تکنیک های استفاده از آسیب پذیری SSRF در php
https://medium.com/secjuice/php-ssrf-techniques-9d422cb28d51
#php
#web
#pentest
#ssrf
@sec_nerd
https://medium.com/secjuice/php-ssrf-techniques-9d422cb28d51
#php
#web
#pentest
#ssrf
@sec_nerd
Medium
PHP SSRF Techniques
How to bypass filter_var(), preg_match() and parse_url()
محققان دانشگاهی در سوئد و انگلیس موفق شدند با استفاده از اسپیکرهای گوشی های همراه پترن های بازگشایی را بدست آورند.
ایده اصلی در این روش SonarSnoop نام دارد و موقعیت انگشت کاربر را بر روی صفحه دنبال میکند.
این تکنیک از یک برنامه جاسوس که امواج صوتی را از اسپیکرهای پایین و بالای گوشی ، در فرکانسهایی که قابل شنیدن نیست (بین ۱۸ تا ۲۰ کیلوهرتز) منتشر میکند، بهره میبرد.
سپس برنامه با دریافت انعکاس امواج منتشر شده، پس از برخورد با اشیاء نزدیک، که در این مورد انگشت کاربر است، دیتا را جمع آوری کرده و با استفاده از تکنیک های یادگیری ماشین پترن های ممکن برای بازگشایی گوشی را حدس میزند.
روش مذکور بر روی گوشی سامسونگ گلکسی اس ۴ با ورژن اندروید 5.0.1 آزمایش شده است.
ایده SonarSnoop هنوز در ابتدای راه است و برای کامل شدن نیاز به زمان دارد. ایده اولیه این طرح از FingerIO گرفته شده است. این ایده برای بهبود عملکرد ساعت های هوشمند بکار رفت بطوری که کاربر میتواند با کشیدن خطوط بر روی دست خود در نزدیکی ساعت هوشمند، پیامی را به ساعت ارسال کند که این پیام نوعی برقراری ارتباط غیرمستقیم با صفحه لمسی آن می باشد.
لینک مقاله منتشر شده:
https://arxiv.org/pdf/1808.10250v1.pdf
لینک خبر:
https://www.zdnet.com/article/sonarsnoop-attack-can-steal-smartphone-unlock-patterns/
#android
#iphone
#sonar
#misc
@sec_nerd
ایده اصلی در این روش SonarSnoop نام دارد و موقعیت انگشت کاربر را بر روی صفحه دنبال میکند.
این تکنیک از یک برنامه جاسوس که امواج صوتی را از اسپیکرهای پایین و بالای گوشی ، در فرکانسهایی که قابل شنیدن نیست (بین ۱۸ تا ۲۰ کیلوهرتز) منتشر میکند، بهره میبرد.
سپس برنامه با دریافت انعکاس امواج منتشر شده، پس از برخورد با اشیاء نزدیک، که در این مورد انگشت کاربر است، دیتا را جمع آوری کرده و با استفاده از تکنیک های یادگیری ماشین پترن های ممکن برای بازگشایی گوشی را حدس میزند.
روش مذکور بر روی گوشی سامسونگ گلکسی اس ۴ با ورژن اندروید 5.0.1 آزمایش شده است.
ایده SonarSnoop هنوز در ابتدای راه است و برای کامل شدن نیاز به زمان دارد. ایده اولیه این طرح از FingerIO گرفته شده است. این ایده برای بهبود عملکرد ساعت های هوشمند بکار رفت بطوری که کاربر میتواند با کشیدن خطوط بر روی دست خود در نزدیکی ساعت هوشمند، پیامی را به ساعت ارسال کند که این پیام نوعی برقراری ارتباط غیرمستقیم با صفحه لمسی آن می باشد.
لینک مقاله منتشر شده:
https://arxiv.org/pdf/1808.10250v1.pdf
لینک خبر:
https://www.zdnet.com/article/sonarsnoop-attack-can-steal-smartphone-unlock-patterns/
#android
#iphone
#sonar
#misc
@sec_nerd
ZDNet
SonarSnoop attack can steal smartphone unlock patterns
SonarSnoop technique transforms smartphones into mini sonar systems to track a user's finger across the screen and steal phone unlock patterns.
امنیت اطلاعات
سلام خدمت دوستان عزیز احتمالا شما هم با این افراد در فضای سایبری برخورد کردید که یا هنرمند هستن یا ورزشکار و یا جزو افراد مشهور در فضای مجازی به حساب میان و امنیت پیج اینستاگرامشون رو سپردن به فردی و با عنوان «آقای ایکس مسئول امنیت پیج» و یا عناوین مشابه،…
نابغه جهانی که مسئول امنیت پیج رابعه اسکویی شده بود متاسفانه از عهده مسئولیتش برنیومد . پست بعدی رو ببینید!
#instagram
#con_man
@sec_nerd
#con_man
@sec_nerd
امنیت اطلاعات
نابغه جهانی که مسئول امنیت پیج رابعه اسکویی شده بود متاسفانه از عهده مسئولیتش برنیومد . پست بعدی رو ببینید! #instagram #con_man @sec_nerd
This media is not supported in your browser
VIEW IN TELEGRAM
البته فیلم ۱۰۰ درصد قابل اطمینان نیست اما بدونید در حقیقت هم این نوابغ اینستاگرامی در همین حدن!
#instagram
@sec_nerd
@sec_nerd
امنیت اطلاعات
البته فیلم ۱۰۰ درصد قابل اطمینان نیست اما بدونید در حقیقت هم این نوابغ اینستاگرامی در همین حدن! #instagram @sec_nerd
از دسترس خارج بودن صفحه رابعه اسکویی میتونه تایید کننده هک شدن پیجش هم باشه.
پیش از این در مورد سیستم اطلاعاتی کشور امارات که ارتباطاتی با ماموران CIA دارد مطلبی منتشر کردیم. (https://t.iss.one/sec_nerd/1461)
اخیرا اسنادی از ارتباط امارات با گروه های هکرهای دولتی اسراییلی نیز منتشر شده است.
در ماه جولای مصاحبه ای با یک شرکت امنیت سایبری اماراتی با نام DarkMatter انجام شد که وظیفه خود را محافظت از سازمانهای بزرگ اعلام کرد. از سازمانهای حکومتی تا بخش خصوصی.
مصاحبه شونده (برای بدست آوردن شغل در شرکت امنیتی دارک متر) شخصی به نام Margaritelli بود که خود پیش از این یک هکر کلاه سیاه بود. مارگاریتلی توسعه دهنده ابزار معروف Bettercap نیز هست.
در ابتدای مصاحبه، سخنگوی کمپانی اعلام کرد که آنها کاوشگرهایی را در سطح شهرهای بزرگ امارات پیاده کرده اند و قرار است تیمی از هکرها به این شبکه نفوذ کرده و دسترسی را برای دارک مَتِر و کارفرمایش (حکومت) فراهم کنند. این کار در راستای اهداف امنیت ملی انجام میشود.
مارگاریتلی اما پس از انتشار مقاله ای تحت عنوان «چگونه امارات تلاش کرد که برای جاسوسی از شهروندانش من را استخدام کند» پیشنهاد کاری را رد کرد.
فردی که به گفته مارگاریتلی با او مصاحبه کرده بود بعدها طی ایمیلی اعلام کرد که این مصاحبه حقیقت ندارد و او ارتباطی با دارک متر نداشته است، اما شواهد نشان میدهد که کوین هیلی کارمند دارک متر بوده و حساب ایمیلی نیز در این شرکت دارد.
شاید این حرف که این شرکت اماراتی در حال جاسوسی از شهروندان است در ابتدا کمی اغراق آمیز به حساب آید اما تحقیقات بعدی intercept نشان میدهد که این ماجرا حقیقت دارد.
https://theintercept.com/2016/10/24/darkmatter-united-arab-emirates-spies-for-hire/
حال بعد از ماجرای جاسوسی از شهروندان و دریافت آموزش از ماموران کهنه کار CIA خبری در خصوص استفاده حکومت امارات از یک جاسوس افزار اسراییلی منتشر شده است. ابزاری که گوشی های هوشمند افراد مخالف حکومت را تبدیل به دستگاههای جاسوسی میکند.
طبق ایمیل های لو رفته در دادخواستها علیه گروه NSO که سازنده جاسوس افزار مذکور و یکی از پیمانکاران سیستم اطلاعاتی اسراییل نیز هست، پیشنهاد فروش آپدیت گرانقیمت این ابزار به اماراتی ها ارائه شده و آنها نیز خواسته اند تا در خصوص کارایی ابزار اطمینان حاصل کنند.
جاسوسی از تلفن امیر قطر؟ جاسوسی از شاهزادگان بانفوذ سعودی که مسئولیت گارد پادشاهی را برعهده دارند؟ یا یک نویسنده عرب در روزنامه لندنی؟
«لطفا دو رکورد ضمیمه را ببینید» پاسخ شرکت NSO به ایمیل اماراتی ها پس از ۴ روز. دو رکورد از تماسهای عبدالعزیز الخمیس، نویسنده عربستانی روزنامه لندنی ME Affairs که از جاسوسی از خود بی اطلاع بوده است.
روش کار این برنامه بدین صورت است که ابتدا پیامکی برای قربانی ارسال میشود تا او را به باز کردن لینک ترغیب کند. پس از باز کردن لینک جاسوس افزار Pegasus بصورت مخفیانه دانلود میشود و به تماسها و ایمیلها و شماره های ذخیره شده دسترسی میابد.
حتی ممکن است صداهای اطراف را نیز ضبط کند.
اسناد مرتبط با امارات نشان میدهد که فردی از NSO بصورت خاص پیشنهاد متن خاصی را برای پیامکها به اماراتیها داده است که ظاهرا برای کشورهای حوزه خلیج فارس (نیویورک تایمز از واژه Persian Gulf استفاده کرده) و با عناوینی مثل تخفیف های رمضان و محافظت از ترکیدن لاستیکهای خودرو در گرما، تهیه شده اند.
در طی یک سال و نیم شرکت NSO مبلغ ۱۸ میلیون دلار از امارات دریافت کرده است.
اماراتی ها همچنین در سال ۲۰۱۴ سعی داشتند تماسهای تلفنی امیر قطر را نیز بدست آورند.
لیست قربانیان حاوی نام متعب بن عبدلله سعودی نیز بود،کسی که پس از حمایت اماراتی ها از محمد بن سلمان، از قدرت کنار زده شد و برای مدتی نیز در بازداشت بود.
طبق ایمیلها، اماراتی ها درخواست هک کردن گوشی سعد حریری، نخست وزیر لبنان را نیز داشتند. سعد حریری نیز توسط بن سلمان مدتی بازداشت شد.
پس از توافق عربستان و امارات در تحریم قطر، بیش از ۱۵۹ عضو از خانواده سلطنتی قطر توسط NSO هدف قرار گرفتند که گزارشی از ۱۳ فرد سطح بالا در این لیست به اماراتی ها داده شد.
در حال حاضر دو شکایت از شرکت NSO و اماراتی ها ثبت شده است که هنوز پاسخی از سوی این دو ارائه نشده است.
https://www.nytimes.com/2018/08/31/world/middleeast/hacking-united-arab-emirates-nso-group.html
https://en.wikipedia.org/wiki/NSO_Group
🌺🌺انتشار فقط با ذکر منبع 🌺🌺
#news
#uae
#usa
#israel
#ksa
#iran
#qatar
#privacy
#war
@sec_nerd
اخیرا اسنادی از ارتباط امارات با گروه های هکرهای دولتی اسراییلی نیز منتشر شده است.
در ماه جولای مصاحبه ای با یک شرکت امنیت سایبری اماراتی با نام DarkMatter انجام شد که وظیفه خود را محافظت از سازمانهای بزرگ اعلام کرد. از سازمانهای حکومتی تا بخش خصوصی.
مصاحبه شونده (برای بدست آوردن شغل در شرکت امنیتی دارک متر) شخصی به نام Margaritelli بود که خود پیش از این یک هکر کلاه سیاه بود. مارگاریتلی توسعه دهنده ابزار معروف Bettercap نیز هست.
در ابتدای مصاحبه، سخنگوی کمپانی اعلام کرد که آنها کاوشگرهایی را در سطح شهرهای بزرگ امارات پیاده کرده اند و قرار است تیمی از هکرها به این شبکه نفوذ کرده و دسترسی را برای دارک مَتِر و کارفرمایش (حکومت) فراهم کنند. این کار در راستای اهداف امنیت ملی انجام میشود.
مارگاریتلی اما پس از انتشار مقاله ای تحت عنوان «چگونه امارات تلاش کرد که برای جاسوسی از شهروندانش من را استخدام کند» پیشنهاد کاری را رد کرد.
فردی که به گفته مارگاریتلی با او مصاحبه کرده بود بعدها طی ایمیلی اعلام کرد که این مصاحبه حقیقت ندارد و او ارتباطی با دارک متر نداشته است، اما شواهد نشان میدهد که کوین هیلی کارمند دارک متر بوده و حساب ایمیلی نیز در این شرکت دارد.
شاید این حرف که این شرکت اماراتی در حال جاسوسی از شهروندان است در ابتدا کمی اغراق آمیز به حساب آید اما تحقیقات بعدی intercept نشان میدهد که این ماجرا حقیقت دارد.
https://theintercept.com/2016/10/24/darkmatter-united-arab-emirates-spies-for-hire/
حال بعد از ماجرای جاسوسی از شهروندان و دریافت آموزش از ماموران کهنه کار CIA خبری در خصوص استفاده حکومت امارات از یک جاسوس افزار اسراییلی منتشر شده است. ابزاری که گوشی های هوشمند افراد مخالف حکومت را تبدیل به دستگاههای جاسوسی میکند.
طبق ایمیل های لو رفته در دادخواستها علیه گروه NSO که سازنده جاسوس افزار مذکور و یکی از پیمانکاران سیستم اطلاعاتی اسراییل نیز هست، پیشنهاد فروش آپدیت گرانقیمت این ابزار به اماراتی ها ارائه شده و آنها نیز خواسته اند تا در خصوص کارایی ابزار اطمینان حاصل کنند.
جاسوسی از تلفن امیر قطر؟ جاسوسی از شاهزادگان بانفوذ سعودی که مسئولیت گارد پادشاهی را برعهده دارند؟ یا یک نویسنده عرب در روزنامه لندنی؟
«لطفا دو رکورد ضمیمه را ببینید» پاسخ شرکت NSO به ایمیل اماراتی ها پس از ۴ روز. دو رکورد از تماسهای عبدالعزیز الخمیس، نویسنده عربستانی روزنامه لندنی ME Affairs که از جاسوسی از خود بی اطلاع بوده است.
روش کار این برنامه بدین صورت است که ابتدا پیامکی برای قربانی ارسال میشود تا او را به باز کردن لینک ترغیب کند. پس از باز کردن لینک جاسوس افزار Pegasus بصورت مخفیانه دانلود میشود و به تماسها و ایمیلها و شماره های ذخیره شده دسترسی میابد.
حتی ممکن است صداهای اطراف را نیز ضبط کند.
اسناد مرتبط با امارات نشان میدهد که فردی از NSO بصورت خاص پیشنهاد متن خاصی را برای پیامکها به اماراتیها داده است که ظاهرا برای کشورهای حوزه خلیج فارس (نیویورک تایمز از واژه Persian Gulf استفاده کرده) و با عناوینی مثل تخفیف های رمضان و محافظت از ترکیدن لاستیکهای خودرو در گرما، تهیه شده اند.
در طی یک سال و نیم شرکت NSO مبلغ ۱۸ میلیون دلار از امارات دریافت کرده است.
اماراتی ها همچنین در سال ۲۰۱۴ سعی داشتند تماسهای تلفنی امیر قطر را نیز بدست آورند.
لیست قربانیان حاوی نام متعب بن عبدلله سعودی نیز بود،کسی که پس از حمایت اماراتی ها از محمد بن سلمان، از قدرت کنار زده شد و برای مدتی نیز در بازداشت بود.
طبق ایمیلها، اماراتی ها درخواست هک کردن گوشی سعد حریری، نخست وزیر لبنان را نیز داشتند. سعد حریری نیز توسط بن سلمان مدتی بازداشت شد.
پس از توافق عربستان و امارات در تحریم قطر، بیش از ۱۵۹ عضو از خانواده سلطنتی قطر توسط NSO هدف قرار گرفتند که گزارشی از ۱۳ فرد سطح بالا در این لیست به اماراتی ها داده شد.
در حال حاضر دو شکایت از شرکت NSO و اماراتی ها ثبت شده است که هنوز پاسخی از سوی این دو ارائه نشده است.
https://www.nytimes.com/2018/08/31/world/middleeast/hacking-united-arab-emirates-nso-group.html
https://en.wikipedia.org/wiki/NSO_Group
🌺🌺انتشار فقط با ذکر منبع 🌺🌺
#news
#uae
#usa
#israel
#ksa
#iran
#qatar
#privacy
#war
@sec_nerd
Telegram
امنیت اطلاعات
امارات با کمک افسرهای پیشین CIA در حال تقویت سیستم جاسوسی خود است که این تدابیر شامل قابلیتهای دفاعی و حمله ای سایبری نیز میباشد.
گزارش فارین پالیسی:https://atfp.co/2z90Eki
#uae
#usa
@sec_nerd
گزارش فارین پالیسی:https://atfp.co/2z90Eki
#uae
#usa
@sec_nerd
براساس اعلام شرکت سایپا، برای مدیریت ثبت نام متقاضیان، فروش به صورت مرحلهای شده است به نحوی که سایت هر 15 دقیقه 10 ثانیه باز میشود تا آن دسته از افرادی که در سایت حضور دارند امکان ثبت نام پیدا کنند. این روال تا تکمیل ظرفیت ادامه دارد. از مردم تقاضا میکنیم برای ثبت نام صبر داشته و به سایت هجوم نیاورند."
درخواست سایپا از ثبت نام کنندگان خودرو برای شکستن رکورد جهانی تایپ و پر کردن فرم اطلاعات فردی در ۱۰ ثانیه!
#fun
#iran
#saipa
@sec_nerd
درخواست سایپا از ثبت نام کنندگان خودرو برای شکستن رکورد جهانی تایپ و پر کردن فرم اطلاعات فردی در ۱۰ ثانیه!
#fun
#iran
#saipa
@sec_nerd
RedTeaming from Zero to One – Part 1
https://payatu.com/redteaming-from-zero-to-one-part-1/
#redteam
#pentest
#must_read
@sec_nerd
https://payatu.com/redteaming-from-zero-to-one-part-1/
#redteam
#pentest
#must_read
@sec_nerd
vulners-scanner
اسکنر سیستم عامل vulners که با استفاده از API وبسایت vulners.com سیستم عامل را تشخیص داده و با بدست آوردن لیست پکیج های نصب شده، نقاط ضعف آن را اعلام میکند.
در حال حاضر فقط سیستم عامل های بر پایه debian و rhel را پشتیبانی میکند
https://github.com/vulnersCom/vulners-scanner
#pentest
#linux
#vulners
#privesc
@sec_nerd
اسکنر سیستم عامل vulners که با استفاده از API وبسایت vulners.com سیستم عامل را تشخیص داده و با بدست آوردن لیست پکیج های نصب شده، نقاط ضعف آن را اعلام میکند.
در حال حاضر فقط سیستم عامل های بر پایه debian و rhel را پشتیبانی میکند
https://github.com/vulnersCom/vulners-scanner
#pentest
#linux
#vulners
#privesc
@sec_nerd
GitHub
GitHub - vulnersCom/vulners-scanner: Vulnerability scanner based on vulners.com audit API
Vulnerability scanner based on vulners.com audit API - vulnersCom/vulners-scanner
تزریق در apache casandra
https://eternalnoobs.com/injection-in-apache-cassandra-part-i/
#apache
#casandra
#sqli
@sec_nerd
https://eternalnoobs.com/injection-in-apache-cassandra-part-i/
#apache
#casandra
#sqli
@sec_nerd
دپارتمان عدالت امریکا هکری را که ادعا شده برای کره شمالی کار میکرده است، تحت پیگرد قرار داد.
این برنامه نویس Park Jin Hyok نام دارد و در پروژه باج افزار معروف #wannacry فعالیت داشته است.
پارک ابتدا در یک شرکت پوششی در چین با نام Korean Expo Joint Venture مشغول به کار بوده و برای ارتش کره شمالی درآمد زایی میکرده است.
او به اتهامهای مختلفی از جمله اخاذی و کلاهبرداری اینترنتی و جرایم مختلف مربوط به هک از جمله حمله به شرکت نظامی لاکهید مارتین و سونی، تحت تعقیب قرار گرفته است.
اطلاعات بیشتر:
https://motherboard.vice.com/en_us/article/j5nyyx/doj-charge-north-korea-wannacry-sony-hack
#news
#nk
#Usa
#fbi
@sec_nerd
این برنامه نویس Park Jin Hyok نام دارد و در پروژه باج افزار معروف #wannacry فعالیت داشته است.
پارک ابتدا در یک شرکت پوششی در چین با نام Korean Expo Joint Venture مشغول به کار بوده و برای ارتش کره شمالی درآمد زایی میکرده است.
او به اتهامهای مختلفی از جمله اخاذی و کلاهبرداری اینترنتی و جرایم مختلف مربوط به هک از جمله حمله به شرکت نظامی لاکهید مارتین و سونی، تحت تعقیب قرار گرفته است.
اطلاعات بیشتر:
https://motherboard.vice.com/en_us/article/j5nyyx/doj-charge-north-korea-wannacry-sony-hack
#news
#nk
#Usa
#fbi
@sec_nerd
Motherboard
Feds Charge North Korean For WannaCry, Sony Hack
Park Jin Hyok is allegedly linked to some of the most significant cyber attacks in recent history, working for a front company that funds the North Korean regime, the Department of Justice says.