graphql injection
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/GraphQL%20Injection
#graphql
#pentest
@sec_nerd
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/GraphQL%20Injection
#graphql
#pentest
@sec_nerd
GitHub
PayloadsAllTheThings/GraphQL Injection at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
انجمن هک معروف OGUsers مجددا هک شد و اینبار هکرها دیتای دزدیده شده را بصورت رایگان در اینترنت قرار دادند.
این انجمن که محلی برای فروش دیتابیس های هک شده وحسابهای افشا شده بود اکانتهایی مانند فورت نایت، اینستاگرام، اسکایپ، اسنپ چت، استیم و … را به فروش میگذاشت.
ادمین این انجمن که با نام مستعار ACE فعالیت میکند اعلام کرد که این هک از طریق آپلود فایل شل در تصویر آواتار صورت گرفته و اطلاعات ۲۰۰ هزار کاربر به سرقت رفته است.
منبع؛
https://www.hackread.com/ogusers-hacking-forum-hacked-database-dumped/
#breach
#news
@sec_nerd
این انجمن که محلی برای فروش دیتابیس های هک شده وحسابهای افشا شده بود اکانتهایی مانند فورت نایت، اینستاگرام، اسکایپ، اسنپ چت، استیم و … را به فروش میگذاشت.
ادمین این انجمن که با نام مستعار ACE فعالیت میکند اعلام کرد که این هک از طریق آپلود فایل شل در تصویر آواتار صورت گرفته و اطلاعات ۲۰۰ هزار کاربر به سرقت رفته است.
منبع؛
https://www.hackread.com/ogusers-hacking-forum-hacked-database-dumped/
#breach
#news
@sec_nerd
آزمایشگاه آسیب پذیر وب برای نفوذگران سطح متوسط و بالاتر
https://github.com/weev3/LKWA
#web
#penetst
@sec_nerd
https://github.com/weev3/LKWA
#web
#penetst
@sec_nerd
GitHub
GitHub - weev3/LKWA: Lesser Known Web Attack Lab
Lesser Known Web Attack Lab. Contribute to weev3/LKWA development by creating an account on GitHub.
ماژول متاسپلویت برای حمله ی اجرای دستور از راه دور در سیستم مدیرت محتوای DotNetNuke که در کشور ما بسیار مورد استفاده قرار میگیره
این آسیب پذیری RCE از طریق deserialization کوکی ایجاد میشه
https://packetstormsecurity.com/files/157080/dnn_cookie_deserialization_rce.rb.txt
#msf
#dnn
#rce
@sec_nerd
این آسیب پذیری RCE از طریق deserialization کوکی ایجاد میشه
https://packetstormsecurity.com/files/157080/dnn_cookie_deserialization_rce.rb.txt
#msf
#dnn
#rce
@sec_nerd
Packetstormsecurity
DotNetNuke Cookie Deserialization Remote Code Execution ≈ Packet Storm
Information Security Services, News, Files, Tools, Exploits, Advisories and Whitepapers
در چند هفته ی گذشته یک فرد یا گروهی از افراد ناشناس بیش از ۱۵ هزار دیتابیس محافظت نشده ی elasticsearch را هدف قرار دادند و با پاک کردن دیتای این دیتابیس ها، فقط یک ایندکس با نام nightlionsecurity.com بجای گذاشتند.
این آدرس متعلق به یک شرکت امنیت سایبری است که هرگونه ارتباط خود با این کمپین را رد کرده است.
اخیرا باز بودن دسترسی به دیتابیس الستیک باعث لو رفتن دیتای تلگرامی ۴۲ میلیون کاربر ایرانی شده است.
https://www.zdnet.com/article/a-hacker-has-wiped-defaced-more-than-15000-elasticsearch-servers/
#news
#elasticsearch
#breach
@sec_nerd
این آدرس متعلق به یک شرکت امنیت سایبری است که هرگونه ارتباط خود با این کمپین را رد کرده است.
اخیرا باز بودن دسترسی به دیتابیس الستیک باعث لو رفتن دیتای تلگرامی ۴۲ میلیون کاربر ایرانی شده است.
https://www.zdnet.com/article/a-hacker-has-wiped-defaced-more-than-15000-elasticsearch-servers/
#news
#elasticsearch
#breach
@sec_nerd
امنیت اطلاعات
ادوارد اسنودن، افشاگر سازمان جاسوسی CIA در یک ویدئو کنفرانس در تل آویو اعلام کرد که کمپانی اسراییلی NSO Group نرم افزار جاسوسی به عربستان سعودی فروخته است که برای هک کردن گوشی هوشمند یکی از دوستان جمال خاشقچی استفاده شده است. نرم افزار جاسوسی گروه NSO با…
مدیرعامل گروه NSO اعتراف کرد که در سال ۲۰۱۷ برخی کارمندان فیسبوک به این شرکت مراجعه کردند تا برخی از امکانات جاسوس افزار pegasus را در اختیار آنها قرار دهد.
این اتفاق در زمانی رخ داده است که فیسبوک در حال تولید برنامه VPN با نام Onavo Protect بوده و از NSO خواسته است برخی از امکانات pegasus را برای کنترل ترافیک کاربران onavo در اختبار بگیرد.
این وی پی ان طبق گفته برخی کاربران توان کشف لیست برنامه های نصب شده توسط کاربران با شنود ترافیک آنها را داشته است.
NSO CEO Shalev Hulio has admitted his company can attack devices without a user knowing and he can see who has been targeted with Pegasus.
منبع:
https://www.vice.com/en_us/article/pke9k9/facebook-wanted-nso-spyware-to-monitor-users
#news
#nso
#facebook
#privacy
@sec_nerd
این اتفاق در زمانی رخ داده است که فیسبوک در حال تولید برنامه VPN با نام Onavo Protect بوده و از NSO خواسته است برخی از امکانات pegasus را برای کنترل ترافیک کاربران onavo در اختبار بگیرد.
این وی پی ان طبق گفته برخی کاربران توان کشف لیست برنامه های نصب شده توسط کاربران با شنود ترافیک آنها را داشته است.
NSO CEO Shalev Hulio has admitted his company can attack devices without a user knowing and he can see who has been targeted with Pegasus.
منبع:
https://www.vice.com/en_us/article/pke9k9/facebook-wanted-nso-spyware-to-monitor-users
#news
#nso
#privacy
@sec_nerd
VICE
Facebook Wanted NSO Spyware to Monitor Users, NSO CEO Claims
In a court-filed declaration, NSO Group’s CEO says Facebook tried to buy an Apple spying tool in 2017.
👎1
امنیت اطلاعات
انجمن هک معروف OGUsers مجددا هک شد و اینبار هکرها دیتای دزدیده شده را بصورت رایگان در اینترنت قرار دادند. این انجمن که محلی برای فروش دیتابیس های هک شده وحسابهای افشا شده بود اکانتهایی مانند فورت نایت، اینستاگرام، اسکایپ، اسنپ چت، استیم و … را به فروش میگذاشت.…
DropMeFiles_WIDG3.zip
6 MB
کشف پارامترهای SSRF و openredirect در آدرسها
https://github.com/KathanP19/gaussrf
#ssrf
#bugbounty
@sec_nerd
https://github.com/KathanP19/gaussrf
#ssrf
#bugbounty
@sec_nerd
GitHub
GitHub - KathanP19/gaussrf: Fetch known URLs from AlienVault's Open Threat Exchange, the Wayback Machine, and Common Crawl and…
Fetch known URLs from AlienVault's Open Threat Exchange, the Wayback Machine, and Common Crawl and Filter Urls With OpenRedirection or SSRF Parameters. - KathanP19/gaussrf
اطلاعات بیش از ۲۰۰ میلیون شهروند ایالات متحده که بر روی یک دیتابیس ابری گوگل قرار داشت توسط هکرها دزیده شد.
این اطلاعات با حجم ۸۰۰ گیگابایت شامل جزییاتی مانند نام،آدرس ایمیل،شماره تلفن،تاریخ تولد،اطلاعات خانه و اجاره ها،اطلاعات فرزندان و … می باشد.
https://securityaffairs. co/wordpress/101015/data-breach/cloud-db-exposes-200m-americans.html
—————————————————————
صبح این خبر رو در کانال قرار دادیم و نیاز دیدیم که توضیحات بیشتری رو در مورد این اتفاق اضافه کنیم:
این دیتابیس هم از کشفیات فردی هست که اخیرا شاید اسمش به گوش ما ایرانی ها رسیده باشه
Bob Diachenko
این دیتابیس هم توسط باب دیاچنکو کشف شده و این هم مانند دیتابیس تلگرامی ایرانی ها از نوع elasticsearch بوده که در لینک زیر میتونید تصویر اون رو ببینید
این دیتابیس هم ابتدا توسط موتور جستجوی binaryEdge لیست شده و بعد در تاریخ سوم مارس حذف و در چهارم مارس سرور خاموش شده.
هنوز مشخص نیست مالک این دیتابیس چه کسی بوده و توسط چه کسانی حذف شده.
https://www.comparitech.com/blog/vpn-privacy/200-million-us-database-leaked/
#news
#breach
@sec_nerd
این اطلاعات با حجم ۸۰۰ گیگابایت شامل جزییاتی مانند نام،آدرس ایمیل،شماره تلفن،تاریخ تولد،اطلاعات خانه و اجاره ها،اطلاعات فرزندان و … می باشد.
https://securityaffairs. co/wordpress/101015/data-breach/cloud-db-exposes-200m-americans.html
—————————————————————
صبح این خبر رو در کانال قرار دادیم و نیاز دیدیم که توضیحات بیشتری رو در مورد این اتفاق اضافه کنیم:
این دیتابیس هم از کشفیات فردی هست که اخیرا شاید اسمش به گوش ما ایرانی ها رسیده باشه
Bob Diachenko
این دیتابیس هم توسط باب دیاچنکو کشف شده و این هم مانند دیتابیس تلگرامی ایرانی ها از نوع elasticsearch بوده که در لینک زیر میتونید تصویر اون رو ببینید
این دیتابیس هم ابتدا توسط موتور جستجوی binaryEdge لیست شده و بعد در تاریخ سوم مارس حذف و در چهارم مارس سرور خاموش شده.
هنوز مشخص نیست مالک این دیتابیس چه کسی بوده و توسط چه کسانی حذف شده.
https://www.comparitech.com/blog/vpn-privacy/200-million-us-database-leaked/
#news
#breach
@sec_nerd
Comparitech
US property and demographic database of 200 million records leaked on the web - Comparitech
More than 200 million records containing a wide range of property-related data on US residents were exposed on the web without a password.
کشف آسیب پذیری های تزریق SQL با استفاده از کوئری های isomorphic
https://spaceraccoon.dev/same-same-but-different-discovering-sql-injections-incrementally-with
#sqli
#pentest
@sec_nerd
https://spaceraccoon.dev/same-same-but-different-discovering-sql-injections-incrementally-with
#sqli
#pentest
@sec_nerd
امنیت اطلاعات
مایکروسافت که به روشهای مختلف سعی در افزایش کاربران مرورگر edge خود دارد در اقدامی عجیب به کسانی که از فایرفاکس استفاده میکنند پیشنهاد نصب اج را میدهد! (😂😂😂) https://www.bleepingcomputer.com/news/microsoft/windows-10-start-menu-suggests-firefox-users-switch…
تلاشهای مایکروسافت به ثمر نشست و مروگر edge با پیشی گرفتن از فایرفاکس به دومین مرورگر پر استفاده ی جهان تبدیل شد!
https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-is-now-2nd-most-popular-desktop-browser-beats-firefox/
#microsoft
#firefox
#news
@sec_nerd
https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-is-now-2nd-most-popular-desktop-browser-beats-firefox/
#microsoft
#firefox
#news
@sec_nerd
BleepingComputer
Microsoft Edge is now 2nd most popular desktop browser, beats Firefox
The Microsoft Edge browser is now being used by more people than Mozilla Firefox making it the 2nd most popular desktop browser.
تبدیل تزریق HTML به SSRF و سرقت توکن ها در سرویس ابری آمازون
https://blog.appsecco.com/finding-ssrf-via-html-injection-inside-a-pdf-file-on-aws-ec2-214cc5ec5d90
#bugbounty
#aws
#xss
#ssrf
#html_injection
@sec_nerd
https://blog.appsecco.com/finding-ssrf-via-html-injection-inside-a-pdf-file-on-aws-ec2-214cc5ec5d90
#bugbounty
#aws
#xss
#ssrf
#html_injection
@sec_nerd