امنیت اطلاعات
استاندارد جدید security.txt برای وبسایت ها، معادل robots.txt برای امنیت ادمین ها و برنامه های کشف باگ https://github.com/EdOverflow/security-txt #security #web #bounty @sec_nerd
سه وبسایت گوگل، فیسبوک و تامبلر به فایل security.txt مجهز شدند:
https://www.google.com/.well-known/security.txt
https://www.tumblr.com/.well-known/security.txt
https://www.facebook.com/.well-known/security.txt
#security
#web
@sec_nerd
https://www.google.com/.well-known/security.txt
https://www.tumblr.com/.well-known/security.txt
https://www.facebook.com/.well-known/security.txt
#security
#web
@sec_nerd
یک کارشناس امنیت موفق شد در ۱۷ مدل از دستگاه های Netgear آسیب پذیری از نوع خطرناک کشف کند.
این آسیب پذیری که از نوع دور زدن مکانیزم احراز هویت از راه دور است ، منجر به خواندن فایل دلخواه و اجرای دستور می شود:
https://www.trustwave.com/Resources/SpiderLabs-Blog/Multiple-Vulnerabilities-in-NETGEAR-Routers/
#netgear
#explot
#rce
#network
@sec_nerd
این آسیب پذیری که از نوع دور زدن مکانیزم احراز هویت از راه دور است ، منجر به خواندن فایل دلخواه و اجرای دستور می شود:
https://www.trustwave.com/Resources/SpiderLabs-Blog/Multiple-Vulnerabilities-in-NETGEAR-Routers/
#netgear
#explot
#rce
#network
@sec_nerd
Trustwave
Multiple Vulnerabilities in NETGEAR Routers
Last year I discovered multiple vulnerabilities in NETGEAR products. Now that these vulnerabilities have gone through the disclosure process and have been patched we can discuss the technical details. TWSL2018-002: Password Recovery and File Access on Some…
برای دوستی که تقاضای راه حلی برای سینک کردن پسوردها بین پی سی و تلفن همراه رو داشتند بنظر میرسه مطمئن ترین و راحت ترین ابزار، smart lock گوگل هست که قابلیت سینک کردن پسوردها در گوشی و مرورگر کروم رو داره.
توضیحات بیشتر رو در لینک زیر مشاهده کنید:
https://www.greenbot.com/article/2936526/how-to-use-google-to-sync-all-your-passwords.html
#google
#lastpass
#smartlock
#password
@sec_nerd
توضیحات بیشتر رو در لینک زیر مشاهده کنید:
https://www.greenbot.com/article/2936526/how-to-use-google-to-sync-all-your-passwords.html
#lastpass
#smartlock
#password
@sec_nerd
Greenbot
How to use Google to sync all your passwords
Securely store your passwords with Google and forget about the need to pay for a password manager.
کرک کردن هش های SHA-512 دستگاه های سیسکو ASA با استفاده از hashcat
https://www.attackdebris.com/?p=451
#hashcat
#cisco
#hash
@sec_nerd
https://www.attackdebris.com/?p=451
#hashcat
#cisco
#hash
@sec_nerd
Attack Debris
Cracking Cisco ASA SHA-512 Hashes with Hashcat
I haven’t seen too much detail around about how to crack Cisco ASA PBKDF2 (Password-Based Key Derivation Function 2) SHA-512 hashes, which I believe have been supported in some ASA …
امنیت اطلاعات
این دیتابیس حاوی اطلاعات ۱۴۳ میلیون شهروند امریکا هست. اطلاعاتی از قبیل social security number و اطلاعات شخصی افراد
طبق اخبار جدید منتشر شده توسط وال استریت ژورنال، هک شدن شرکت Equifax ابعاد وخیم تری داشته است که توسط مسئولان این شرکت اعلام نشد!
طبق اعلام الیزابت وارن که مدیر اجرایی موقت شرکت بود، هکرها توانستند تمامی آدرس میل ها، لایسنس ها و همینطور شماره های شناسایی مالیاتی مشتریان را نیز بدست آورند.
این حمله با استفاده از آسیب پذیری موجود در apache struts صورت گرفته بود.
https://www.hackread.com/equifax-breach-way-bigger-than-initially-thought/
#equifax
#news
#breach
#apache
#struts2
@sec_nerd
طبق اعلام الیزابت وارن که مدیر اجرایی موقت شرکت بود، هکرها توانستند تمامی آدرس میل ها، لایسنس ها و همینطور شماره های شناسایی مالیاتی مشتریان را نیز بدست آورند.
این حمله با استفاده از آسیب پذیری موجود در apache struts صورت گرفته بود.
https://www.hackread.com/equifax-breach-way-bigger-than-initially-thought/
#equifax
#news
#breach
#apache
#struts2
@sec_nerd
HackRead
Turns out Equifax breach was way bigger than initially thought
Equifax suffered a hack attack in 2017 in which 143 million customer data was stolen - It turns out that Equifax didn't fully reveal what exactly was stolen.
MySQL UDF Exploitation
https://osandamalith.com/2018/02/11/mysql-udf-exploitation/
#sqli
#pentest
#web
@sec_nerd
https://osandamalith.com/2018/02/11/mysql-udf-exploitation/
#sqli
#pentest
#web
@sec_nerd
تولید بکدورهای غیرقابل شناسایی و رمزنگاری شده با استفاده از Tophat
https://github.com/Eitenne/TopHat
#msf
#malware
#backdoor
@sec_nerd
https://github.com/Eitenne/TopHat
#msf
#malware
#backdoor
@sec_nerd
مجموعه اسکریپت های Invoke-TheHash که دارای توابعی برای انجام عملیات pass the hash با استفاده از wmi و smb میباشد.
https://github.com/Kevin-Robertson/Invoke-TheHash
#windows
#pentest
#network
#smb
#wmi
#ps
@sec_nerd
https://github.com/Kevin-Robertson/Invoke-TheHash
#windows
#pentest
#network
#smb
#wmi
#ps
@sec_nerd
GitHub
GitHub - Kevin-Robertson/Invoke-TheHash: PowerShell Pass The Hash Utils
PowerShell Pass The Hash Utils. Contribute to Kevin-Robertson/Invoke-TheHash development by creating an account on GitHub.
مراسم افتتاحیه بازی های زمستانی در پیونگ چانگ کره جنوبی با مشکلات فنی همراه بود. این مشکلات که در بخشی از سیستم های کامپیوتری ایجاد شد بعد از حدود ۱۲ ساعت برطرف گردید اما مسئولان برگزاری این بازیها اعلام کردند که این مشکل ناشی از یک حمله سایبری بوده است.
@sec_nerd
روش آلوده سازی این سیستم ها برای کارشناسان مبهم است اما هدف از انجام آن بهم ریختن اجرای این مراسم و در کل بازیهای زمستانی بوده است.
اطلاعاتی به سرقت نرفته است و در نمونه ای از بدافزار کدها عملیاتی شبیه به PsExec داشته اند. هدف این بدافزار پاک کردن shadow copyها و لاگها و استفاده از PsExec و wmi برای انتشار خود در شبکه بوده است.
این عملیات مشابه کاریست که BadRabbit و Nyetya انجام داده اند.
اطلاعات بیشتر را از بلاگ تالوس شرکت سیسکو دریافت کنید:
https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
🌺🌺انتشار فقط با ذکر منبع🌺🌺
#nk
#winterGames
#malware
#windows
#smb
#wmi
@sec_Nerd
@sec_nerd
روش آلوده سازی این سیستم ها برای کارشناسان مبهم است اما هدف از انجام آن بهم ریختن اجرای این مراسم و در کل بازیهای زمستانی بوده است.
اطلاعاتی به سرقت نرفته است و در نمونه ای از بدافزار کدها عملیاتی شبیه به PsExec داشته اند. هدف این بدافزار پاک کردن shadow copyها و لاگها و استفاده از PsExec و wmi برای انتشار خود در شبکه بوده است.
این عملیات مشابه کاریست که BadRabbit و Nyetya انجام داده اند.
اطلاعات بیشتر را از بلاگ تالوس شرکت سیسکو دریافت کنید:
https://blog.talosintelligence.com/2018/02/olympic-destroyer.html
🌺🌺انتشار فقط با ذکر منبع🌺🌺
#nk
#winterGames
#malware
#windows
#smb
#wmi
@sec_Nerd
Cisco Talos Blog
Olympic Destroyer Takes Aim At Winter Olympics
This blog post is authored by Warren Mercer and Paul Rascagneres. Ben Baker and Matthew Molyett contributed to this post.
Update 2/13 08:30 We have updated the information regarding the use of stolen credentials
Update 2/12 12:00: We have updated the destructor…
Update 2/13 08:30 We have updated the information regarding the use of stolen credentials
Update 2/12 12:00: We have updated the destructor…
هکرها در روز سوم فوریه یک شرکت پخش ماریجوانا را در ایالت واشنگتن هک کردند.
این شرکت که Leaf Data Systems نام دارد حاوی اطلاعات تحویل ماریجوانا به مشتریان خود بوده است و جزئیاتی مانند اطلاعات خودروهای حمل و نقشه های مسیرهای آنان به همراه شماره پلاکها و غیره در این حمله به سرقت رفت.
https://www.hackread.com/washington-state-marijuana-tracking-system-hacked/
#usa
#news
#mj
#breach
@sec_nerd
این شرکت که Leaf Data Systems نام دارد حاوی اطلاعات تحویل ماریجوانا به مشتریان خود بوده است و جزئیاتی مانند اطلاعات خودروهای حمل و نقشه های مسیرهای آنان به همراه شماره پلاکها و غیره در این حمله به سرقت رفت.
https://www.hackread.com/washington-state-marijuana-tracking-system-hacked/
#usa
#news
#mj
#breach
@sec_nerd
HackRead
Washington State Marijuana Tracking System Hacked to Steal Route Data
Problems for Washington Marijuana Industry Twofold After New Marijuana-Tracking Software Hack - Hackers steal route data.
شرکت ایتالیایی BitGrail که در زمینه ارز دیجیتال و بطور خاص ارز XRB که اخیرا به Nano تغییر نام داده فعالیت میکند، هک شد و مقدار ۱۷ میلیون نانو که معادل ۱۷۰ میلیون دلار است، از دارایی های این شرکت توسط هکرها سرقت شد.
شرکت بیت گریل جزو بزرگترین سایتهای تبادل نانو است.
چندی پیش شرکت ژاپنی CoinCheck نیز هک شد و معادل 500 میلیون دلار از ارز دیجیتال خود را از دست داد.
https://t.iss.one/sec_nerd/1671
منبع:
https://www.techspot.com/amp/news/73226-170-million-worth-nano-goes-missing-cryptocurrency-exchange.html
#btc
#xrb
#cryptocurrency
#news
#italia
#nano
@sec_nerd
شرکت بیت گریل جزو بزرگترین سایتهای تبادل نانو است.
چندی پیش شرکت ژاپنی CoinCheck نیز هک شد و معادل 500 میلیون دلار از ارز دیجیتال خود را از دست داد.
https://t.iss.one/sec_nerd/1671
منبع:
https://www.techspot.com/amp/news/73226-170-million-worth-nano-goes-missing-cryptocurrency-exchange.html
#btc
#xrb
#cryptocurrency
#news
#italia
#nano
@sec_nerd
Telegram
امنیت اطلاعات
شرکت ژاپنی CoinCheck که یک شرکت فعال در زمینه ارز دیجیتال است توسط هکرها هک شد و معادل 532 میلیون دلار از سرمایه این شرکت به سرقت رفت.
این سرقت بزرگترین سرقت تاریخ ارز دیجیتال به حساب می آید.
https://vulners.com/thn/THN:87F2927C61EAB9B5719344E03100C5EC
…
این سرقت بزرگترین سرقت تاریخ ارز دیجیتال به حساب می آید.
https://vulners.com/thn/THN:87F2927C61EAB9B5719344E03100C5EC
…
فردی که قصد داشت دیتابیس محل کار قبلی خود را بفروشد دستگیر شد.
این فرد که در یک شرکت خدمات وام (فکر میکنم واژه قرض الحسنه برای اسم این موسسه معادل خوبی باشه!) مشغول بکار بوده است پس از ترک کار خود دیتابیس این موسسه را با قیمت 4هزار دلار برای فروش در اینترنت گذاشته است.
این مرد به پلیس گفته است که از یک آسیب پذیری برای دسترسی به دیتابیس شرکت استفاده کرده و اطلاعات آن را سرقت نموده است. دیتابیس حاوی اطلاعات حساس شرکت و همچنین مشتریان آن بوده است.
https://www.bleepingcomputer.com/news/security/former-employee-arrested-for-trying-to-sell-companys-database-for-4-000/
#news
#breach
#ukraine
@sec_nerd
این فرد که در یک شرکت خدمات وام (فکر میکنم واژه قرض الحسنه برای اسم این موسسه معادل خوبی باشه!) مشغول بکار بوده است پس از ترک کار خود دیتابیس این موسسه را با قیمت 4هزار دلار برای فروش در اینترنت گذاشته است.
این مرد به پلیس گفته است که از یک آسیب پذیری برای دسترسی به دیتابیس شرکت استفاده کرده و اطلاعات آن را سرقت نموده است. دیتابیس حاوی اطلاعات حساس شرکت و همچنین مشتریان آن بوده است.
https://www.bleepingcomputer.com/news/security/former-employee-arrested-for-trying-to-sell-companys-database-for-4-000/
#news
#breach
#ukraine
@sec_nerd
BleepingComputer
Former Employee Arrested for Trying to Sell Company's Database for $4,000
Officers from Ukraine's Cyber Police Department arrested a suspect last week for attempting to sell customer data belonging to his former employer.
رت پایتونی caesarRat که به شما اجازه میدهد از طریق مرورگر در سیستم خود قربانی را با ارتباط HTTP کنترل کنید:
https://github.com/0blio/caesarRAT
#rat
#python
#http
@sec_nerd
https://github.com/0blio/caesarRAT
#rat
#python
#http
@sec_nerd
تحلیل آسیب پذیری رابط ویندوزی تلگرام که توسط روسها برای انتشار بدافزار مورد استفاده قرار گرفت.
https://securelist.com/zero-day-vulnerability-in-telegram/83800/
#telegram
#malware
#russia
@sec_Nerd
https://securelist.com/zero-day-vulnerability-in-telegram/83800/
#telegram
#malware
#russia
@sec_Nerd
tcpTrigger
سورس کد ابزاری که ارتباطات ورودی در پورتهای مشخص شده را به شما اطلاع میدهد.
https://github.com/R-Smith/tcpTrigger
#windows
#security
@sec_nerd
سورس کد ابزاری که ارتباطات ورودی در پورتهای مشخص شده را به شما اطلاع میدهد.
https://github.com/R-Smith/tcpTrigger
#windows
#security
@sec_nerd
امنیت اطلاعات
مراسم افتتاحیه بازی های زمستانی در پیونگ چانگ کره جنوبی با مشکلات فنی همراه بود. این مشکلات که در بخشی از سیستم های کامپیوتری ایجاد شد بعد از حدود ۱۲ ساعت برطرف گردید اما مسئولان برگزاری این بازیها اعلام کردند که این مشکل ناشی از یک حمله سایبری بوده است. @sec_nerd…
تحلیل کامل بدافزار Wiper که در المپیک زمستانی اخلال ایجاد کرد:
https://www.joesandbox.com/analysis/46216/0/html
#malware
#sk
#OlympicGames2018
@sec_nerd
https://www.joesandbox.com/analysis/46216/0/html
#malware
#sk
#OlympicGames2018
@sec_nerd