نفوذ به پنل ادمین یک بات تلگرامی و رسیدن به شل
https://translate.google.com/translate?sl=auto&tl=en&u=https%3A%2F%2Fkrober.biz%2F%3Fp%3D3498
#writeup
#web
#telegram
@sec_nerd
https://translate.google.com/translate?sl=auto&tl=en&u=https%3A%2F%2Fkrober.biz%2F%3Fp%3D3498
#writeup
#web
#telegram
@sec_nerd
مشخصات بیش از یک میلیون و چهارصد هزار پزشک امریکایی در raidforums به فروش گذاشته شد
این اطلاعات حاوی نام، آدرس،ایمیل،شماره تلفن و حساب لینکدین است.
به نظر میرسد دیتای مذکور از api وبسایت findadoctor.com بدست آمده باشد.
#breach
#usa
@sec_nerd
این اطلاعات حاوی نام، آدرس،ایمیل،شماره تلفن و حساب لینکدین است.
به نظر میرسد دیتای مذکور از api وبسایت findadoctor.com بدست آمده باشد.
#breach
#usa
@sec_nerd
امنیت اطلاعات
ابزار اسکن Google Maps API https://github.com/ozguralp/gmapsapiscanner #pentest #api @sec_nerd
یک رایت آپ ساده با موضوع RCE
قابل فهم برای افراد تازه کار
https://medium.com/bugbountywriteup/simple-remote-code-execution-vulnerability-examples-for-beginners-985867878311
#writeup
#rce
#bugbounty
@sec_nerd
قابل فهم برای افراد تازه کار
https://medium.com/bugbountywriteup/simple-remote-code-execution-vulnerability-examples-for-beginners-985867878311
#writeup
#rce
#bugbounty
@sec_nerd
امنیت اطلاعات
سلام شخصا علاقه و وقت کافی نداشتم برای بررسی اپ جدید آقای جهرمی برای کنترل ویروس کرونا و تحلیل یک محقق خارجی رو براتون میذارم امیدوارم اینطور برداشت نشه که ما موافق یا مخالف نصب این برنامه هستیم. خودتون تصمیم بگیرید! ۱- از وبسایت ac19.ir میتونید اپ رو دانلود…
بعد از اینکه آذری جهرمی اپلیکیشن کنترل کرونا رو رسانه ای کرد و از همه ی جهات و از طرف رسانه ها و افراد متعدد خارجی و داخلی متهم به جاسوسی از شهروندان شد حالا وزارت بهداشت انگلیس هم اپ موبایلی کنترل انتشار کوید۱۹ رو معرفی کرد.
که البته اونجا هم این مباحث وجود داره
https://www.businessinsider.fr/us/explainer-coronavirus-uk-phone-tracking-2020-3
#iran
#uk
#coronavirus
@sec_nerd
که البته اونجا هم این مباحث وجود داره
https://www.businessinsider.fr/us/explainer-coronavirus-uk-phone-tracking-2020-3
#iran
#uk
#coronavirus
@sec_nerd
پیش بینی امکان وجود آسیب پذیری XSS در URLها با روش های یادگیری ماشین
https://offensiveai.com/machine-learning-predict-vulnerabilities-by-examining-the-words-in-a-url/
#ML
#xss
@sec_nerd
https://offensiveai.com/machine-learning-predict-vulnerabilities-by-examining-the-words-in-a-url/
#ML
#xss
@sec_nerd
حملات باج افزاری و فیشینگ علیه زیرساختهای بهداشتی و مراکز علمی افزایش پیدا کرده اند.
در گزارشی که شرکت Palo Alto Networks منتشر کرد اعلام شده است که در طی شیوع ویروس کرونا مجرمان سایبری حملات باج افزاری خود را به مراکزی که با این مسئله درگیر هستند افزایش داده و به دنبال کسب درآمد از وضعیت موجود می باشند.
https://thehackernews.com/2020/04/ransomware-hospitals-coronavirus.html
مجرمان عزیز اگر صدای ما رو میشنوید ازتون میخوایم یه کم شعور داشته باشید…
#news
#ransomware
#coronavirus
@sec_nerd
در گزارشی که شرکت Palo Alto Networks منتشر کرد اعلام شده است که در طی شیوع ویروس کرونا مجرمان سایبری حملات باج افزاری خود را به مراکزی که با این مسئله درگیر هستند افزایش داده و به دنبال کسب درآمد از وضعیت موجود می باشند.
https://thehackernews.com/2020/04/ransomware-hospitals-coronavirus.html
مجرمان عزیز اگر صدای ما رو میشنوید ازتون میخوایم یه کم شعور داشته باشید…
#news
#ransomware
#coronavirus
@sec_nerd
ابزار WitnessMe که برای تهیه اسکرینشات از صفحات بصورت خودکار مفید میباشد
https://github.com/byt3bl33d3r/WitnessMe
از موارد کاربرد این ابزار میتوان به آزمایش زنده بودن ساب دامین ها اشاره کرد
#bugbounty
#subdomain
#enum
@sec_nerd
https://github.com/byt3bl33d3r/WitnessMe
از موارد کاربرد این ابزار میتوان به آزمایش زنده بودن ساب دامین ها اشاره کرد
#bugbounty
#subdomain
#enum
@sec_nerd
مجموعه ی مهم ترین مطالب دنیای تست نفوذ در هفته ی اول ماه مارس از نگاه وبسایت intigriti
https://blog.intigriti.com/2020/04/14/bug-bytes-66-abusing-slacks-turn-breaking-aws-azure-spaceraccoonsec-sqli-secrets/
#writeup
#bugbounty
@sec_nerd
https://blog.intigriti.com/2020/04/14/bug-bytes-66-abusing-slacks-turn-breaking-aws-azure-spaceraccoonsec-sqli-secrets/
#writeup
#bugbounty
@sec_nerd
گزارشات کشف آسیب پذیری SQL injection در برخی وبسایتها و سیستم های مدیریت محتوای بزرگ
uber:
https://hackerone.com/reports/150156
drivegrab:
https://hackerone.com/reports/273946
lahitapiola.fi:
https://hackerone.com/reports/181803
drupal:
https://hackerone.com/reports/31756
#sqli
#bugbounty
@sec_nerd
uber:
https://hackerone.com/reports/150156
drivegrab:
https://hackerone.com/reports/273946
lahitapiola.fi:
https://hackerone.com/reports/181803
drupal:
https://hackerone.com/reports/31756
#sqli
#bugbounty
@sec_nerd
HackerOne
Uber disclosed on HackerOne: SQL Injection on...
Hi, Uber Security team
I just traveled to China, when I call Uber in China. I received an advertisement mail from Uber and I found the unsubscribe link is different from the original unsubscribe...
I just traveled to China, when I call Uber in China. I received an advertisement mail from Uber and I found the unsubscribe link is different from the original unsubscribe...
telegram-osint-lib
ابزار OSINT تلگرام با قابلیت:
جستجوی کاربر در گروه ها
نمایش اعضای گروه
مانیتور کردن وضعیت آنلاین بودن کاربر
دانلود تصاویر کانال
مانیتور کردن تغییرات پروفایل کاربر
دریافت پیامهای یک کاربر خاص
https://github.com/Postuf/telegram-osint-lib
به زبان php
#telegram
#osint
@sec_nerd
ابزار OSINT تلگرام با قابلیت:
جستجوی کاربر در گروه ها
نمایش اعضای گروه
مانیتور کردن وضعیت آنلاین بودن کاربر
دانلود تصاویر کانال
مانیتور کردن تغییرات پروفایل کاربر
دریافت پیامهای یک کاربر خاص
https://github.com/Postuf/telegram-osint-lib
به زبان php
#telegram
#osint
@sec_nerd
GitHub
GitHub - Postuf/telegram-osint-lib: Telegram scenario-based API aimed at OSINT
Telegram scenario-based API aimed at OSINT . Contribute to Postuf/telegram-osint-lib development by creating an account on GitHub.
امنیت اطلاعات
فازینگ دایرکتوری با سه ابزار fzf + ffuf + SecLists #web #pentest #fuzzing @sec_nerd
سناریوی تبدیل باگ LFI به RCE در یک api
۱- کشف مسیر api با استفاده از ابزار ffuf
۲- استفاده مجدد از ابزار ffuf و کشف فایل application.wadl
۳- کشف یک file inclusion با وجود دارا بودن احراز هویت در تمام اکشن ها
۴- کشف اطلاعات ادمین با استفاده از LFI و ورود و سپس کشف باگ RCE
https://twitter.com/11xuxx/status/1250154111309398017
#bugbounty
#pentest
#api
@sec_nerd
۱- کشف مسیر api با استفاده از ابزار ffuf
۲- استفاده مجدد از ابزار ffuf و کشف فایل application.wadl
۳- کشف یک file inclusion با وجود دارا بودن احراز هویت در تمام اکشن ها
۴- کشف اطلاعات ادمین با استفاده از LFI و ورود و سپس کشف باگ RCE
https://twitter.com/11xuxx/status/1250154111309398017
#bugbounty
#pentest
#api
@sec_nerd
Twitter
xxux11 ᯲ ̸
LFI to RCE 1. ffuf on "/" -> "redacted-api" -> 302 2. ffuf on "redacted-api/" -> "application.wadl" -> 200 3. all operations were auth protected 4. didn't give up and tested ~200 operations 5. fount LFI, no auth 6. admin creds in plaintext, logged in and…
بررسی امکان بالا بردن سطح دسترسی در ویندوز و لینوکس
https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
#privesc
#linux
#windows
@sec_nerd
https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
#privesc
#linux
#windows
@sec_nerd
دیتابیس وبسایت wappalyzer هک شد!
طبق اعلام این وبسایت، در تاریخ بیست ژانویه ۲۰۲۰ هکرها موفق شدند دیتابیس این سایت را هک کرده و اطلاعات آن را به سرقت ببرند.
البته اطلاعات تجاری و پسوردها در این دیتابیس وجود نداشته است.
وب سایت wappalyzer با افزونه ی فایرفاکس خود شناخته میشود. این افزونه اطلاعات مختصری از تکنولوژی های بکار رفته در وبسایتها را به کاربر ارائه میکند.
#news
#breach
#wappalyzer
@sec_nerd
طبق اعلام این وبسایت، در تاریخ بیست ژانویه ۲۰۲۰ هکرها موفق شدند دیتابیس این سایت را هک کرده و اطلاعات آن را به سرقت ببرند.
البته اطلاعات تجاری و پسوردها در این دیتابیس وجود نداشته است.
وب سایت wappalyzer با افزونه ی فایرفاکس خود شناخته میشود. این افزونه اطلاعات مختصری از تکنولوژی های بکار رفته در وبسایتها را به کاربر ارائه میکند.
#news
#breach
#wappalyzer
@sec_nerd
جلوگیری از اجرای موفقیت آمیز mimikatz در ویندوز
https://github.com/kamiarzand/MimikatzProtection
نکته:ابزار mimikatz برای سرقت توکن ها و پسوردهای کاربران در ویندوز بکار میرود.این ابزار قابلیت های دیگری نیز دارد
#windows
#privesc
#mimikatz
@sec_nerd
https://github.com/kamiarzand/MimikatzProtection
نکته:ابزار mimikatz برای سرقت توکن ها و پسوردهای کاربران در ویندوز بکار میرود.این ابزار قابلیت های دیگری نیز دارد
#windows
#privesc
#mimikatz
@sec_nerd
GitHub
GitHub - kamiarzand/MimikatzProtection: Here we say you how to protect your computer from the dangers of MIMIKATZ and lsass dump.
Here we say you how to protect your computer from the dangers of MIMIKATZ and lsass dump. - GitHub - kamiarzand/MimikatzProtection: Here we say you how to protect your computer from the dangers of ...
توضیحات فنی در خصوص آسیب پذیری شناسه CVE-2020-3952 که برای نفوذ به VCenter با مشکل افشای اطلاعات حساس در سرویس VMware Directory Service مورد استفاده قرار میگیرد
https://www.guardicore.com/2020/04/pwning-vmware-vcenter-cve-2020-3952/
#vmware
#exploit
@sec_nerd
https://www.guardicore.com/2020/04/pwning-vmware-vcenter-cve-2020-3952/
#vmware
#exploit
@sec_nerd