✔️ آسیب‌پذیری SQL Injection یکی از رایج‌ترین و خطرناک‌ترین نقاط ضعف امنیتی در برنامه‌های تحت وب است. این آسیب پذیری زمانی رخ می‌دهد که ورودی‌های کاربر به‌درستی اعتبارسنجی یا فیلتر نشوند و مستقیماً در کوئری‌های SQL استفاده شوند.


✅ در این چالش سعی شده است که به آسیب‌پذیری NoSQL Injection پرداخته شده و دیتابیس MongoDB در آن مورد بررسی قرار داده شود.


✅ این جالش شامل دو مرحله اکسپلویت آسیب‌پذیری به منظور شناسایی فلگ اول و اتصال به دیتابیس جهت استخراج اطلاعات و شناسایی فلگ دوم است.


🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/no-sqli-njection

✔️ یکی واحدهای مهم که وجود آن در امنیت بسیار حائز اهمیت است، واحد پاسخگویی به حادثه یا Incident Response است.


✅ تیم Incident Response پس از بررسی های اولیه بر روی یک سیستم، به این نتیجه می رسد که احتمالا فردی به این سیستم دسترسی گرفته و سیستم آلوده شده است. همچنین برخی از شواهد نشان دهنده دسترسی نفوذگر به اطلاعات داخلی شبکه است. بدین منظور، تیم پاسخگویی به حادثه تصمیم می گیرد تا ترافیک ایجاد شده در یک بازه زمانی را بررسی نماید.


✅ هم اکنون فایل pcap ترافیک در اختیار شما قرار دارد و شما می بایست با بررسی این فایل به سوالات مطرح شده در چالش پاسخ دهید.


🔴 برای مشاهده ششمین بخش از این مجموعه چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/incident-response-6

✍🏻دوره Splunk Engineering
⏰مدت زمان: 36 ساعت
🧑🏻‍💻مدرس :‌ احمدرضا نوروزی

📚سرفصل ها :

Deploying Splunk
Splunk Installation
Secure Splunk Enterprise
Manage Users & Roles
Monitoring Splunk
Licensing Splunk
Configuration File & Directory Structure
Manage Indexes
Manage Cluster Master & Indexers
Create Indexes.Conf
Manage Deployment Server
Configuring Basic Forwarding
Configuring Search Head Cluster & Deployer
Configuring Heavy Forwarder Cluster
Splunk Multisite Structure

📝ثبت نام از طریق :

🆔@soorin_sec
☎️09102144597

تیم سورین

✔️ یک سازمان بزرگ متوجه شده است که یکی از سرورهای ویندوزی آن، علائم فعالیت مشکوک دارد.


✅ تیم امنیتی متوجه شده که برخی از حساب‌های کاربری دارای فعالیت غیرعادی هستند، اما هیچ نشانه‌ای از بدافزار یا ابزارهای شناخته‌شده نفوذ وجود ندارد.


✅ وظیفه‌ی شما این است که ردپای مهاجم را پیدا کنید، نحوه‌ی ورود او را کشف کنید، و اقدامات او را تحلیل کنید.


🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/windows-forensic/

✔️ یک شرکت امنیتی متوجه می‌شود که یکی از کارمندانش که دارای سطح دسترسی بالای هست، فایل‌های حساس را از سیستم خود پاک کرده است.


✅ تیم امنیتی باید مشخص کند که آیا فایل‌های حذف شده بازیابی‌پذیر هستند یا خیر، چه اطلاعاتی در متادیتا باقی مانده و آیا نشانه‌ای از مخفی‌سازی اطلاعات با استفاده از Alternate Data Streams (ADS) یا دیگر تکنیک‌ها وجود دارد.


✅ برای حل این چالش شما می بایست تمامی شواهد در MFT، ADS، Prefetch، Event Logs و تغییرات متادیتا را بررسی نمایید.


🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/for500

✔️ قسمت Authorization Testing یکی از بخش‌های کلیدی در OWASP Web Security Testing Guide یا WSTG است که به بررسی و ارزیابی مکانیزم‌های تعیین سطوح دسترسی و Authorization در برنامه‌های وب می‌پردازد.


✅ آسیب‌پذیری Bypassing Authorization Schema زمانی رخ می‌دهد که یک مهاجم بتواند با دور زدن مکانیزم‌های کنترل دسترسی، به منابع یا عملکردهایی که نباید در دسترس او باشند، دسترسی پیدا کند.


✅ در این چالش که در سه مرحله ایجاد شده است، در هر مرحله شما باید به پنل ادمین برنامه دسترسی پیدا نموده و فلگ را از آن استخراج نمایید.


🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/bypassing-authorization-schema

✔️ یکی از سوالاتی که همیشه در حوزه های مختلف امنیت سایبری به خصوص حوزه های Red Team و SOC مطرح بوده است، نحوه شروع به کار با فریمورک MITRE ATT&CK می باشد.


✅ فریمورک MITRE ATT&CK یک پایگاه دانش جهانی از تاکتیک‌ها و تکنیک‌های مهاجمان بر اساس مشاهدات واقعی است. این پایگاه دانش به عنوان بنیادی برای توسعه مدل‌ها و متدولوژی‌های تهدید در بخش خصوصی، دولت و جامعه محصولات و خدمات امنیت سایبری به کار می‌رود.


✅ در این چالش که به صورت پرسش و پاسخ طراحی شده است، سعی شده تا شما را در پاسخ به این سوال که چگونه استفاده از فریمورک MITRE ATT&CK را آغاز کنیم، راهنمایی کند.


🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/mitre-attack

این کتاب با هدف آشنایی شما با MITRE ATT&CK، کاربردهای آن در تحلیل تهدیدات، شناسایی نقاط ضعف، تقویت استراتژی‌های امنیتی و بهبود پاسخگویی به حملات نگارش شده است.


محتوای این کتاب توسط وب سایت MITRE تهیه شده و برگرفته از مقالات Katie Nickels، John Wunder، Blake Strom، Tim Schulz و Andy Applebaum می‌باشد و در آن به نحوه چگونگی شروع استفاده از فریمورک MITRE ATT&CK پرداخته شده است.

✔️ عبارت Veiled Attack به یک حمله سایبری پیچیده اشاره دارد که هدف آن مخفی نگه داشتن شواهد و فعالیت‌های مخرب از ابزارهای شناسایی و تحلیل است.

✅ در این سناریو، حمله‌کننده با استفاده از تکنیک‌های مختلف مانند تغییرات پنهانی در سیستم (مانند اضافه کردن رکورد به رجیستری، ساخت پوشه‌های مخفی، و ایجاد فرآیندهای جعلی)، سعی می‌کند تا حمله را از سیستم‌های امنیتی و تحلیلگران مخفی نگه دارد.


✅ هدف از این حمله پنهان‌سازی اطلاعات حساس و دشوار کردن شناسایی برای تحلیلگران و ابزارهای امنیتی است.


🔴 برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/veild-attack

🔸با سلام و عرض ادب خدمت کلیه دوستان و همراهان گرامی

✔️ اگر به دنیای امنیت سایبری علاقه دارید و می‌خواهید با مبانی و مفاهیم اولیه این حوزه آشنا شوید، چالش‌های پیش‌نیاز موجود در سایت ما گزینه مناسبی برای شروع هستند. در این آموزش‌ها به موضوعاتی مثل شبکه، لینوکس، سیسکو، اکیتو دایرکتوری و پروتکل HTTP پرداخته شده که می‌تواند پایه‌ای قوی برای پیشرفت‌های بعدی شما را فراهم کند.

🔴 برای دیدن جزئیات و شروع یادگیری، از لینک‌های زیر استفاده کنید.


🔰 آشنایی اولیه با شبکه

https://challenginno.ir/challenge/network-fundamental/

🔰 آشنایی با مقدمات لینوکس

https://challenginno.ir/challenge/linux-fundamental/

🔰 آشنایی با مفاهیم اکتیو دایرکتوری

https://challenginno.ir/challenge/active-directory-concepts/

🔰 آشنایی با مفاهیم اولیه سیسکو

https://challenginno.ir/challenge/cisco-concepts/

🔰 آشنایی با پروتکل HTTP - بخش اول

https://challenginno.ir/challenge/http-the-definitive-guide/

🔰 آشنایی با پروتکل HTTP - بخش دوم

https://challenginno.ir/challenge/http-the-definitive-guide-2/

🔸 برای علاقه‌مندان به تست نفوذ وب و امنیت اپلیکیشن‌های تحت وب، مجموعه‌ای از چالش‌های عملی بر پایه Web Security Testing Guide (WSTG) را طراحی کرده ایم. این چالش‌ها فرصتی را فراهم می‌کنند تا مفاهیم امنیتی را به‌صورت عملی تمرین کرده و مهارت‌های تست نفوذ خود را در سناریوهای واقعی تقویت کنید.


🔴 جهت مشاهده چالش‌ها مبتنی بر WSTG به لینک‎های زیر مراجعه کنید:


🔰 آشنایی آسیب پذیری XSS - بخش اول

https://challenginno.ir/challenge/game-with-xss-vulnerability/

🔰 بازی با WSTG- بخش Identity Management

https://challenginno.ir/challenge/wstg-identity-management/

🔰 بازی با SSRF - بخش اول

https://challenginno.ir/challenge/server-side-request-forgery/

🔰 لابراتوار آسیب پذیری CORS

https://challenginno.ir/challenge/cross-origin-resource-sharing/

🔰 لابراتوار آسیب پذیری File Inclusion

https://challenginno.ir/challenge/local-and-remote-file-inclusion/

🔰 لابراتوار آسیب پذیری Authentication

https://challenginno.ir/challenge/authentication-testing/

📢 اطلاعیه مهم 📢

🔸سلام و عرض ادب به همه کاربران گرامی! 👋🏼

🔰ما همیشه تلاش کرده‌ایم خدماتی باکیفیت و مناسبی را در سایت Challenginno به شما دوستان گرامی ارائه دهیم. تا امروز پلن رایگان سایت فعال بود، اما برای بهبود کیفیت خدمات و اضافه کردن امکانات جدید، از این پس سایت به‌صورت اشتراکی در دسترس خواهد بود.

✅ البته کماکان بیش از 50 چالش وب سایت به صورت رایگان در اختیار شما خواهد بود.

💡 خبر خوب! برای قدردانی از حمایت شما عزیزان، تا پایان ایام عید نوروز، کاربران فعلی می‌توانند با ۵۰٪ تخفیف اشتراک تهیه کنند! 🎉✨

🔹 جزئیات اشتراک و مزایای آن را می‌توانید در سایت مشاهده کنید.

🔹 این تخفیف ویژه فقط تا پایان تعطیلات نوروزی فعال است، پس فرصت را از دست ندهید!

🔴 از همراهی شما سپاسگزاریم و مشتاقیم که همچنان در کنار ما باشید. ❤️

🌐 https://challenginno.ir/subscription

✔️ شما با شرکتی معتبر که یکی از پیشروترین شرکت‌ها در زمینه توسعه نرم‌افزارهای اتوماسیون است، قرارداد تست نفوذ منعقد کرده‌اید.

✅ تیم مهندسی آن‌ها از یک سیستم CI/CD برای مدیریت Build ها و Deploy های خود استفاده می‌کند. اما با توجه به اسکن‌های انجام شده و همچنین بررسی نتایج آن‌ها، به نظر می‌رسد که یکی از سرورها به درستی پیکربندی نشده و دارای آسیب‌پذیری می‌باشد.


✅ آسیب‌پذیری با CVE در سال 2024 منتشر شده و فلگ نیز در درایو C در یک پوشه قرار دارد. البته دسترسی به آن کمی سخت است و برای خواندن آن باید از قابلیت‌های نرم افزار CI/CD موجود و همچنین دانش خود در زمینه تست نفوذ استفاده کنید.


🔴 این چالش رایگان بوده و شما می توانید برای مشاهده چالش به لینک زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/vulnerable-service-6-ci-cd

🔸 یکی از واحدهای مهم که وجود آن در امنیت بسیار حائز اهمیت است، واحد پاسخگویی به حادثه یا Incident Response است.

✅ در هنگام وقوع یک حادثه، تیم پاسخگویی به حادثه وارد عمل شده و فرآیندهایی را دنبال می کند که از پیش تعریف شده اند و در برخی موارد نیز باید ابتکار عمل خود را داشته باشد.

🔰 با توجه به اهمیت این فرآیند چندین چالش به شکل های مختلف در سایت قرار داده شده است.


🔴 جهت مشاهده چالش‌ها مربوط به Incident Response به لینک‎های زیر مراجعه کنید:


🌐 https://challenginno.ir/challenge/incident-response

🌐 https://challenginno.ir/challenge/incident-response-2/

🌐 https://challenginno.ir/challenge/incident-response-3/

🌐 https://challenginno.ir/challenge/incident-response-4/

🌐 https://challenginno.ir/challenge/incident-response-5/

سلام و عرض ادب خدمت کلیه دوستان گرامی

🔸 ضمن تبریک آغاز سال 1404 و آرزوی بهترین ها برای شما دوستان گرامی، اولین چالش امسال رو در خدمتتون هستیم که مربوط به آسیب‌پذیری XXE هست.

✅ این آسیب‌پذیری به مهاجم اجازه می‌دهد تا با تعریف موجودیت‌های خارجی مخرب در داده‌های XML، به فایل‌های سیستم، اطلاعات حساس یا حتی سایر سرویس‌های داخلی سرور دسترسی پیدا کند.

🔰ما یک چالش در 4 مرحله رو برای شما آماده‌ کردیم تا با مدل‌های مختلف از آسیب‌پذیری XXE آشنا بشید.


🔴 جهت مشاهده این چالش‌ به لینک‎ زیر مراجعه نمایید:


🌐 https://challenginno.ir/challenge/xml-external-entity

🔸 طی روزهای گذشته آسیب پذیری مربوط به Next.js با CVE-2025-29927 منتشر گردید که مربوط به عدم کنترل‌های دسترسی مناسب در Middleware می باشد.

✅ مشکل زمانی به‌وجود می‌آید که کنترل‌های دسترسی فقط بر اساس تطبیق مسیر انجام می‌شود، در حالی که Express ممکن است مسیرهای غیررایج یا درخواست‌هایی با هدر خاص را به همان کنترلر اصلی هدایت کند.

🔰در واقع شما با یک برنامه وب ساده روبه‌رو هستید که البته بیشتر جنبه لابراتواری داشته و برای بررسی آسیب پذیری CVE-2025-29927 طراحی شده است. اما یک فلگ برای حل آن نیز در نظر گرفته شده است.

✍️ لازم به ذکر است که این لابراتوار رایگان بوده و بر اساس PoC ارائه شده برای این آسیب پذیری طراحی شده است.

🔴 جهت مشاهده این چالش‌ به لینک‎ زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/nextjs-middleware-bypass-cve-2025-29927

🔸 یکی از مراحل تست نفوذ شبکه، اسکن شبکه و پورت است. ابزارهای مختلفی برای این منظور وجود دارد که از بین آن ها می توان به Nmap ،Hping و Masscan اشاره کرد.


✅ اما مشکل اینجاست که یک فایروال حساس جلوی دسترسی مستقیم به سیستم هدف قرار گرفته و به شدت نسبت به اسکن سریع پورت‌ها واکنش نشان می‌دهد.


🔰ارسال چند درخواست SYN در مدت کوتاه منجر به بلاک شدن آی‌پی شما خواهد شد.


✍️ اما اگر به اندازه کافی صبور و دقیق باشید، می‌توانید با اسکن آهسته و حساب‌ شده، اطلاعات مهمی را کشف کنید.


🔴 جهت مشاهده این چالش‌ به لینک‎ زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/network-scanning-with-firewall

🔸 چالش فارنزیکی "شاهین در سایه" یک سناریوی واقعی از یک حمله سایبری در ویندوز است که مهارت‌های تحلیل فارنزیکی شما را به چالش می‌کشد.


✅ در این حمله، یک اسکریپت مخرب اجرا شده که تغییرات متعددی در سیستم ایجاد کرده است.


🔰شما باید با بررسی رویدادهای سیستمی، پردازش‌ها، لاگ‌ها و سایر ردپاهای موجود شواهد این حمله را شناسایی کنید.



✍️ این چالش به شما کمک می‌کند تا مهارت‌های تحلیل حوادث امنیتی و پاسخ به تهدیدات را تقویت کنید.


🔴 جهت مشاهده این چالش‌ به لینک‎ زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/shadow-hawk

🔸 با سلام و عرض ادب خدمت همه دوستان و همراهان گرامی

✅ مفتخر هستیم که خدمت شما دوستان گرامی در نمایشگاه INOTEX 2025 باشیم.

🔰به همین خاطر از تمام شما عزیزان دعوت می کنیم تا از غرفه ما در این نمایشگاه دیدن فرمایید.

✍️ بی صبرانه منتظر حضور شما هستیم.

🔴 سالن شماره 7 غرفه 704

🌐 https://challenginno.ir

🔸 این چالش بر اساس یکی از سناریوهای دوره‌ی FOR500 Windows Forensic Analysis از موسسه معتبر SANS طراحی شده است.


✅ شما به‌عنوان یک تحلیل‌گر فارنزیک باید از فایل‌های جمع‌آوری‌شده توسط ابزار KAPE که شامل فایل‌های حیاتی است، استفاده کنید تا اطلاعات مربوط به حساب‌های کاربری موجود در یک سیستم ویندوزی را استخراج نمایید.


🔰این چالش، بخش عملی از تمرین‌های فارنزیک موجود در دوره FOR500 موسسه SANS است و به شما کمک می‌کند تا مهارت‌های عملی خود را در زمینه تحلیل فارنزیک ویندوز تقویت کنید.


🔴 جهت مشاهده این چالش‌ به لینک‎ زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/windows-forensics

🔸 یکی از مراحل تست نفوذ شبکه، اسکن شبکه و پورت است. ابزارهای مختلفی برای این منظور وجود دارد که از بین آن ها می توان به Nmap ،Hping و Masscan اشاره کرد.


✅ این لابراتوار آموزشی در قالب یک چالش سبک طراحی شده تا شما در فضایی تعاملی و سناریومحور با ابزار Nmap و قابلیت‌های پیشرفته‌ی آن آشنا شوید.


🔰شما می بایست با هدف کشف پرچم‌ها (flags)، از تکنیک‌های مختلف اسکن مانند اسکن پورت، تشخیص سیستم‌عامل، و شناسایی نسخه‌ی سرویس‌ها استفاده کنید.


✍️ البته به این موضوع نیز توجه داشته باشید که در برخی از بخش‌های چالش نیاز به استفاده از ابزارهای دیگر داشته و Nmap در برخی از بخش‌ها کاربرد نخواهد داشت.


🔴 جهت مشاهده این چالش‌ به لینک‎ زیر مراجعه نمایید:

🌐 https://challenginno.ir/challenge/nmap-and-no-nmap