باگ xss از نوع reflected در مرورگر سفری با استفاده از هدرهای HTTP
https://lab.wallarm.com/the-good-the-bad-and-the-ugly-of-safari-in-client-side-attacks-56d0cb61275a
#xss
#safari
#mac
@sec_nerd
https://lab.wallarm.com/the-good-the-bad-and-the-ugly-of-safari-in-client-side-attacks-56d0cb61275a
#xss
#safari
#mac
@sec_nerd
Wallarm
👉The Good, The Bad and The Ugly of Safari in Client-Side Attacks
In this post, we will take a look at the possibility of a XSS exploit and a cookie compromise stemming from “unusual” Safari behavior.👍
نفوذ به ویندوز ۱۰ در شبکه محلی با استفاده از WPAD/PAC و JScript
https://googleprojectzero.blogspot.de/2017/12/apacolypse-now-exploiting-windows-10-in_18.html
#network
#windows
#pentest
@sec_nerd
https://googleprojectzero.blogspot.de/2017/12/apacolypse-now-exploiting-windows-10-in_18.html
#network
#windows
#pentest
@sec_nerd
googleprojectzero.blogspot.co.uk
aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript
by Ivan Fratric, Thomas Dullien, James Forshaw and Steven Vittitoe Intro Many widely-deployed technologies, viewed through 20/20 hind...
محققان کسپرسکای به تازگی بدافزاری کشف کردند که بر روی گوشیهای اندرویدی نصب شده و عملیات مختلفی را از روی گوشی اجرا میکند.
این بدافزار که Loapi نام دارد در دل برنامه گول زننده دیگری خود را وارد گوشی قربانی میکند.
کارهایی که Loapi انجام میدهد شامل : ماین کردن ارز دیجیتال، انجام حمله DDOS علیه اهدافی که کنترل کننده تعیین میکند، بادکردن باتری و خرابی سخت افزاری گوشی بعد از چند روز، تبلیغات تقلبی و ارسال درخواست های وب.
https://www.hackread.com/android-malware-loapi-attacks-phones-in-five-different-ways/
#news
#malware
#android
@sec_nerd
این بدافزار که Loapi نام دارد در دل برنامه گول زننده دیگری خود را وارد گوشی قربانی میکند.
کارهایی که Loapi انجام میدهد شامل : ماین کردن ارز دیجیتال، انجام حمله DDOS علیه اهدافی که کنترل کننده تعیین میکند، بادکردن باتری و خرابی سخت افزاری گوشی بعد از چند روز، تبلیغات تقلبی و ارسال درخواست های وب.
https://www.hackread.com/android-malware-loapi-attacks-phones-in-five-different-ways/
#news
#malware
#android
@sec_nerd
HackRead
New Android Malware Loapi Attacks Phones in Five Different Ways
Android phones have always remained the soft target of malicious threat actors since every now and then we hear about a new malware strain hitting
بالاخره پیلود metasploit برای iOS نیز ارائه شد.
https://github.com/rapid7/metasploit-framework/pull/9296
#ios
#msf
@sec_nerd
https://github.com/rapid7/metasploit-framework/pull/9296
#ios
#msf
@sec_nerd
بالا بردن سطح دسترسی در سیستم عامل های لینوکسی
https://chryzsh.gitbooks.io/pentestbook/privilege_escalation_-_linux.html
#linux
#privesc
#pentest
@sec_nerd
https://chryzsh.gitbooks.io/pentestbook/privilege_escalation_-_linux.html
#linux
#privesc
#pentest
@sec_nerd
شرکت کره ای Youbit که در زمینه بیت کوین فعالیت میکند پس از دو حمله سایبری که در طی ۸ ماه گذشته متحمل شد برای همیشه از دنیای اینترنت خداحافظی کرد.
در حمله اول که در آپریل گذشته رخ داد مقدار 3816.2028 بیت کوین به سرقت رفت و در حمله دوم علیرغم رعایت نکات امنیتی ۱۷ درصد از داراییهای این شرکت سرقت شد.
این شرکت با اعلام ورشکستگی تعطیل شد!
https://www.hackread.com/youbit-bitcoin-exchange-quits-operation-after-2-hacks/
#news
#btc
@sec_nerd
در حمله اول که در آپریل گذشته رخ داد مقدار 3816.2028 بیت کوین به سرقت رفت و در حمله دوم علیرغم رعایت نکات امنیتی ۱۷ درصد از داراییهای این شرکت سرقت شد.
این شرکت با اعلام ورشکستگی تعطیل شد!
https://www.hackread.com/youbit-bitcoin-exchange-quits-operation-after-2-hacks/
#news
#btc
@sec_nerd
HackRead
Youbit Bitcoin exchange quits operation after 2 hacks in 8 months
Hackers have hit South Korean Bitcoin exchange Youbit for the second time in a month forcing the Bitcoin trader to file for bankruptcy.
پلیس رومانی ۵ نفر را به جرم انتشار باج افزارهای CTB Locker و Cerber دستگیر کرد.
https://bit.ly/2DfTfCY
#news
#ransomware
@sec_nerd
https://bit.ly/2DfTfCY
#news
#ransomware
@sec_nerd
امارات با کمک افسرهای پیشین CIA در حال تقویت سیستم جاسوسی خود است که این تدابیر شامل قابلیتهای دفاعی و حمله ای سایبری نیز میباشد.
گزارش فارین پالیسی:https://atfp.co/2z90Eki
#uae
#usa
@sec_nerd
گزارش فارین پالیسی:https://atfp.co/2z90Eki
#uae
#usa
@sec_nerd
نوجوان 18 ساله بلژیکی بدلیل حمایت از داعش دستگیر شد.
فلورنتین که از ۱۴ سالگی طرفدار این گروه شده بود با راه اندازی برخی کانالهای خصوصی در تلگرام، شروع به ارسال ویدئوهای وحشتناک این گروه و تشویق به حمله کرد.
وی در حال ترک محل زندگی اش برای پیوستن به داعش در سوریه بود و گفته میشود نیمی از تبلیغات داعش به زبان فرانسوی توسط فلورنتین انجام شده است.
https://www.hln.be/nieuws/buitenland/-tiener-in-belgie-kopstuk-achter-is-propaganda~a748ea9e/
#isis
#telegram
@sec_nerd
فلورنتین که از ۱۴ سالگی طرفدار این گروه شده بود با راه اندازی برخی کانالهای خصوصی در تلگرام، شروع به ارسال ویدئوهای وحشتناک این گروه و تشویق به حمله کرد.
وی در حال ترک محل زندگی اش برای پیوستن به داعش در سوریه بود و گفته میشود نیمی از تبلیغات داعش به زبان فرانسوی توسط فلورنتین انجام شده است.
https://www.hln.be/nieuws/buitenland/-tiener-in-belgie-kopstuk-achter-is-propaganda~a748ea9e/
#isis
#telegram
@sec_nerd
hln.be
"Tiener in België kopstuk achter IS-propaganda"
Een kwart van alle IS-propaganda die in het Frans op de berichtendienst Telegram verscheen, zou zijn verspreid door één enkele tiener die in België woonde.
شل چند کاربره تحت وب که با فلسک نوشته شده است.
https://github.com/Den1al/JSShell
#Shell #WebSec #Pentest #Infosec
@sec_nerd
https://github.com/Den1al/JSShell
#Shell #WebSec #Pentest #Infosec
@sec_nerd
GitHub
GitHub - Den1al/JSShell: An interactive multi-user web JS shell
An interactive multi-user web JS shell. Contribute to Den1al/JSShell development by creating an account on GitHub.
موسس گروه هکرهای Lizard Squad و Poodle Corp در دپارتمان عدالت امریکا مجرم شناخته شد.
گروه لیزارد اسکواد که در سال 2014 اقدام به حملات دیداس علیه سرورهای بزرگ شرکتهای تکنولوژی و بازی میکرد پس از مدتی تحت نام پودل کورپ با قدرت بیشتر به میدان آمد و اکانتهای یوتیوب تعدادی از سلبریتی ها را هک و حملات دیداس سنگینی علیه سرورهای بازی بزرگ در دنیا انجام داد.
@sec_nerd
دو فرد اصلی دستگیر شده در سال 2016 با نام های Zachary Buchta بیست ساله از ایالت مریلند امریکا و Bradley Jan Willem van Rooy نوزده ساله از هلند بدلیل دزدی از حساب دیگران، نفوذ به کامپیوترهای محافظت شده و اقدام به حملات دیداس با ابزار LizardStresser مجرم شناخته شدند.
از جمله قربانیان بزرگ لیزارد اسکواد میتوان به آژانس جرایم ملی بریتانیا، سرورهای Blizzard، سرورهای Steam، پلی استیشن و ایکس باکس اشاره کرد.
و قربانیان پودل کورپ حسابهای یوتیوب WatchMojo، Redmercy، LeafyisHear و Lilly singh و دیداس علیه بلیزارد، League of Legends، Pokemon Go، GTA و پلی استیشن میباشد.
https://www.hackread.com/lizard-squad-poodlecorp-founder-guilty-to-ddos-attacks/
#ddos
#news
#lizardSquad
#poodleCorp
@sec_nerd
گروه لیزارد اسکواد که در سال 2014 اقدام به حملات دیداس علیه سرورهای بزرگ شرکتهای تکنولوژی و بازی میکرد پس از مدتی تحت نام پودل کورپ با قدرت بیشتر به میدان آمد و اکانتهای یوتیوب تعدادی از سلبریتی ها را هک و حملات دیداس سنگینی علیه سرورهای بازی بزرگ در دنیا انجام داد.
@sec_nerd
دو فرد اصلی دستگیر شده در سال 2016 با نام های Zachary Buchta بیست ساله از ایالت مریلند امریکا و Bradley Jan Willem van Rooy نوزده ساله از هلند بدلیل دزدی از حساب دیگران، نفوذ به کامپیوترهای محافظت شده و اقدام به حملات دیداس با ابزار LizardStresser مجرم شناخته شدند.
از جمله قربانیان بزرگ لیزارد اسکواد میتوان به آژانس جرایم ملی بریتانیا، سرورهای Blizzard، سرورهای Steam، پلی استیشن و ایکس باکس اشاره کرد.
و قربانیان پودل کورپ حسابهای یوتیوب WatchMojo، Redmercy، LeafyisHear و Lilly singh و دیداس علیه بلیزارد، League of Legends، Pokemon Go، GTA و پلی استیشن میباشد.
https://www.hackread.com/lizard-squad-poodlecorp-founder-guilty-to-ddos-attacks/
#ddos
#news
#lizardSquad
#poodleCorp
@sec_nerd
HackRead | Latest Cyber Crime - InfoSec- Tech - Hacking News
Lizard Squad & PoodleCorp Founder Pleads Guilty to DDoS Attacks
The founder of DDoS attacking groups Lizard Squad and PoodleCorp has pleaded guilty to targeting gaming giants like PSN and Xbox.
حرکت زیردریایی های روسی در اطراف کابلهای اینترنت در آتلانتیک شمالی موجب حساسیت ناتو شده است.
این کابلها که نقش ارتباطی برای اینترنت امریکای شمالی و اروپا را برعهده دارند روزانه تریلیونها دلار مبادلات مالی را جابجا میکنند و صدمه دیدن آنها باعث وارد آمدن ضربه مهلکی به اقتصاد کشورهای اروپایی و امریکا خواهد شد.
https://www.washingtonpost.com/world/europe/russian-submarines-are-prowling-around-vital-undersea-cables-its-making-nato-nervous/2017/12/22/d4c1f3da-e5d0-11e7-927a-e72eac1e73b6_story.html
#news
#russia
#usa
#europe
@sec_nerd
این کابلها که نقش ارتباطی برای اینترنت امریکای شمالی و اروپا را برعهده دارند روزانه تریلیونها دلار مبادلات مالی را جابجا میکنند و صدمه دیدن آنها باعث وارد آمدن ضربه مهلکی به اقتصاد کشورهای اروپایی و امریکا خواهد شد.
https://www.washingtonpost.com/world/europe/russian-submarines-are-prowling-around-vital-undersea-cables-its-making-nato-nervous/2017/12/22/d4c1f3da-e5d0-11e7-927a-e72eac1e73b6_story.html
#news
#russia
#usa
#europe
@sec_nerd
حمله هکرها به شعبه کانادای نیسان باعث سرقت اطلاعات 1.13 میلیون مشتری نیسان و Infiniti شد.
این حمله در ۱۱ دسامبر رخ داده و فقط مشتریان کانادایی آسیب دیده اند. در ضمن هیچ اطلاعاتی از حسابهای مالی افراد در این حمله سرقت نشده است.
https://www.hackread.com/nissan-canada-cyber-attack-customer-accounts-stolen/
#news
#nissan
#canada
@sec_nerd
این حمله در ۱۱ دسامبر رخ داده و فقط مشتریان کانادایی آسیب دیده اند. در ضمن هیچ اطلاعاتی از حسابهای مالی افراد در این حمله سرقت نشده است.
https://www.hackread.com/nissan-canada-cyber-attack-customer-accounts-stolen/
#news
#nissan
#canada
@sec_nerd
HackRead
Nissan Canada cyber attack; millions of customer accounts stolen
In a sophisticated cyber attack, Nissan Canada suffered a security breach in which 1.13 million customer data has been stolen.
کشف باگ خطرناک در برنامه کلاینت Fortinet به نام FortiClient
این باگ در مرحله لاگین قابلیت بالابردن سطح دسترسی را دارد.
CVE-2017-7344
جزییات بیشتر:https://securite.intrinsec.com/2017/12/22/cve-2017-7344-fortinet-forticlient-windows-privilege-escalation-at-logon/
#windows
#fortinet
#exploit
@sec_nerd
این باگ در مرحله لاگین قابلیت بالابردن سطح دسترسی را دارد.
CVE-2017-7344
جزییات بیشتر:https://securite.intrinsec.com/2017/12/22/cve-2017-7344-fortinet-forticlient-windows-privilege-escalation-at-logon/
#windows
#fortinet
#exploit
@sec_nerd
👎1
حقه های SQLMAP برا تزریق پیشرفته
https://www.trustwave.com/Resources/SpiderLabs-Blog/Sqlmap-Tricks-for-Advanced-SQL-Injection/
#sqli
#sqlmap
#pentest
#web
@sec_nerd
https://www.trustwave.com/Resources/SpiderLabs-Blog/Sqlmap-Tricks-for-Advanced-SQL-Injection/
#sqli
#sqlmap
#pentest
#web
@sec_nerd
Trustwave
Sqlmap Tricks for Advanced SQL Injection
Sqlmap is an awesome tool that automates SQL Injection discovery and exploitation processes. I normally use it for exploitation only because I prefer manual detection in order to avoid stressing the web server or being blocked by IPS/WAF devices. Below...