه میزان، پس از یک حادثه یا فاجعه، بازیابی شوند. RPO یکی دیگر از معیارهای مهم در بحران‌های فناوری اطلاعات و مدیریت ریسک است.

ساختارهای مختلفی برای تعیین RPO وجود دارد که عبارتند از:

1. نیازهای تجاری: این رویکرد بر اساس نیازهای و توقعات تجاری سازمان تعیین می‌شود. برای مثال، یک سازمان ممکن است به دنبال بازیابی داده‌ها به حالتی باشد که اخرین تغییرات داده‌ها تا زمان مشخصی (مثلاً ۳ ساعت قبل از حادثه) حفظ شده باشند.

2. فناوری موجود: RPO ممکن است بر اساس تکنولوژی‌ها و راهکارهای موجود برای پشتیبان‌گیری از داده تعیین شود. مثال: استفاده از فناوری‌های پشتیبان‌گیری مانند نسخه‌برداری مستقیم (continuous data protection) می‌تواند باعث شود که RPO به حداقل برسد.

3. ارزیابی ریسک: تعیین RPO ممکن است بر اساس ارزیابی ریسک و اهمیت داده‌ها صورت گیرد. برای مثال، برای داده‌هایی که از نظر اقتصادی یا عملیاتی بسیار حائز اهمیت هستند، RPO ممکن است بسیار کمتر از داده‌های کم اهمیت‌تر باشد.

در نتیجه، تعیین RPO براساس نیازهای تجاری، فناوری‌های موجود و ارزیابی ریسک، به سازمان‌ها کمک می‌کند تا استراتژی مناسب برای پشتیبان‌گیری از داده‌ها را تعیین کرده و به این ترتیب، در صورت وقوع حادثه، بتوانند داده‌های مهم خود را به حداقل از دست دادند.

=========================
#Recovery_Point_Objective #RPO #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

InfoSecTube

از این کانال حمایت کنید تا بتواند به قابلیت‌های اضافی دسترسی پیدا کند.

❤2

625 viewsedited 05:24

InfoSecTube

Israel Ministry of Justice.torrent

578.3 KB

NEW: Israel Ministry of Justice (245 GB)

https://ddosecrets.com/article/israel-ministry-of-justice

Download: https://data.ddosecrets.com/Israel%20Ministry%20of%20Justice/

magnet:?xt=urn:btih:A94997457756E6847E19E055122AE303A5026200

=========================
#Database #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

👍1

718 viewsedited 17:05

InfoSecTube

🔰My Last blog post:

🧊Unleashing the Power of eBPF: A Comprehensive Guide to Linux Kernel Observability and Security

🥃The Great Rate Limit Escape: An X-Forwarded-For Exploit Story

🎯Building and Reversing a Simple Rust Binary: A Step-by-Step Guide

⚓️Understanding Threat Hunting and Its Integration with the MITRE ATT&CK Framework

📯OWASP Top 10 for Large Language Models (LLMs) with Examples

🔔Android Packers 101: Unveiling the Mechanics of Loading and Running Code at Runtime

🔶Guide to OWASP Smart Contract Top 10 Vulnerabilities

=========================
#Medium #infosectube #undercover
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

Medium

Unleashing the Power of eBPF: A Comprehensive Guide to Linux Kernel Observability and Security

Introduction

❤1👍1

666 viewsedited 01:33

InfoSecTube

What is HTTP/1.1?
The first usable version of HTTP was created in 1997. Because it went through several stages of development, this first version of HTTP was called HTTP/1.1. This version is still in use on the web.

What is HTTP/2?
In 2015, a new version of HTTP called HTTP/2 was created. HTTP/2 solves several problems that the creators of HTTP/1.1 did not anticipate. In particular, HTTP/2 is much faster and more efficient than HTTP/1.1. One of the ways in which HTTP/2 is faster is in how it prioritizes content during the loading process.

What is HTTP/3?
HTTP/3 is the next proposed version of the HTTP protocol. HTTP/3 does not have wide adoption on the web yet, but it is growing in usage. The key difference between HTTP/3 and previous versions of the protocol is that HTTP/3 runs over QUIC instead of TCP. QUIC is a faster and more secure transport layer protocol that is designed for the needs of the modern Internet.

#http #infosectube
=========================
🔉@infosectube
📌youtube channel
🎁Boost Us

595 viewsedited 23:08

About

Blog

Apps

Platform