"آمات ساما" و "ریچارد ژو" جایز ۶۰ هزار دلاری مسابقه هک #Pwn2Own را بردند.
دو محقق حوزه امنیت با قرار دادن اکسپلویتی در آمازون اکو شو توانستند این سیستم را هک کنند و جایزه را برنده شوند.
آمازون اکو شو ۵ از نسخه قدیمی کرومیوم استفاده میکند که چند باگ و حفره امنیتی دارد و همین امر به این دو محقق کمک کرد تا کنترل کامل دستگاه را به دست بگیرند.
آمازون تاکنون مطلبی در مورد راهحل و زمان برطرف کردن این حفره امنیتی منتشر نکرده است.
👁 @intsec
دو محقق حوزه امنیت با قرار دادن اکسپلویتی در آمازون اکو شو توانستند این سیستم را هک کنند و جایزه را برنده شوند.
آمازون اکو شو ۵ از نسخه قدیمی کرومیوم استفاده میکند که چند باگ و حفره امنیتی دارد و همین امر به این دو محقق کمک کرد تا کنترل کامل دستگاه را به دست بگیرند.
آمازون تاکنون مطلبی در مورد راهحل و زمان برطرف کردن این حفره امنیتی منتشر نکرده است.
👁 @intsec
🔻 گزارش جالب از نحوه شناسایی و مقابله با حملات گسترده #DDoS به سرورهای #ابرآرون که با سوء استفاده از MTProxyهای #تلگرام صورت گرفته است.
در گزارش زیر به تحلیل این حملات توزیع شده که در نوع خود جدید محسوب می شوند پرداخته شده است.
👨💻 مطالعه کامل گزارش
👁 @intsec
در گزارش زیر به تحلیل این حملات توزیع شده که در نوع خود جدید محسوب می شوند پرداخته شده است.
👨💻 مطالعه کامل گزارش
👁 @intsec
♨️ مراقب تله کلاهبرداران، در دسترسی غیرمجاز به گوشی تلفن همراهتان باشید.
در این روش کلاهبرداری، افراد مجرم و سودجو با ایجاد دسترسی غیرمجاز به مخاطبین و شبکههای اجتماعی قربانیان، ضمن برقراری تماس تلفنی با ایشان و معرفی خود به عنوان ضابط قضائی و انجام #مهندسی_اجتماعی خاص، فرد قربانی را وادار به خاموش نمودن تلفن همراه نموده و با سوءاستفاده از موقعیت پیش آمده با ارسال پیام به مخاطبین و آشنایان ایشان در شبکههای اجتماعی تقاضای انتقال وجه فوری به دلیل مشکل مالی را مطرح نموده و از این طریق نسبت به #کلاهبرداری و دریافت وجه از آشنایان و مخاطبان فرد قربانی را مینماید.
در هنگام دریافت هرگونه پیام از سوی دوستان و آشنایان با مضمون واریز فوری پول به علت هرگونه نیازمندی ابتدا از صحت درخواست، با برقراری تماس تلفنی با فرد ارسال کننده پیام اطمینان حاصل نمایند. همچنین در هنگام انتقال وجه به حسابهای مورد نظر نام و نام خانوادگی دریافت کننده وجه را با دقت کنترل نموده و از شتاب زدگی در انجام هرگونه عملیات بانکی اجتناب نمایند.
👁 @intsec
در این روش کلاهبرداری، افراد مجرم و سودجو با ایجاد دسترسی غیرمجاز به مخاطبین و شبکههای اجتماعی قربانیان، ضمن برقراری تماس تلفنی با ایشان و معرفی خود به عنوان ضابط قضائی و انجام #مهندسی_اجتماعی خاص، فرد قربانی را وادار به خاموش نمودن تلفن همراه نموده و با سوءاستفاده از موقعیت پیش آمده با ارسال پیام به مخاطبین و آشنایان ایشان در شبکههای اجتماعی تقاضای انتقال وجه فوری به دلیل مشکل مالی را مطرح نموده و از این طریق نسبت به #کلاهبرداری و دریافت وجه از آشنایان و مخاطبان فرد قربانی را مینماید.
در هنگام دریافت هرگونه پیام از سوی دوستان و آشنایان با مضمون واریز فوری پول به علت هرگونه نیازمندی ابتدا از صحت درخواست، با برقراری تماس تلفنی با فرد ارسال کننده پیام اطمینان حاصل نمایند. همچنین در هنگام انتقال وجه به حسابهای مورد نظر نام و نام خانوادگی دریافت کننده وجه را با دقت کنترل نموده و از شتاب زدگی در انجام هرگونه عملیات بانکی اجتناب نمایند.
👁 @intsec
مجموعه دستوراتی که برای تزریق به صفحات لاگین استفاده میشود شامل موارد زیر میشود.
' or ''='
') or true—
') or ('')=('
') or 1—
') or ('x')=('
" or true—
" or ""="
" or 1—
" or "x"="
") or true—
") or ("")=("
") or 1—
") or ("x")=("
')) or true—
')) or ((''))=(('
')) or 1—
')) or (('x'))=(('
نفوذگر با قرار دادن این دستورات در صفحات لاگین یک وب سایت بدون داشتن یوزر و پسورد اقدام به #نفوذ و #حمله به پنل مدیریتی میکند.
👁 @intsec
#تزریق
' or ''='
') or true—
') or ('')=('
') or 1—
') or ('x')=('
" or true—
" or ""="
" or 1—
" or "x"="
") or true—
") or ("")=("
") or 1—
") or ("x")=("
')) or true—
')) or ((''))=(('
')) or 1—
')) or (('x'))=(('
نفوذگر با قرار دادن این دستورات در صفحات لاگین یک وب سایت بدون داشتن یوزر و پسورد اقدام به #نفوذ و #حمله به پنل مدیریتی میکند.
👁 @intsec
#تزریق
شرکت آسان پرداخت #آپ از متخصصین #SOC
با شرایط ذیل دعوت به همکاری می نماید:
🔹 حداقل لیسانس (کامپیوتر، فناوری اطلاعات، امنیت اطلاعات)
🔹 حداقل ۳ سال سابقه کار مرتبط
🔹 آشنایی با فرآیند رسیدگی به حادثه شامل شناسایی حملات پیشرفته، تحلیل لاگ ها با استفاده از ابزار سامانه مدیریت امنیت اطلاعات و رخدادها (SIEM)
🔹 دانش کافی در حوزه پروتکلها و استانداردهای حوزه امنیت اطلاعات و تهدیدها و آسیب پذیری های سایبری
🔹 مسلط به پیاده سازی تکنولوژی IPS/IDS
🔹 مسلط به ابزارهای #SIEM
🔹 توانایی ایجاد query های پیشرفته SIEM و تدوین گزارشات مربوطه
🔹 توانایی پایش و ردیابی رخدادهای همزمان
🔹 توانایی ارائه نتایج تحلیلی به صورت تخصصی و سازماندهی شده
🔸 علاقمندان می توانند رزومه خود را به آدرس ایمیل زیر ارسال نمایند.
👨💻 [email protected]
👁 @intsec
#فرصت_همکاری
با شرایط ذیل دعوت به همکاری می نماید:
🔹 حداقل لیسانس (کامپیوتر، فناوری اطلاعات، امنیت اطلاعات)
🔹 حداقل ۳ سال سابقه کار مرتبط
🔹 آشنایی با فرآیند رسیدگی به حادثه شامل شناسایی حملات پیشرفته، تحلیل لاگ ها با استفاده از ابزار سامانه مدیریت امنیت اطلاعات و رخدادها (SIEM)
🔹 دانش کافی در حوزه پروتکلها و استانداردهای حوزه امنیت اطلاعات و تهدیدها و آسیب پذیری های سایبری
🔹 مسلط به پیاده سازی تکنولوژی IPS/IDS
🔹 مسلط به ابزارهای #SIEM
🔹 توانایی ایجاد query های پیشرفته SIEM و تدوین گزارشات مربوطه
🔹 توانایی پایش و ردیابی رخدادهای همزمان
🔹 توانایی ارائه نتایج تحلیلی به صورت تخصصی و سازماندهی شده
🔸 علاقمندان می توانند رزومه خود را به آدرس ایمیل زیر ارسال نمایند.
👨💻 [email protected]
👁 @intsec
#فرصت_همکاری
بزرگ ترین تولیدکننده #پهپاد در جهان، قصد دارد در اوایل سال آینده میلادی با ساخت و
انتشار یک اپلیکیشن موبایلی، این امکان را برای کاربران فراهم نماید که پهپادهای ناشناس
را شناسایی کنند.
شرکت #DJI اعلام کرده در صورت تأیید مقامات، در اوایل 2020 میلادی اپلیکیشنی برای ردیابی پهپادها عرضه می کند.
این اپلیکیشن مجهز به پروتکل جدید WiFi Aware است که به دستگاه های مجهز به
وای فای اجازه می دهد با یکدیگر ارتباط برقرار کنند و شماره ثبت پهبادهای افراد را شناسایی و با نام صاحب آن ها مطابقت دهند . این اپلیکیشن به افرادی که نگران جاسوسی از زندگی خصوصی یا نقض حریم شخصی شان هستند، اجازه می دهد ترافیک محلی پهپادها را به سادگی و با کمترین هزینه، رصد نمایند.
هفته گذشته انگلیس اعلام کرد صاحبان پهپادهایی با وزن بالاتر از ۲۰۰ گرم باید در سامانه اختصاصی ثبت نام کنند.
👁 @intsec
انتشار یک اپلیکیشن موبایلی، این امکان را برای کاربران فراهم نماید که پهپادهای ناشناس
را شناسایی کنند.
شرکت #DJI اعلام کرده در صورت تأیید مقامات، در اوایل 2020 میلادی اپلیکیشنی برای ردیابی پهپادها عرضه می کند.
این اپلیکیشن مجهز به پروتکل جدید WiFi Aware است که به دستگاه های مجهز به
وای فای اجازه می دهد با یکدیگر ارتباط برقرار کنند و شماره ثبت پهبادهای افراد را شناسایی و با نام صاحب آن ها مطابقت دهند . این اپلیکیشن به افرادی که نگران جاسوسی از زندگی خصوصی یا نقض حریم شخصی شان هستند، اجازه می دهد ترافیک محلی پهپادها را به سادگی و با کمترین هزینه، رصد نمایند.
هفته گذشته انگلیس اعلام کرد صاحبان پهپادهایی با وزن بالاتر از ۲۰۰ گرم باید در سامانه اختصاصی ثبت نام کنند.
👁 @intsec
#حمله #آسیب_پذیری SIM swap fraud
نوعی #کلاهبرداری است که در آن نفوذگر موفق به صدور سیم کارت جدید از طرف ارائه دهنده خدمات تلفن همراه (همراه اول/ایرانسل/رایتل/تالیا) از طرف شما می شود.
در صورت موفق آمیز بودن باعث خطرات جدی، شامل سوء استفاده از داده های تلفن همراه، اطلاعات تماس، پیامک ها، حساب های بانکی و شبکه های اجتماعی، اعتبار خط و هویت شما خواهد شد.
🔸 روش کار کلاهبردار چگونه است؟
تماس های کلاهبردار (نامه یا پیام) به شما و وانمود اینکه ارائه دهنده خدمات بانکی و یا اپراتور تلفن همراه شما هستند و از شما می خواهند شماره سیم کارت 19 رقمی که در پشت بسته سیم کارت یا سیم موجود است با فرمت خاصی به یک شماره خاص پیام دهید.
کلاهبردار با شناسه جعلی به ارائه دهنده خدمات تلفن همراه نزدیک می شود و به بهانه های مختلف (سرقت) سیم کارت قدیمی را غیرفعال می کند، این امر در طی چند ساعت اتفاق می افتد و صاحب واقعی غالباً متوجه نمی شود که سیم کارت خود را متوقف کرده است.
ادامه 👇
👁 @intsec
#Fraud
نوعی #کلاهبرداری است که در آن نفوذگر موفق به صدور سیم کارت جدید از طرف ارائه دهنده خدمات تلفن همراه (همراه اول/ایرانسل/رایتل/تالیا) از طرف شما می شود.
در صورت موفق آمیز بودن باعث خطرات جدی، شامل سوء استفاده از داده های تلفن همراه، اطلاعات تماس، پیامک ها، حساب های بانکی و شبکه های اجتماعی، اعتبار خط و هویت شما خواهد شد.
🔸 روش کار کلاهبردار چگونه است؟
تماس های کلاهبردار (نامه یا پیام) به شما و وانمود اینکه ارائه دهنده خدمات بانکی و یا اپراتور تلفن همراه شما هستند و از شما می خواهند شماره سیم کارت 19 رقمی که در پشت بسته سیم کارت یا سیم موجود است با فرمت خاصی به یک شماره خاص پیام دهید.
کلاهبردار با شناسه جعلی به ارائه دهنده خدمات تلفن همراه نزدیک می شود و به بهانه های مختلف (سرقت) سیم کارت قدیمی را غیرفعال می کند، این امر در طی چند ساعت اتفاق می افتد و صاحب واقعی غالباً متوجه نمی شود که سیم کارت خود را متوقف کرده است.
ادامه 👇
👁 @intsec
#Fraud
🔸 روشهای محافظت
- اگر خط شما به طور غیرعادی متوقف شده است، فوراً با اپراتور خود تماس بگیرید.
- کد ۱۹ رقمی پشت سیم کارت خود را با کسی به اشتراک نگذارید.
- شماره تلفن همراه خود را حدالامکان در رسانههای اجتماعی نمایش ندهید.
- برای هشدار بانکی فوری با بانک خود ثبتنام کنید.
- هرگز به ایمیل یا تماسهای نامعلوم درخواست جزئیات حساب یا شماره تلفن خود را پاسخ ندهید.
- هرگز اعتبار بانکی یا OTP خود را با کسی یا هر وبسایتی به اشتراک نگذارید.
- برنامهها را از منابع ناشناخته نصب نکنید یا از آنتی ویروس خوب استفاده کنید.
🔺 چند ماه پیش با استفاده روش SIM swap حساب کاربری توئیتر جک دورسی، موسس #توئیتر #هک شده بود.
👁 @IntSec
#مهندسی_اجتماعی #هوشیار_باشید #آگاهی_رسانی
- اگر خط شما به طور غیرعادی متوقف شده است، فوراً با اپراتور خود تماس بگیرید.
- کد ۱۹ رقمی پشت سیم کارت خود را با کسی به اشتراک نگذارید.
- شماره تلفن همراه خود را حدالامکان در رسانههای اجتماعی نمایش ندهید.
- برای هشدار بانکی فوری با بانک خود ثبتنام کنید.
- هرگز به ایمیل یا تماسهای نامعلوم درخواست جزئیات حساب یا شماره تلفن خود را پاسخ ندهید.
- هرگز اعتبار بانکی یا OTP خود را با کسی یا هر وبسایتی به اشتراک نگذارید.
- برنامهها را از منابع ناشناخته نصب نکنید یا از آنتی ویروس خوب استفاده کنید.
🔺 چند ماه پیش با استفاده روش SIM swap حساب کاربری توئیتر جک دورسی، موسس #توئیتر #هک شده بود.
👁 @IntSec
#مهندسی_اجتماعی #هوشیار_باشید #آگاهی_رسانی
شرکت تجارت الکترونیک پارسیان با شرایط زیر کارشناس مرکز عملیات امنیت استخدام می نماید.
شرایط احراز:
- حداقل لیسانس (کامپیوتر، فناوری اطلاعات)
- حداقل ۳ سال تجربه کاری مرتبط
- آشنایی با فرآیند رسیدگی به حادثه شامل شناسایی حملات پیشرفته، تحلیل لاگ ها با استفاده از ابزار سامانه مدیریت امنیت اطلاعات و رخدادها (SIEM)
- دانش کافی درحوزه پروتکلها و استانداردهای حوزه امنیت اطلاعات وتهدیدها و آسیب پذیری های سایبری
- مسلط به پیاده سازی تکنولوژی IPS/IDS
- مسلط به راه اندازی و پیکربندی تجهیزات امنیتی مانند f5, fortiweb, juniper
- توانایی ایجاد داشبوردهای پیشرفته #SIEM
- توانایی ارائه گزارش و نتایج تحلیلی
- دارای روحیه کار تیمی و پیگیری مستمر موضوعات
- اشتیاق برای یادگیری و یاد دادن
- توانایی کنترل استرس و فشار کاری
لطفا رزومه خود را به آدرس [email protected] ارسال نمایند.
👁 @intsec
#فرصت_همکاری
شرایط احراز:
- حداقل لیسانس (کامپیوتر، فناوری اطلاعات)
- حداقل ۳ سال تجربه کاری مرتبط
- آشنایی با فرآیند رسیدگی به حادثه شامل شناسایی حملات پیشرفته، تحلیل لاگ ها با استفاده از ابزار سامانه مدیریت امنیت اطلاعات و رخدادها (SIEM)
- دانش کافی درحوزه پروتکلها و استانداردهای حوزه امنیت اطلاعات وتهدیدها و آسیب پذیری های سایبری
- مسلط به پیاده سازی تکنولوژی IPS/IDS
- مسلط به راه اندازی و پیکربندی تجهیزات امنیتی مانند f5, fortiweb, juniper
- توانایی ایجاد داشبوردهای پیشرفته #SIEM
- توانایی ارائه گزارش و نتایج تحلیلی
- دارای روحیه کار تیمی و پیگیری مستمر موضوعات
- اشتیاق برای یادگیری و یاد دادن
- توانایی کنترل استرس و فشار کاری
لطفا رزومه خود را به آدرس [email protected] ارسال نمایند.
👁 @intsec
#فرصت_همکاری
نکاتی که هنگام گزارش یک #آسیب_پذیری باید رعایت کنیم ..
🔹 https://memoryleaks.ir/how-to-report-a-vulnerability
👁 @intsec
🔹 https://memoryleaks.ir/how-to-report-a-vulnerability
👁 @intsec
مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
نکاتی که هنگام گزارش یک آسیبپذیری باید رعایت کنیم - مموریلیکس - نگاشتههایی پیرامون امنیت، شبکه و رمزنگاری
امروزه اکثر کمپانیهای معروف دنیا چندین سال است که برنامه بانتی را راهاندازی کردهاند. از نمونههای معروف آن میتوان به فیسبوک، گوگل، اینستاگرام، توئیتر و مواردی نظیر آن اشاره کرد. برای آشنایی بیشتر با این سازوکار پیشنهاد میکنم پست قبلی من رو در این مورد…
👍1
This media is not supported in your browser
VIEW IN TELEGRAM
رئیس #پدافند_غیرعامل
نرم افزار اسرائیلی #Waze در ناآرامیهای اخیر تهران جمعیت را به سمت اتوبانها که راه بندان بود هدایت میکرد.
👁 @intsec
نرم افزار اسرائیلی #Waze در ناآرامیهای اخیر تهران جمعیت را به سمت اتوبانها که راه بندان بود هدایت میکرد.
👁 @intsec