امنیت اطلاعات
سورس فلش مربوط به آسیب پذیری CVE-2018-15982 که توسط هکرهای کره شمالی مورد استفاده قرار گرفت و اخیرا شرکت adobe وصله امنیتی برای آن منتشر کرده است. https://github.com/prsecurity/CVE-2018-15982/ این آسیب پذیری مرورگرهای کروم، اج و اینترنت اکسپلورر را در سیستم…
This media is not supported in your browser
VIEW IN TELEGRAM
دستورات یک خطی ویندوز برای دانلود و اجرای پیلود و اکسپلویت های مدنظر
https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/amp/
#windows
#ps
#mshta
@sec_nerd
https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code/amp/
#windows
#ps
#mshta
@sec_nerd
امنیت اطلاعات
سورس فلش مربوط به آسیب پذیری CVE-2018-15982 که توسط هکرهای کره شمالی مورد استفاده قرار گرفت و اخیرا شرکت adobe وصله امنیتی برای آن منتشر کرده است. https://github.com/prsecurity/CVE-2018-15982/ این آسیب پذیری مرورگرهای کروم، اج و اینترنت اکسپلورر را در سیستم…
امنیت اطلاعات
دور زدن توابع اجرای دستورات سیستم عامل در php با استفاده از imap_open https://github.com/Bo0oM/PHP_imap_open_exploit/blob/master/exploit.php #php #bypass @sec_nerd
استخراج کاربران سرویس OpenSSH در نسخه های کمتر از 7.7
https://www.exploit-db.com/exploits/45939
#linux
#openssh
#enum
@sec_nerd
https://www.exploit-db.com/exploits/45939
#linux
#openssh
#enum
@sec_nerd
Exploit Database
OpenSSH < 7.7 - User Enumeration (2)
OpenSSH < 7.7 - User Enumeration (2). CVE-2018-15473 . remote exploit for Linux platform
پایگاه داده مبتنی بر MongoDB که متعلق به یک جمع آوری کننده دیتای کاربران بود، توسط هکرها دزدیده شد!
این دیتابیس حاوی بیش از ۶۶ میلیون رکورد از اطلاعات افراد بود که یک شرکت یا گروهی ناشناخته اقدام به جمع آوری آن از وبسایت لینکدین کرده بودند.
اطلاعاتی از قبیل نام، ایمیل کاری و شخصی، تلفن، آدرس آی پی ، شغل، مکان، سابقه کار، توانایی ها و لینک هایی به پروفایل لینکدین شخص در این دیتابیس وجود دارد.
منبع:
https://www.hackread.com/mongodb-database-exposes-personal-user-data/
اخیرا هکرها تمرکز بیشتری بر روی پایگاه های داده از نوع nosql کرده اند، زیرا این پایگاه ها بصورت پیش فرض سازوکاری برای احراز هویت ندارند و اگر بصورت محافظت نشده در فضای اینترنت قرار گیرند، هرکسی قادر به استخراج دیتا از آنها میباشد.
پورتهای این سرویس ها غالبا در دو پایگاه الستیک سرچ (9002) و مونگو دی بی (27017) قابل دسترسی هستند.
#news
#breach
#mongodb
#nosql
@sec_nerd
این دیتابیس حاوی بیش از ۶۶ میلیون رکورد از اطلاعات افراد بود که یک شرکت یا گروهی ناشناخته اقدام به جمع آوری آن از وبسایت لینکدین کرده بودند.
اطلاعاتی از قبیل نام، ایمیل کاری و شخصی، تلفن، آدرس آی پی ، شغل، مکان، سابقه کار، توانایی ها و لینک هایی به پروفایل لینکدین شخص در این دیتابیس وجود دارد.
منبع:
https://www.hackread.com/mongodb-database-exposes-personal-user-data/
اخیرا هکرها تمرکز بیشتری بر روی پایگاه های داده از نوع nosql کرده اند، زیرا این پایگاه ها بصورت پیش فرض سازوکاری برای احراز هویت ندارند و اگر بصورت محافظت نشده در فضای اینترنت قرار گیرند، هرکسی قادر به استخراج دیتا از آنها میباشد.
پورتهای این سرویس ها غالبا در دو پایگاه الستیک سرچ (9002) و مونگو دی بی (27017) قابل دسترسی هستند.
#news
#breach
#mongodb
#nosql
@sec_nerd
اثبات آسیب پذیری کشف شده در Kubernetes به دو شکل نیازمند به احراز هویت و بی نیاز از احراز هویت
شناسه آسیب پذیری :CVE-2018-1002105
لینک اثبات به همراه ویدیو:
https://github.com/evict/poc_CVE-2018-1002105
#Kubernetes
#exploit
#poc
@sec_nerd
شناسه آسیب پذیری :CVE-2018-1002105
لینک اثبات به همراه ویدیو:
https://github.com/evict/poc_CVE-2018-1002105
#Kubernetes
#exploit
#poc
@sec_nerd
GitHub
GitHub - evict/poc_CVE-2018-1002105: PoC for CVE-2018-1002105.
PoC for CVE-2018-1002105. Contribute to evict/poc_CVE-2018-1002105 development by creating an account on GitHub.
نکاتی مفید برای کسانی که قصد دارند تست نفوذ به وب انجام دهند:
https://techvomit.net/web-application-penetration-testing-notes/
#web
#pentest
@sec_nerd
https://techvomit.net/web-application-penetration-testing-notes/
#web
#pentest
@sec_nerd
Tech Vomit
Web Application Penetration Testing Notes
XXE
Valid use case
This is a non-malicious example of how external entities are used:
<?xml version="1.0" standalone="no" ?>
<!DOCTYPE copyright [
<!ELEMENT copyright (#PCDATA)>
<!ENTITY c SYSTEM "https://www.xmlwriter.net/copyright.xml">
]>
<copyrigh…
Valid use case
This is a non-malicious example of how external entities are used:
<?xml version="1.0" standalone="no" ?>
<!DOCTYPE copyright [
<!ELEMENT copyright (#PCDATA)>
<!ENTITY c SYSTEM "https://www.xmlwriter.net/copyright.xml">
]>
<copyrigh…
میزان استفاده از سیستم عاملهای مختلف
https://netmarketshare.com/operating-system-market-share.aspx
#news
@sec_nerd
https://netmarketshare.com/operating-system-market-share.aspx
#news
@sec_nerd
امنیت اطلاعات
گوگل سرویس شبکه اجتماعی خود یعنی گوگل پلاس را از خط خارج میکند! این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است. این خبر توسط بن اسمیت،…
با رخ دادن نشر اطلاعاتی دیگری در سرویس گوگل پلاس، گوگل زودتر از چیزی که وعده داده بود این سرویس را از خط خارج میکند!
این آسیب پذیری باعث شد اطلاعات شخصی ۵۲/۵ میلیون کاربر گوگل پلاس مانند نام، آدرس ایمیل، شغل و سن از طریق API در دسترس عموم قرار گیرد.
طبق اعلام گوگل، این سرویس بجای اینکه در ماه آگوست تعطیل شود، در آپریل به کار خود پایان میدهد.
https://tech.slashdot.org/story/18/12/10/1839254/google-will-shut-down-google-four-months-early-after-second-data-leak
#news
#google
#breach
@sec_nerd
این آسیب پذیری باعث شد اطلاعات شخصی ۵۲/۵ میلیون کاربر گوگل پلاس مانند نام، آدرس ایمیل، شغل و سن از طریق API در دسترس عموم قرار گیرد.
طبق اعلام گوگل، این سرویس بجای اینکه در ماه آگوست تعطیل شود، در آپریل به کار خود پایان میدهد.
https://tech.slashdot.org/story/18/12/10/1839254/google-will-shut-down-google-four-months-early-after-second-data-leak
#news
#breach
@sec_nerd
tech.slashdot.org
Google Will Shut Down Google+ Four Months Early After Second Data Leak
Google+ has suffered another data leak, and Google has decided to shut down the consumer version of the social network four months earlier than it originally planned. From a report: Google+ will now close to consumers in April, rather than August. Additionally…