شرکت cloudflare آدرس dns جدیدش را که با اولویت حفاظت از حریم خصوصی سرویس میدهد، معرفی کرد.
https://blog.cloudflare.com/announcing-1111/
#dns
#cloudflare
#privacy
@sec_nerd
https://blog.cloudflare.com/announcing-1111/
#dns
#cloudflare
#privacy
@sec_nerd
یک خروجی عجیب از موتور جستجوی shodan!
https://twitter.com/dalmoz_/status/980427029547044864
#shodan
#iot
#airplane
@sec_nerd
https://twitter.com/dalmoz_/status/980427029547044864
#shodan
#iot
#airplane
@sec_nerd
اگر اهل سیزده بدر رفتن نیستید نگاهی به لیست فیلمهایی که به هکرها مربوط هست بندازید:
https://github.com/k4m4/movies-for-hackers/blob/master/readme.md
#movie
#hack
@sec_nerd
https://github.com/k4m4/movies-for-hackers/blob/master/readme.md
#movie
#hack
@sec_nerd
GitHub
movies-for-hackers/readme.md at master · k4m4/movies-for-hackers
🎬 A curated list of movies every hacker & cyberpunk must watch. - k4m4/movies-for-hackers
لیست هش های متعلق به دیتابیس Haveibeenpwned که حاوی ۵۰۰ میلیون هش بوده و ۹۹ درصد از آن کرک شده است.
https://hashes.org/leaks.php?id=515
حجم : ۵ گیگابایت
#hash
#crack
#password
#haveibeenpwned
@sec_nerd
https://hashes.org/leaks.php?id=515
حجم : ۵ گیگابایت
#hash
#crack
#password
#haveibeenpwned
@sec_nerd
hashes.org
Hashes.org - Leak 'Have I been Pwned V2'
Hashes.org is a community recovering password from submitted hashes.
زنجیره تامین یک شرکت امریکایی گاز طبیعی مورد حمله قرار گرفت.
این حمله یک پلتفرم نرم افزاری را که توسط شرکتی به نام Energy Services Group LLC ساخته شده و برای پردازش تراکنش های مصرف کنندگان کاربرد دارد، تحت تاثیر قرار داد.
گفته میشود این نرم افزار استفاده وسیعی در صنعت گاز دارد.
در این حمله شرکت تگزاسی انتقال انرژی با بیش از ۷۱ هزار مایل از خط لوله در خطر قرار گرفته است.
https://www.cyberscoop.com/major-u-s-pipeline-disrupted-cyberattack-transaction-software/
#news
#usa
#sdaca
#supply_chain
@sec_nerd
این حمله یک پلتفرم نرم افزاری را که توسط شرکتی به نام Energy Services Group LLC ساخته شده و برای پردازش تراکنش های مصرف کنندگان کاربرد دارد، تحت تاثیر قرار داد.
گفته میشود این نرم افزار استفاده وسیعی در صنعت گاز دارد.
در این حمله شرکت تگزاسی انتقال انرژی با بیش از ۷۱ هزار مایل از خط لوله در خطر قرار گرفته است.
https://www.cyberscoop.com/major-u-s-pipeline-disrupted-cyberattack-transaction-software/
#news
#usa
#sdaca
#supply_chain
@sec_nerd
Cyberscoop
Major U.S. pipeline hit by cyberattack on transaction software
A supply chain cyberattack has disrupted a customer transaction service for a network of U.S. natural gas companies, according to multiple news reports. It affected a software platform, developed by a company named Energy Services Group LLC, that is used…
بدافزار جدیدی با نام KevDroid که در قالب یک برنامه آنتی ویروس اندرویدی خود را معرفی کرده است اقدام به ارسال اطلاعات گوشی های همراه به سرورهای کنترل خود مینماید.
این رت که با نام Naver Defender کاربران را فریب میدهد کارهایی از قبیل ضبط تماس ها و اصوات، سرقت هیستوری مرورگر و فایلها،ایجاد دسترسی روت، سرقت تماسها، پیامکها و ایمیل ها و ... را انجام میدهد.
هنوز محققان گروه یا کشور خاصی را مسئول انتشار این رت نمیدانند اما کره جنوبی، کشور کره شمالی را عامل اصلی و پشتوانه این بدافزار میداند.
اطلاعات بیشتر:
https://thehackernews.com/2018/04/android-spying-trojan.html
#news
#android
#malware
@sec_nerd
این رت که با نام Naver Defender کاربران را فریب میدهد کارهایی از قبیل ضبط تماس ها و اصوات، سرقت هیستوری مرورگر و فایلها،ایجاد دسترسی روت، سرقت تماسها، پیامکها و ایمیل ها و ... را انجام میدهد.
هنوز محققان گروه یا کشور خاصی را مسئول انتشار این رت نمیدانند اما کره جنوبی، کشور کره شمالی را عامل اصلی و پشتوانه این بدافزار میداند.
اطلاعات بیشتر:
https://thehackernews.com/2018/04/android-spying-trojan.html
#news
#android
#malware
@sec_nerd
پلتفرم اجرای مسابقات فتح پرچم facebook
https://n0where.net/facebook-capture-the-flag-platform
#ctf
#platform
#facebook
@sec_nerd
https://n0where.net/facebook-capture-the-flag-platform
#ctf
#platform
@sec_nerd
هکرهای گروه FIN7 که پیش از این هتلهای ترامپ را مورد نفوذ قرار داده بودند،اینبار با هک کردن فروشگاههای خرده فروشی Hudson کانادا ، اطلاعات ۵ میلیون کارت اعتباری مشتریان آن را در دارک نت به فروش گذاشتند.
گروه FIN7 که با نام JokerStash نیز شناخته میشود به راه اندازی کمپین های اسکم و فیشینگ معروف است و اطلاعاتی که اخیرا از هادسن دزدیده است شامل کارتهای اعتباری مشتریان از ماه می ۲۰۱۷ تا کنون بوده است.
اطلاعات افراد در دارک نت با قیمتهای بسیار نازلی عرضه میشود بطوری که اطلاعات قسمتی از دیتای هک شده ی کاربران فیسبوک با قیمت 5.20 دلار و یک اکانت جیمیل با یک دلار بفروش میرسد.
اطلاعات بیشتر:
https://www.hackread.com/lord-taylor-saks-payment-cards-sold-on-dark-web/
#news
#usa
#canada
#breach
#hudson
@sec_nerd
گروه FIN7 که با نام JokerStash نیز شناخته میشود به راه اندازی کمپین های اسکم و فیشینگ معروف است و اطلاعاتی که اخیرا از هادسن دزدیده است شامل کارتهای اعتباری مشتریان از ماه می ۲۰۱۷ تا کنون بوده است.
اطلاعات افراد در دارک نت با قیمتهای بسیار نازلی عرضه میشود بطوری که اطلاعات قسمتی از دیتای هک شده ی کاربران فیسبوک با قیمت 5.20 دلار و یک اکانت جیمیل با یک دلار بفروش میرسد.
اطلاعات بیشتر:
https://www.hackread.com/lord-taylor-saks-payment-cards-sold-on-dark-web/
#news
#usa
#canada
#breach
#hudson
@sec_nerd
HackRead | Latest Cyber Crime - InfoSec- Tech - Hacking News
Lord & Taylor & Saks customers payment cards stolen, sold on Dark Web
The hackers selling the data on dark web belong to FIN7 group who was previously in the news for targeting Trump Hotels.
سلام خدمت تمامی اعضای محترم کانال امنیت اطلاعات🌺🌺🌺
همونطور که خبر دارید این روزها بحث اصلی محفلهای خبری،موضوع فیلتر شدن تلگرام هست.ما در کانال سعی کردیم به این موضوع نپردازیم و صبر کنیم تا تکلیف این قضیه کاملا روشن بشه و بعد اظهار نظر کنیم چون ما نه کارشناس امنیت ملی یا اقتصادیم و نه سیاسی کاری و جلب توجه مشکلی رو از ما حل میکنه.
هدف ما این هست که فقط فنی باشیم و هر موضوعی که مرتبط با حوزه آی تی هست رو از دید فنی بهش نگاه کنیم.
متاسفانه بعد از شروع بحث فیلترینگ تلگرام گویا دکمه کارشناسی بسیاری از افراد فشرده شده و خرد و کلان،باسواد و بیسواد همگی، مطابق عادت ما ایرانیها،نظرات کارشناسی و بعضا فضایی میدن و بی محابا در مورد همه موضوعات صحبت میکنن.
من خواستم فقط به موضوع اخیر و پیدا شدن باگ در سروش اشاره کنم.این رو اول بگم که من نه سروش رو نصب کردم،نه آی گپ نه بقیه چیزایی که اسماشون رو نمیدونم.
(حداقلش این بود که باید شما رو اینجا دعوت میکردم به کانالمون در یکی از این پیامرسانها)
فقط ایتا رو بدلیل کنجکاوی نصب کردم که اونهم از دید کاربری،ضغیف و پر ایراد هست فعلا.
چیزی که کار مارو راحت کرده این هست که مخاطبان ما همگی یا میتونم بگم بیش از ۹۰ درصد کارشناس هستن و میدونن که فرآیند توسعه نرم افزار یک لوپ تکرار شونده هست که دیباگ هم یک جزء مهم اون هست و پیدا شدن باگ در هر نرم افزاری طبیعی و عادیه و من خودم به عنوان یک برنامه نویس بارها هم باگ داشته کارهام و هم باگ از کارهای دیگران پیدا کردم و خیلی موضوع خارق العاده ای نیست.
این بین من سه گروه رو در نظر دارم.گروه اول مسئولان (مجلس یا شورای فجازی یا دولت یا هرکس دیگه) که میخوان یک شبه آشی رو بپزن که صد البته شدنی نیست و فقط باعث هدر رفتن بیت المال میشه. گروه دوم ما هستیم که بعنوان کاربران شبکه های اجتماعی باید بدونیم که هیچ نرم افزاری یک شبه قرار نیست راه صد ساله بره و از طرفی باید با کمی تامل بهترین گزینه پیش روی خودمون رو انتخاب کنیم.
اما گروه سوم که بیشترین ضربه رو از دو گروه قبل میخورن توسعه دهندگان هستن که هم مسئولان انتظار معجزه های یک شبه ازشون دارن و هم ما.
بهرحال هرچه که هست باید هرکسی در حوزه دانش خودش اظهار نظر کنه و سکوت هم جفاست اما زیاده روی و حرف توخالی زدن مشکلی رو از کسی حل نمیکنه.
در ادامه تصویری از یکی از پیامهای کاربران همین تلگرام براتون ارسال میکنم که در اون تلگرام شماره همه کاربران رو به اشتباه به نمایش درآورده بود.
#telegram
#sorush
#igap
#eitaa
@sec_nerd
همونطور که خبر دارید این روزها بحث اصلی محفلهای خبری،موضوع فیلتر شدن تلگرام هست.ما در کانال سعی کردیم به این موضوع نپردازیم و صبر کنیم تا تکلیف این قضیه کاملا روشن بشه و بعد اظهار نظر کنیم چون ما نه کارشناس امنیت ملی یا اقتصادیم و نه سیاسی کاری و جلب توجه مشکلی رو از ما حل میکنه.
هدف ما این هست که فقط فنی باشیم و هر موضوعی که مرتبط با حوزه آی تی هست رو از دید فنی بهش نگاه کنیم.
متاسفانه بعد از شروع بحث فیلترینگ تلگرام گویا دکمه کارشناسی بسیاری از افراد فشرده شده و خرد و کلان،باسواد و بیسواد همگی، مطابق عادت ما ایرانیها،نظرات کارشناسی و بعضا فضایی میدن و بی محابا در مورد همه موضوعات صحبت میکنن.
من خواستم فقط به موضوع اخیر و پیدا شدن باگ در سروش اشاره کنم.این رو اول بگم که من نه سروش رو نصب کردم،نه آی گپ نه بقیه چیزایی که اسماشون رو نمیدونم.
(حداقلش این بود که باید شما رو اینجا دعوت میکردم به کانالمون در یکی از این پیامرسانها)
فقط ایتا رو بدلیل کنجکاوی نصب کردم که اونهم از دید کاربری،ضغیف و پر ایراد هست فعلا.
چیزی که کار مارو راحت کرده این هست که مخاطبان ما همگی یا میتونم بگم بیش از ۹۰ درصد کارشناس هستن و میدونن که فرآیند توسعه نرم افزار یک لوپ تکرار شونده هست که دیباگ هم یک جزء مهم اون هست و پیدا شدن باگ در هر نرم افزاری طبیعی و عادیه و من خودم به عنوان یک برنامه نویس بارها هم باگ داشته کارهام و هم باگ از کارهای دیگران پیدا کردم و خیلی موضوع خارق العاده ای نیست.
این بین من سه گروه رو در نظر دارم.گروه اول مسئولان (مجلس یا شورای فجازی یا دولت یا هرکس دیگه) که میخوان یک شبه آشی رو بپزن که صد البته شدنی نیست و فقط باعث هدر رفتن بیت المال میشه. گروه دوم ما هستیم که بعنوان کاربران شبکه های اجتماعی باید بدونیم که هیچ نرم افزاری یک شبه قرار نیست راه صد ساله بره و از طرفی باید با کمی تامل بهترین گزینه پیش روی خودمون رو انتخاب کنیم.
اما گروه سوم که بیشترین ضربه رو از دو گروه قبل میخورن توسعه دهندگان هستن که هم مسئولان انتظار معجزه های یک شبه ازشون دارن و هم ما.
بهرحال هرچه که هست باید هرکسی در حوزه دانش خودش اظهار نظر کنه و سکوت هم جفاست اما زیاده روی و حرف توخالی زدن مشکلی رو از کسی حل نمیکنه.
در ادامه تصویری از یکی از پیامهای کاربران همین تلگرام براتون ارسال میکنم که در اون تلگرام شماره همه کاربران رو به اشتباه به نمایش درآورده بود.
#telegram
#sorush
#igap
#eitaa
@sec_nerd
امنیت اطلاعات
Photo
باز هم همه دوستان رو توصیه به فنی بودن میکنیم و انتقادی از پست اخیر کانال وب آموز داریم.
باز هم تکرار میکنم که ما طرفدار هیچ پیامرسانی نیستیم و این پست رو بدون در نظر گرفتن اینکه موضوع بحث سروش هست بخونید.
در تصویر شماره یک کانال وب آموز تصویری رو منتشر کرده که در اون یک تازه کار و به نوعی اسکید اقدام به استفاده از یک ابزار shell finder کرده و موفق شده یک شل رو در وبسایت سروش پیدا کنه.
نکته اول این هست که نشون میده این اسکید عزیز به دنبال شل در فولدر پلاگین akismet در وردپرس بوده که یک کار بسیار عبث و بیهوده ای برای تست نفوذ وردپرس هست.
از جناب جرجندی، با سابقه ی طولانی در امر امنیت وب، انتظار میرفت که به هیچ وجه به چنین تصویری استناد نکنه.
بنده بعد از دیدن این پست در وب آموز کنجکاو شدم تا سری به وبسایت سروش بزنم. با کمال تعجب دیدم که دایرکتوری اصلی سایت (یعنی https://soroush-app.ir) اصلا وردپرس نیست
و وردپرس در دایرکتوری https://soroush-app.ir/blog قرار داره و شلی که این اسکید پیدا کرده در محلی هست که اصلا وجود خارجی نداره!
این فرد به دنبال همچین چیزی بوده:
soroush-app.ir/wp-content/plugins/akismet/uploads.php
اگر به تصویر سوم نگاه کنید میبینید که با کمال تعجب، محل جایی که اسکید اون رو رنگ کرده تا مشخص نباشه با محل نمایش پیام 404 در وبسایت سروش یکی هست و این احتمال رو قوت میبخشه که اصلا شلی پیدا نشده!
و اما در تصویر دوم جناب جرجندی مشکل لود شدن سایت سروش رو ربط دادن به این شل خیالی و قطعیت بخشیدن به این قضیه و حتی خواننده رو نوید دادن به انتشار دیتای یوزرهای سروش در وبسایتهایی مثل pastebin!
امیدوارم در امر کارشناسی، حتی کارشناسان ما هم ترمز نبرن و بدونن که چی منتشر میکنن و دنبال چه چیزی هستن.
بازهم تاکید میکنم که بدون در نظر گرفتن سروش این متن رو بخونید و به عکسها نگاه کنید.
موفق باشید
#telegram
#soroush
@sec_nerd
باز هم تکرار میکنم که ما طرفدار هیچ پیامرسانی نیستیم و این پست رو بدون در نظر گرفتن اینکه موضوع بحث سروش هست بخونید.
در تصویر شماره یک کانال وب آموز تصویری رو منتشر کرده که در اون یک تازه کار و به نوعی اسکید اقدام به استفاده از یک ابزار shell finder کرده و موفق شده یک شل رو در وبسایت سروش پیدا کنه.
نکته اول این هست که نشون میده این اسکید عزیز به دنبال شل در فولدر پلاگین akismet در وردپرس بوده که یک کار بسیار عبث و بیهوده ای برای تست نفوذ وردپرس هست.
از جناب جرجندی، با سابقه ی طولانی در امر امنیت وب، انتظار میرفت که به هیچ وجه به چنین تصویری استناد نکنه.
بنده بعد از دیدن این پست در وب آموز کنجکاو شدم تا سری به وبسایت سروش بزنم. با کمال تعجب دیدم که دایرکتوری اصلی سایت (یعنی https://soroush-app.ir) اصلا وردپرس نیست
و وردپرس در دایرکتوری https://soroush-app.ir/blog قرار داره و شلی که این اسکید پیدا کرده در محلی هست که اصلا وجود خارجی نداره!
این فرد به دنبال همچین چیزی بوده:
soroush-app.ir/wp-content/plugins/akismet/uploads.php
اگر به تصویر سوم نگاه کنید میبینید که با کمال تعجب، محل جایی که اسکید اون رو رنگ کرده تا مشخص نباشه با محل نمایش پیام 404 در وبسایت سروش یکی هست و این احتمال رو قوت میبخشه که اصلا شلی پیدا نشده!
و اما در تصویر دوم جناب جرجندی مشکل لود شدن سایت سروش رو ربط دادن به این شل خیالی و قطعیت بخشیدن به این قضیه و حتی خواننده رو نوید دادن به انتشار دیتای یوزرهای سروش در وبسایتهایی مثل pastebin!
امیدوارم در امر کارشناسی، حتی کارشناسان ما هم ترمز نبرن و بدونن که چی منتشر میکنن و دنبال چه چیزی هستن.
بازهم تاکید میکنم که بدون در نظر گرفتن سروش این متن رو بخونید و به عکسها نگاه کنید.
موفق باشید
#telegram
#soroush
@sec_nerd
تست باگ کشف شده اخیر در کرنل لینوکس با شناسه CVE-2018-0492
$ curl https://holeybeep.ninja/am_i_vulnerable.sh | sudo bash
اگر صدای بیپ میشنوید، سیستم شما آسیب پذیر است!
#linux
#privesc
@sec_nerd
$ curl https://holeybeep.ninja/am_i_vulnerable.sh | sudo bash
اگر صدای بیپ میشنوید، سیستم شما آسیب پذیر است!
#linux
#privesc
@sec_nerd
کرک پسوردهای با طول بیش از ۲۵ کاراکتر توسط hashcat
https://bit.ly/2HaRRUG
#hash
#hashcat
#password
@sec_nerd
https://bit.ly/2HaRRUG
#hash
#hashcat
#password
@sec_nerd
انواع و اقسام روشهای اجرای حمله تزریق sql
https://securityonline.info/sql-injection-cheat-sheet/
#sqli
#web
#pentest
#database
@sec_nerd
https://securityonline.info/sql-injection-cheat-sheet/
#sqli
#web
#pentest
#database
@sec_nerd
Penetration Testing
SQL Injection Cheat Sheet • Penetration Testing
Undoubtedly one of the most famous and important in the world of Hacking and PenTest attacks are SQL injections , this is because the vast majority of systems use managers SQL Databases since in...