digMeMore
@digmemore
6.96K subscribers
252 photos
18 videos
24 files
534 links
Contact: @YShahinzadeh
Download Telegram
About
Blog
Apps
Platform
Join
digMeMore
6.96K subscribers
digMeMore
مبحث JWT Security خودش یک مبحث جدا و بنظر من جذاب هست که بزودی در سایت مموری لیکز در موردش مینویسم ، ابزاری وجود داره به نام jwtear ، ما میتونیم برای همین مبحث ازش استفاده کنیم ، از ساخت خود JWT گرفته تا Brute Force کلیدش ، اما در بعضی مواقع ما حتی میتونیم داخل JWT از پیلود های Injection استفاده کنیم مثل عکس که داریم عمل Authentication Bypass انجام میدیم البته ناگفته نمونه که بیشتر در مسابقات و چالش های CTF همچین مواردی پیش میاد.

#CTF
#JWT
#Tool

@digmemore
1.48K viewsr00t98, edited  
digMeMore
توی پست جدید مموری‌لیکز آقا میثم به زبان خیلی خودمونی توضیح میده چطور به یه اپلیکیشن که با Codeigniter نوشته شده دسترسی گرفته. سطح نوشتار مقدماتی هست، ممنون از ایشون
https://memoryleaks.ir/access-to-a-web-app-written-by-codeigniter/
1.15K viewsYasho
digMeMore
API Security Testing

Part 1:
https://medium.com/datadriveninvestor/api-security-testing-part-1-b0fc38228b93

Part 2:
https://medium.com/@saumyaprakashrana_51250/api-security-testing-part-2-67ae9fb9c12

#API
#REST
#SOAP

@digmemore
1.51K viewsr00t98, edited  
digMeMore
https://memoryleaks.ir/api-pentest-guide/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
راهنمای پنتست APIها - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
خیلی از عزیزانی که تو حوزه تست نفوذ مشغول فعالیت هستن، با حوزه های تست نفوذ وب و موبایل آشنایی کافی دارن ولی وقتی اسم تست نفوذ API میاد، ممکنه که تصویر واضحی تو ذهنشون نقش نبنده. توی این پست میخوایم این تصویر رو واضح‌تر کنیم و منابعی رو معرفی می‌کنیم که میتونین…
1.52K viewsYasho
digMeMore
https://memoryleaks.ir/information-gathering-by-foca/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
جمع آوری اطلاعات با ابزار FOCA - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
سلام دوستان عزیز. میدونیم نخستین گام در تست نفوذ جمع آوری اطلاعات مربوط به هدف هست به این مبحث با عنوان RECON هم اشاره میشه. برای همین در یک ویدیو آموزشی کوتاه، تلاش کردم با روشی ساده اما کاربردی اطلاعات ارزشمندی اعم از موارد زیر رو در باره هدف جمع آوری کنم.…
1.2K viewsYasho
digMeMore
Forwarded from RavinAcademy
آکادمی راوین برگزار می‌کند:
کارگاه عملی تست نفوذ وب و موبایل با Burp Suite

در این دوره به بررسی جامع ابزار Burp‌ شامل معرفی، مفاهیم پیشرفته و کاربردهای مختلف آن می‌پردازیم و با هم سناریوهای مختلفی از انواع حملات پیشرفته‌ی وب را اجرا خواهیم کرد.

📌 برای دریافت شناسنامه‌ی دوره و آگاهی از جزییات بیش‌تر به لینک زیر بروید:

https://bit.ly/2Wmnog6

📌 لینک ثبت نام در دوره:

https://bit.ly/3a9pNPn

@RavinAcademy
583 viewsYasho
digMeMore
Hands-On AWS Penetration Testing with Kali Linux

#AWS
#Cloud
#Book

@digmemore
1.34K viewsr00t98
digMeMore
Hands-On AWS Penetration Testing with Kali Linux.pdf
36.1 MB
@digmemore
1.54K viewsr00t98
digMeMore
یه عیدی کوچیک -> تشریح آسیب‌پذیری شارژ نامحدود حساب کاربری «تهران من» که باش می‌شد طرح ترافیک خرید. نحوه برخورد دوستان توی توئیت پین من هست. این آسیب‌پذیری رو چند جای دیگه تست کردم وجود داشت، امیدوارم اطلاع‌رسانی بشه و همه امن‌تر بشن. اینم جزئیات فنی:

https://memoryleaks.ir/unlimited-charge-of-mytehran-account/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
آسیب‌پذیری شارژ نامحدود حساب mytehran.ir - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
خب این پست رو خیلی وقت بود تصمیم گرفته بودم بگذارم،‌ دیگه موکول شد به شب عید. چند وقت پیش با همکاری یکی از دوستان گرامی، یک آسیب‌پذیری روی سامانه https://my.tehran.ir کشف شد که با استفاده از اون میشد یک حساب دلخواه رو بینهایت شارژ کرد. نکته جالب قضیه این…
1.44K viewsYasho
digMeMore
Compilation of recon workflows

https://pentester.land/cheatsheets/2019/03/25/compilation-of-recon-workflows.html

#Recon
#BugBounty
#Cheatsheet

@digmemore
1.4K viewsr00t98, edited  
digMeMore
https://memoryleaks.ir/analysis-of-ghostcat-cve-2020-1938/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
تحلیل آسیب‌پذیری سرورهای تامکت (CVE-2020-1938) - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
نزدیک به یک ماه قبل یه آسیب پذیری توی سرور های apache tomcat توسط یه فرد چینی پیدا شد. اگه بخوام خیلی خلاصه بگم، اگه روی سرور هدف، پورت ۸۰۰۹ باز باشه، مهاجم میتونه هر فایل دلخواه رو که روی سرور قرار داره بخونه (LFI) و اگر سرور به درستی تنظیم نشده باشه، میتونه…
1.25K viewsYasho
digMeMore
Wordpress xmlrpc.php -common vulnerabilites & how to exploit them

https://medium.com/@the.bilal.rizwan/wordpress-xmlrpc-php-common-vulnerabilites-how-to-exploit-them-d8d3c8600b32

#SSRF
#XMLRPC
#Wordpress

@digmemore
1.3K viewsr00t98
digMeMore
digMeMore
Wordpress xmlrpc.php -common vulnerabilites & how to exploit them https://medium.com/@the.bilal.rizwan/wordpress-xmlrpc-php-common-vulnerabilites-how-to-exploit-them-d8d3c8600b32 #SSRF #XMLRPC #Wordpress @digmemore
Small tool to automate SSRF wordpress and XMLRPC finder

https://github.com/t0gu/quickpress

#SSRF
#XMLRPC
#Wordpress

@digmemore
GitHub
GitHub - incogbyte/quickpress: Small tool to automate SSRF wordpress and XMLRPC finder
Small tool to automate SSRF wordpress and XMLRPC finder - incogbyte/quickpress
1.53K viewsr00t98
digMeMore
https://memoryleaks.ir/digikala-openredirect-to-account-takeover/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
از Open Redirect تا Account Takeover در دیجی کالا - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
توی این مطلب قراره از Open Redirect که در شرایط خاصی ممکنه تبدیل به XSS بشه استفاده بکنیم و حمله Account Takeover رو یکی از ساب دامین های دیجی کالا بررسی کینم.
1.49K viewsYasho
digMeMore
Xssing Web Part

Part 1:
https://blog.rakeshmane.com/2016/11/xssing-web-part-1.html

Part 2:
https://blog.rakeshmane.com/2017/08/xssing-web-part-2.html

#XSS
#WAF
#Bypass

@digmemore
1.41K viewsr00t98, edited  
digMeMore
https://memoryleaks.ir/xss-in-rouhani-website/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
XSS Reflected در وب سایت حسن روحانی - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
نمیدونم جمعه صبح که از خواب بیدار شدم دیدم وب سایت آقای حسن روحانی رئیس جمهور کشور عزیزمان ایران داری باگ XSS Reflected هست . البته من بیشتر از یک سالی هست که به پشتیبانی وب سایت هم خبر دادم گفتم این مشکل امنیتی را برطرف کنند اما نمیدونم چرا برطرف نکردند.خوب…
1.1K viewsYasho
digMeMore
مقاله ای از ZeroNights که ابتدا روش های جلوگیری از حملات CSRF رو شرح میده و بعد هم تکنیک های بایپس.

#CSRF
#Bypass
#Book

@digmemore
1.43K viewsr00t98, edited  
digMeMore
zeronights2017-171116193409.pdf
2.9 MB
@digmemore
1.7K viewsr00t98, edited  
digMeMore
https://memoryleaks.ir/account-takeover-vulnerability-in-kerio-control/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
آسیب‌پذیری دسترسی به اکانت در Kerio Control - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
در این مقاله به شرح یک آسیب پذیری در Kerio Controls که به تازگی توسط اینجانب کشف شده و به تایید شرکت GFI رسیده است می‌پردازیم. توضیحاتی در مورد GFI و Kerio یکی از ابزارهای کاربردی در شبکه که قابلیت های بسیاری را در اختیار مدیران شبکه قرار می‌دهد، Kerio Control…
1.21K viewsYasho
digMeMore
دوستانی که توی اکسپلویت کردن آسیب‌پذیری 2020-0688 مشکل داشتن، این پست جدید رو از دست ندید. مشکل اصلی خیلی از دوستان این بود که سرور Exchange اینترنت نداشت و RCE به‌صورت blind بوده. توی این پست این مشکل حل میشه و شل گرفته میشه.

https://memoryleaks.ir/cve-2020-0688-analyis-and-exploit/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
بررسی و اکسپلویت آسیب‌پذیری CVE-2020-0688 در سرور Exchange - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
ماه گذشته خبر کشف یک آسیب‌پذیری حیاتی (با شناسه‌ی CVE-2020-0688) در سرور Microsoft Exchange  در بسیاری از رسانه‌های مرتبط با فناوری منتشر شد. این آسیب‌پذیری که به نظر می‌رسد توسط یک محقق ناشناس کشف و اعلام شده، به مهاجم قابلیت اجرای کد از راه دور (RCE) را…
1.47K viewsYasho
digMeMore
https://memoryleaks.ir/web-security-episode-01/
مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
امنیت و تست نفوذ وب اپلیکیشن، قسمت اول - مموری‌لیکس - نگاشته‌هایی پیرامون امنیت، شبکه و رمزنگاری
در این مجموعه می میپردازیم به آسیب پذیری های وب اپلیکیشن ها و نحوه مقابله با اون ها، سعی کردیم که با حل کردن سوالات و چالش های امنیتی مطالب بهتر بیان بشند.
1.44K viewsYasho