❤️🐉❤️🐉❤️🐉❤️
عیدتون مبارک😍😍🎉🎉
سالی پر از شادی و موفقیت براتون ارزومیکنم.
انشالله امسال، سال تحقق اهدافتون باشه🔥🎉
ارادت Sec_Hint@
عیدتون مبارک😍😍🎉🎉
سالی پر از شادی و موفقیت براتون ارزومیکنم.
انشالله امسال، سال تحقق اهدافتون باشه🔥🎉
ارادت Sec_Hint@
❤10
👾DOM & BOM
DOM (Document Object Model):
ساختاری درختی است که تمام عناصر HTML و CSS یک صفحه وب را نشان میدهد. میتواند توسط اسکریپتهای سمت کلاینت (JavaScript) برای دسترسی و دستکاری محتوای صفحه، تعامل با کاربر و ارسال درخواستهای HTTP استفاده شود.
BOM (Browser Object Model):
مجموعهای از اشیاء است که به اسکریپتهای JavaScript اجازه میدهد تا با مرورگر وب و سیستم عامل تعامل داشته باشند. شامل اشیاء مربوط به پنجره مرورگر، تاریخچه، موقعیت مکانی، ذخیرهسازی و غیره میشود.
حملات امنیتی مرتبط با DOM و BOM:
- حملات XSS: تزریق کد JavaScript مخرب در صفحه وب برای دسترسی به دادهها یا انجام اقدامات ناخواسته.
- حملات CSRF: فریب کاربر برای ارسال درخواستهای ناخواسته به وبسایتی که به آن اعتماد دارد.
مقابله با حملات:
- از CSP برای محدود کردن منابع قابل دسترسی توسط اسکریپتها استفاده کنید.
- از X-XSS-Protection header برای فعال کردن حفاظت XSS در مرورگر استفاده کنید.
- از HTTP Referer header برای بررسی منبع درخواستها استفاده کنید.
#javascript #js #xss #csrf
@Sec_Hint
DOM (Document Object Model):
ساختاری درختی است که تمام عناصر HTML و CSS یک صفحه وب را نشان میدهد. میتواند توسط اسکریپتهای سمت کلاینت (JavaScript) برای دسترسی و دستکاری محتوای صفحه، تعامل با کاربر و ارسال درخواستهای HTTP استفاده شود.
BOM (Browser Object Model):
مجموعهای از اشیاء است که به اسکریپتهای JavaScript اجازه میدهد تا با مرورگر وب و سیستم عامل تعامل داشته باشند. شامل اشیاء مربوط به پنجره مرورگر، تاریخچه، موقعیت مکانی، ذخیرهسازی و غیره میشود.
حملات امنیتی مرتبط با DOM و BOM:
- حملات XSS: تزریق کد JavaScript مخرب در صفحه وب برای دسترسی به دادهها یا انجام اقدامات ناخواسته.
- حملات CSRF: فریب کاربر برای ارسال درخواستهای ناخواسته به وبسایتی که به آن اعتماد دارد.
مقابله با حملات:
- از CSP برای محدود کردن منابع قابل دسترسی توسط اسکریپتها استفاده کنید.
- از X-XSS-Protection header برای فعال کردن حفاظت XSS در مرورگر استفاده کنید.
- از HTTP Referer header برای بررسی منبع درخواستها استفاده کنید.
#javascript #js #xss #csrf
@Sec_Hint
👍9
👾Content Security Policy (CSP)
در این پست قصد داریم به بررسی Content Security Policy (CSP) یا خطمشی امنیت محتوا(🤪)بپردازیم، یک ابزار قدرتمند برای افزایش امنیت وبسایت.
و CSP چیست؟
یک مکانیزم امنیتی در مرورگرهای وب است که به شما اجازه میدهد تا منابعی که وبسایت شما میتواند بارگیری کند را کنترل کنید. این خطمشی به شما کمک میکند تا از حملات مخربی مانند Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) جلوگیری کنید.
و CSP چگونه کار میکند؟
با استفاده از یک هدر HTTP به نام Content-Security-Policy پیادهسازی میشود. این هدر شامل یک لیست از منابع مجاز است که وبسایت شما میتواند بارگیری کند.
و نحوه پیادهسازی CSP:
1- تنظیم هدر Content-Security-Policy به وبسایت
مثال:
2-استفاده از متا تگ ها :
این مثال به این اشاره دارد که:
-بارگیری اسکریپتها، استایلها و تصاویر فقط از خود وبسایت (self)
-بارگیری اسکریپتهای درون خطی (inline)
-بارگیری تصاویر از خود وبسایت و از URLهای data
مجاز است.
منابع:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
#CSP #امنیت_وب #XSS #CSRF
@Sec_Hint
در این پست قصد داریم به بررسی Content Security Policy (CSP) یا خطمشی امنیت محتوا(🤪)بپردازیم، یک ابزار قدرتمند برای افزایش امنیت وبسایت.
یک مکانیزم امنیتی در مرورگرهای وب است که به شما اجازه میدهد تا منابعی که وبسایت شما میتواند بارگیری کند را کنترل کنید. این خطمشی به شما کمک میکند تا از حملات مخربی مانند Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) جلوگیری کنید.
با استفاده از یک هدر HTTP به نام Content-Security-Policy پیادهسازی میشود. این هدر شامل یک لیست از منابع مجاز است که وبسایت شما میتواند بارگیری کند.
1- تنظیم هدر Content-Security-Policy به وبسایت
مثال:
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;
2-استفاده از متا تگ ها :
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:">
این مثال به این اشاره دارد که:
-بارگیری اسکریپتها، استایلها و تصاویر فقط از خود وبسایت (self)
-بارگیری اسکریپتهای درون خطی (inline)
-بارگیری تصاویر از خود وبسایت و از URLهای data
مجاز است.
منابع:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy
#CSP #امنیت_وب #XSS #CSRF
@Sec_Hint
MDN Web Docs
Content-Security-Policy (CSP) header - HTTP | MDN
The HTTP Content-Security-Policy response header allows website administrators to control resources the user agent is allowed to load for a given page. With a few exceptions, policies mostly involve specifying server origins and script endpoints.
This helps…
This helps…
👍5🔥2
💀Same Origin Policy:
سلام! در این پست به بررسی Same Origin Policy (SOP) یا خطمشی هممنشأ(😶🌫️) میپردازیم، یک مکانیزم امنیتی مهم در مرورگرهای وب که به منظور جلوگیری از حملات مخرب و حفظ حریم خصوصی کاربران طراحی شده است.
و SOP چیست؟
یک قانون امنیتی است که تعاملات بین اسکریپتها و منابع مختلف در وب را محدود میکند. این قانون میگوید که اسکریپتها، اعم از JavaScript، CSS و XHR، فقط میتوانند به دادهها و منابعی که از همان منشأ (origin) خودشان هستند، دسترسی داشته باشند.
و منشأ (origin) چیست؟
منشأ یک منبع وب با ترکیب سه عنصر زیر تعریف میشود:
پروتکل(Scheme) : http یا https
هاست: آدرس وبسایت
پورت: شماره پورت (معمولاً 80 برای http و 443 برای https)
به عنوان مثال، [https://store.company.com/dir/page.html] و [https://store.company.com:2000/dir/page.html] از دو origin مختلف هستند، زیرا از پورتهای مختلف اولی به صورت پیش فرض 80 و دومی 2000 استفاده میکنند.
و چرا SOP مهم است؟
نقش مهمی در حفظ امنیت وب دارد. این خطمشی از حملات مخربی مانند Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) جلوگیری میکند.
مثالی از XSS:
فرض کنید که شما در حال مشاهده یک وبسایت هستید که توسط یک مهاجم هک شده است. مهاجم میتواند کد JavaScript مخربی را در وبسایت تزریق کند. اگر SOP وجود نداشت، این کد میتوانست به اطلاعات حساس شما، مانند اطلاعات بانکی یا رمز عبورتان، در وبسایتهای دیگر دسترسی پیدا کند.
مثالی از CSRF:
فرض کنید که شما در یک وبسایت بانکی هستید و به حساب خودتان وارد شدهاید. مهاجم میتواند یک لینک مخرب را به شما ارسال کند. اگر SOP وجود نداشت، زمانی که شما روی این لینک کلیک میکنید، اسکریپت مخرب موجود در لینک میتوانست بدون اطلاع شما اقدام به انتقال پول از حساب شما به حساب مهاجم کند.
موارد استثنا در SOP:
در برخی موارد، لازم است که اسکریپتها به منابعی از منشأهای دیگر دسترسی داشته باشند. برای این منظور، تکنیکهایی مانند CORS (Cross-Origin Resource Sharing) وجود دارد که به توسعهدهندگان وب اجازه میدهد تا به طور امن به منابع خارجی دسترسی پیدا کنند.
#SameOriginPolicy #امنیت #وب #حریم_خصوصی
منابع:
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
@Sec_Hint
سلام! در این پست به بررسی Same Origin Policy (SOP) یا خطمشی هممنشأ(😶🌫️) میپردازیم، یک مکانیزم امنیتی مهم در مرورگرهای وب که به منظور جلوگیری از حملات مخرب و حفظ حریم خصوصی کاربران طراحی شده است.
یک قانون امنیتی است که تعاملات بین اسکریپتها و منابع مختلف در وب را محدود میکند. این قانون میگوید که اسکریپتها، اعم از JavaScript، CSS و XHR، فقط میتوانند به دادهها و منابعی که از همان منشأ (origin) خودشان هستند، دسترسی داشته باشند.
منشأ یک منبع وب با ترکیب سه عنصر زیر تعریف میشود:
پروتکل(Scheme) : http یا https
هاست: آدرس وبسایت
پورت: شماره پورت (معمولاً 80 برای http و 443 برای https)
به عنوان مثال، [https://store.company.com/dir/page.html] و [https://store.company.com:2000/dir/page.html] از دو origin مختلف هستند، زیرا از پورتهای مختلف اولی به صورت پیش فرض 80 و دومی 2000 استفاده میکنند.
نقش مهمی در حفظ امنیت وب دارد. این خطمشی از حملات مخربی مانند Cross-Site Scripting (XSS) و Cross-Site Request Forgery (CSRF) جلوگیری میکند.
مثالی از XSS:
فرض کنید که شما در حال مشاهده یک وبسایت هستید که توسط یک مهاجم هک شده است. مهاجم میتواند کد JavaScript مخربی را در وبسایت تزریق کند. اگر SOP وجود نداشت، این کد میتوانست به اطلاعات حساس شما، مانند اطلاعات بانکی یا رمز عبورتان، در وبسایتهای دیگر دسترسی پیدا کند.
مثالی از CSRF:
فرض کنید که شما در یک وبسایت بانکی هستید و به حساب خودتان وارد شدهاید. مهاجم میتواند یک لینک مخرب را به شما ارسال کند. اگر SOP وجود نداشت، زمانی که شما روی این لینک کلیک میکنید، اسکریپت مخرب موجود در لینک میتوانست بدون اطلاع شما اقدام به انتقال پول از حساب شما به حساب مهاجم کند.
موارد استثنا در SOP:
در برخی موارد، لازم است که اسکریپتها به منابعی از منشأهای دیگر دسترسی داشته باشند. برای این منظور، تکنیکهایی مانند CORS (Cross-Origin Resource Sharing) وجود دارد که به توسعهدهندگان وب اجازه میدهد تا به طور امن به منابع خارجی دسترسی پیدا کنند.
#SameOriginPolicy #امنیت #وب #حریم_خصوصی
منابع:
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
@Sec_Hint
👍9🔥3
☠️آشنایی با ویژگیهای کوکی و مفهوم SameSite
در این پست قصد داریم به بررسی ویژگیهای کوکی و مفهوم SameSite بپردازیم.
🔎کوکی(cookie) چیست؟
کوکی یک فایل کوچک است که توسط وبسایتها در مرورگر شما ذخیره میشود. این فایل شامل اطلاعاتی مانند تنظیمات ترجیحی شما، شناسه کاربری و سبد خریدتان است. کوکیها به وبسایتها کمک میکنند تا شما را به خاطر بسپارند و تجربه کاربری بهتری را ارائه دهند.
🔎ویژگیهای کوکی:
* Domain:
مشخص میکند که کوکی برای چه دامنهای اعمال میشود.
* Path:
نشان میدهد که کوکی برای چه مسیری اعمال میشود.
* Secure:
اگر این ویژگی فعال باشد، کوکی فقط برای ارتباطات امن (HTTPS) ارسال میشود.
* HttpOnly:
اگر این ویژگی فعال باشد، کوکی توسط اسکریپتهای مرورگر قابل دسترسی نخواهد بود و فقط به وسیله HTTP ارسال میشود.
* Expires:
زمانی که کوکی منقضی میشود.
🔎مفهوم SameSite:
یک ویژگی امنیتی جدید در مرورگرها است که به منظور جلوگیری از حملات CSRF (Cross-Site Request Forgery) طراحی شده است. این ویژگی مشخص میکند که کوکی در چه نوع درخواستهایی باید ارسال شود.
🔎مقادیر SameSite:
* None:
کوکی برای هر نوع درخواست ارسال میشود، حتی برای درخواستهای جهتگیری متقابل(Cross-Site) از دامنههای دیگر.
* Lax:
کوکی برای درخواستهای GET از دامنههای دیگر ارسال میشود، اما برای درخواستهای POST که از دامنههای دیگر آمدهاند، ارسال نمیشود.
* Strict:
کوکی فقط برای درخواستهایی که از همان دامنه آمدهاند ارسال میشود و هیچگاه برای درخواستهای جهتگیری متقابل از دامنههای دیگر ارسال نمیشود.
🔎انتخاب مقدار مناسب SameSite:
انتخاب مقدار مناسب SameSite به نوع وبسایت شما و نحوه استفاده از کوکیها بستگی دارد.
* اگر از کوکیها برای احراز هویت یا اطلاعات حساس استفاده میکنید، باید از مقدار Strict استفاده کنید.
* اگر از کوکیها برای ردیابی یا تجزیه و تحلیل استفاده میکنید، میتوانید از مقدار Lax استفاده کنید.
* اگر از کوکیها برای عملکردهای غیرضروری استفاده میکنید، میتوانید از مقدار None استفاده کنید.
نکته: برای استفاده از SameSite، باید از HTTPS استفاده کنید.
امیدواریم این پست برای شما مفید بوده باشد.
#کوکی #SameSite #امنیت #وبسایت
@Sec_Hint
در این پست قصد داریم به بررسی ویژگیهای کوکی و مفهوم SameSite بپردازیم.
🔎کوکی(cookie) چیست؟
کوکی یک فایل کوچک است که توسط وبسایتها در مرورگر شما ذخیره میشود. این فایل شامل اطلاعاتی مانند تنظیمات ترجیحی شما، شناسه کاربری و سبد خریدتان است. کوکیها به وبسایتها کمک میکنند تا شما را به خاطر بسپارند و تجربه کاربری بهتری را ارائه دهند.
🔎ویژگیهای کوکی:
* Domain:
مشخص میکند که کوکی برای چه دامنهای اعمال میشود.
* Path:
نشان میدهد که کوکی برای چه مسیری اعمال میشود.
* Secure:
اگر این ویژگی فعال باشد، کوکی فقط برای ارتباطات امن (HTTPS) ارسال میشود.
* HttpOnly:
اگر این ویژگی فعال باشد، کوکی توسط اسکریپتهای مرورگر قابل دسترسی نخواهد بود و فقط به وسیله HTTP ارسال میشود.
* Expires:
زمانی که کوکی منقضی میشود.
🔎مفهوم SameSite:
یک ویژگی امنیتی جدید در مرورگرها است که به منظور جلوگیری از حملات CSRF (Cross-Site Request Forgery) طراحی شده است. این ویژگی مشخص میکند که کوکی در چه نوع درخواستهایی باید ارسال شود.
🔎مقادیر SameSite:
* None:
کوکی برای هر نوع درخواست ارسال میشود، حتی برای درخواستهای جهتگیری متقابل(Cross-Site) از دامنههای دیگر.
* Lax:
کوکی برای درخواستهای GET از دامنههای دیگر ارسال میشود، اما برای درخواستهای POST که از دامنههای دیگر آمدهاند، ارسال نمیشود.
* Strict:
کوکی فقط برای درخواستهایی که از همان دامنه آمدهاند ارسال میشود و هیچگاه برای درخواستهای جهتگیری متقابل از دامنههای دیگر ارسال نمیشود.
🔎انتخاب مقدار مناسب SameSite:
انتخاب مقدار مناسب SameSite به نوع وبسایت شما و نحوه استفاده از کوکیها بستگی دارد.
* اگر از کوکیها برای احراز هویت یا اطلاعات حساس استفاده میکنید، باید از مقدار Strict استفاده کنید.
* اگر از کوکیها برای ردیابی یا تجزیه و تحلیل استفاده میکنید، میتوانید از مقدار Lax استفاده کنید.
* اگر از کوکیها برای عملکردهای غیرضروری استفاده میکنید، میتوانید از مقدار None استفاده کنید.
نکته: برای استفاده از SameSite، باید از HTTPS استفاده کنید.
امیدواریم این پست برای شما مفید بوده باشد.
#کوکی #SameSite #امنیت #وبسایت
@Sec_Hint
👍12❤1
⚠️برای شناخت اسیب پذیری های
CORS Misconfiguration, XSS, CSRF
یادگیری چند مورد ضروری است که در پست های زیر به ان ها اشاره شده :
DOM,BOM:
https://t.iss.one/sec_hint/180
CSP:
https://t.iss.one/sec_hint/181
SOP:
https://t.iss.one/sec_hint/182
Cookie & SameSite
https://t.iss.one/sec_hint/183
#پیشنیاز #xss #cors #csrf
@Sec_Hint
CORS Misconfiguration, XSS, CSRF
یادگیری چند مورد ضروری است که در پست های زیر به ان ها اشاره شده :
DOM,BOM:
https://t.iss.one/sec_hint/180
CSP:
https://t.iss.one/sec_hint/181
SOP:
https://t.iss.one/sec_hint/182
Cookie & SameSite
https://t.iss.one/sec_hint/183
#پیشنیاز #xss #cors #csrf
@Sec_Hint
Telegram
Security hint
👾DOM & BOM
DOM (Document Object Model):
ساختاری درختی است که تمام عناصر HTML و CSS یک صفحه وب را نشان میدهد. میتواند توسط اسکریپتهای سمت کلاینت (JavaScript) برای دسترسی و دستکاری محتوای صفحه، تعامل با کاربر و ارسال درخواستهای HTTP استفاده شود.
BOM…
DOM (Document Object Model):
ساختاری درختی است که تمام عناصر HTML و CSS یک صفحه وب را نشان میدهد. میتواند توسط اسکریپتهای سمت کلاینت (JavaScript) برای دسترسی و دستکاری محتوای صفحه، تعامل با کاربر و ارسال درخواستهای HTTP استفاده شود.
BOM…
👍4🔥3
🪝این سایت به درک کدهای تزریقی sql کمک میکنه:
https://rails-sqli.org/
#sql #sqli #sql_injection
@Sec_Hint
https://rails-sqli.org/
#sql #sqli #sql_injection
@Sec_Hint
❤3👍1
🧞♀️دو غول دنیای خط فرمان sh و zsh:
هر دو پوستههای خط فرمان (command line shells) هستند که به شما امکان میدهند با سیستمعامل خود تعامل داشته باشید. اما تفاوتهای کلیدی بین آنها وجود دارد که میتواند انتخاب پوسته مناسب را برای شما دشوار کند.
🚀کار پوستهها چیست؟
پوستهها رابط کاربری بین شما و سیستمعامل هستند. آنها دستورات شما را تفسیر میکنند، آنها را اجرا میکنند و نتایج را به شما نمایش میدهند. پوستهها همچنین میتوانند برای نوشتن اسکریپتها، برنامههای کوچک برای خودکارسازی وظایف، استفاده شوند.
🔁تفاوتهای sh و zsh:
•
•
پیشنهادات خودکار: zsh میتواند نام دستورات، فایلها و متغیرها را به طور خودکار پیشنهاد دهد.
تاریخچه قدرتمند: zsh به شما امکان میدهد به راحتی در تاریخچه دستورات خود جستجو و پیمایش کنید.
شخصیسازی: zsh به شما امکان میدهد پوسته خود را با تمها، افزونهها و تنظیمات مختلف شخصیسازی کنید.
.
•
💡انتخاب پوسته مناسب:
• اگر مبتدی هستید: sh یا bash ممکن است انتخابهای بهتری برای شما باشند. آنها سادهتر هستند و یادگیری آنها آسانتر است.
• اگر کاربر باتجربهای هستید: zsh ممکن است انتخاب بهتری برای شما باشد. ویژگیهای پیشرفته آن میتواند کارایی شما را افزایش دهد.
#bash #shell #linux #command #شل
@Sec_Hint
هر دو پوستههای خط فرمان (command line shells) هستند که به شما امکان میدهند با سیستمعامل خود تعامل داشته باشید. اما تفاوتهای کلیدی بین آنها وجود دارد که میتواند انتخاب پوسته مناسب را برای شما دشوار کند.
🚀کار پوستهها چیست؟
پوستهها رابط کاربری بین شما و سیستمعامل هستند. آنها دستورات شما را تفسیر میکنند، آنها را اجرا میکنند و نتایج را به شما نمایش میدهند. پوستهها همچنین میتوانند برای نوشتن اسکریپتها، برنامههای کوچک برای خودکارسازی وظایف، استفاده شوند.
🔁تفاوتهای sh و zsh:
•
تاریخچه: sh پوسته اصلی یونیکس بود که در دهه 1970 معرفی شد. bash در دهه 1980 به عنوان جایگزینی برای sh با ویژگیهای بیشتر معرفی شد. zsh در دهه 1990 به عنوان جایگزینی برای bash با ویژگیهای هنوز بیشتر معرفی شد.•
قابلیتها: zsh مجموعهای از ویژگیهای پیشرفته را ارائه میدهد که sh و bash ندارند، از جمله: پیشنهادات خودکار: zsh میتواند نام دستورات، فایلها و متغیرها را به طور خودکار پیشنهاد دهد.
تاریخچه قدرتمند: zsh به شما امکان میدهد به راحتی در تاریخچه دستورات خود جستجو و پیمایش کنید.
شخصیسازی: zsh به شما امکان میدهد پوسته خود را با تمها، افزونهها و تنظیمات مختلف شخصیسازی کنید.
.
•
پیچیدگی: zsh به دلیل ویژگیهای بیشتر، میتواند پیچیدهتر از sh و bash باشد.💡انتخاب پوسته مناسب:
• اگر مبتدی هستید: sh یا bash ممکن است انتخابهای بهتری برای شما باشند. آنها سادهتر هستند و یادگیری آنها آسانتر است.
• اگر کاربر باتجربهای هستید: zsh ممکن است انتخاب بهتری برای شما باشد. ویژگیهای پیشرفته آن میتواند کارایی شما را افزایش دهد.
#bash #shell #linux #command #شل
@Sec_Hint
👍7🔥3🤩1
📣 سلام به همراهان عزیز ❤️
این کانال با محوریت امنیت وب، پنتست و باگ بانتی ایجاد شده، تا افراد علاقمند به این حوزه را راهنمایی کنیم.
دانشی که برای شروع این حوزه لازم دارید در این پست گفته شده :
https://t.iss.one/sec_hint/106
و بعداز آن شناخت آسیب پذیری ها، اکسپلویت و...
که منابع و دانش لازم با شما به اشتراک گذاشته میشود.
به زودی از سایت Security Hint نیز میتونید استفاده کنید.
مارا دنبال کنید.🥰
🤭خبر های خوبی براتون داریم...
یوتیوب:
https://www.youtube.com/@sec_hint
@Sec_Hint
این کانال با محوریت امنیت وب، پنتست و باگ بانتی ایجاد شده، تا افراد علاقمند به این حوزه را راهنمایی کنیم.
دانشی که برای شروع این حوزه لازم دارید در این پست گفته شده :
https://t.iss.one/sec_hint/106
و بعداز آن شناخت آسیب پذیری ها، اکسپلویت و...
که منابع و دانش لازم با شما به اشتراک گذاشته میشود.
به زودی از سایت Security Hint نیز میتونید استفاده کنید.
مارا دنبال کنید.🥰
🤭
یوتیوب:
https://www.youtube.com/@sec_hint
@Sec_Hint
Telegram
Security hint
🧐پیشنیاز های شروع پن تست و باگ بانتی
1- Linux/ Bash
پیشنهاد میشه در سطح lpic1 از لینوکس بدونید
برای اتومیشن سازی نیازه bash بدونید
2- Network
باید به درک عمیقی از سه لایه OSI که سر و کار بیشتری برای پیدا کردن اسیب پذیری ها دارید، برسید.
- Application…
1- Linux/ Bash
پیشنهاد میشه در سطح lpic1 از لینوکس بدونید
برای اتومیشن سازی نیازه bash بدونید
2- Network
باید به درک عمیقی از سه لایه OSI که سر و کار بیشتری برای پیدا کردن اسیب پذیری ها دارید، برسید.
- Application…
🔥9👍4⚡1
✍🏻توی این رایتاب نکته های جالبی گفته شده همراه با یک متدولوژی
https://medium.com/@tom.sh/best-bug-hunting-methodology-for-ez-money-58b7fe928e6f
#writeup
@Sec_Hint
https://medium.com/@tom.sh/best-bug-hunting-methodology-for-ez-money-58b7fe928e6f
#writeup
@Sec_Hint
Medium
How to find bugs quickly
# ALOT OF CREDIT GOES TO “lostsec” ON YOUTUBE FOR THIS. big thanks to him you should definitely check his videos out, they’re a big help…
👍11
🛠 این ابزار به شما کمک میکنه که لیست urlهاتون رو تمیز کنید ...
https://github.com/s0md3v/uro
#tools #git_hub #uro
@Sec_Hint
https://github.com/s0md3v/uro
#tools #git_hub #uro
@Sec_Hint
👍16
⛔️ هشدار خطر XSS! ⛔️
یکی از راه های جلوگیری از حملات XSS در وب سایت های پایتونی استفاده از قطعه کد زیر است.
و خروجی قطعه کد بالا اینجا👇میباشد
و همینطور ک میبینید کاراکتر های خاص اسکیپ شدند ...
میتونید کد های مختلف رو با این متد امتحان کنید
#python #xss #پایتون
@Sec_Hint
یکی از راه های جلوگیری از حملات XSS در وب سایت های پایتونی استفاده از قطعه کد زیر است.
import htmlکه متد html.escape ورودی را فیلتر میکند
escaped_string = html.escape("<script>alert('xss');</script>")
print(escaped_string)
و خروجی قطعه کد بالا اینجا👇میباشد
<script>alert('xss');</script>
و همینطور ک میبینید کاراکتر های خاص اسکیپ شدند ...
میتونید کد های مختلف رو با این متد امتحان کنید
#python #xss #پایتون
@Sec_Hint
🔥15👍1
📝SQLi Cheat-Sheet
https://websec.wordpress.com/2010/12/04/sqli-filter-evasion-cheat-sheet-mysql/
#sqli #cheat_sheet
@Sec_Hint
https://websec.wordpress.com/2010/12/04/sqli-filter-evasion-cheat-sheet-mysql/
#sqli #cheat_sheet
@Sec_Hint
Reiners' Weblog
SQLi filter evasion cheat sheet (MySQL)
This week I presented my experiences in SQLi filter evasion techniques that I have gained during 3 years of PHPIDS filter evasion at the CONFidence 2.0 conference. You can find the slides here. For…
👍4