امنیت اطلاعات

شرح آسیب پذیری های xss و rce کشف شده در squirrelly

شناسه CVE-2021-32819

https://blog.diefunction.io/vulnerabilities/ghsl-2021-023

#npm
#express
#xss
#rce
#bugbounty

@sec_nerd

1.03K views07:38

امنیت اطلاعات

Full Local File Read via Error Based XXE using XLIFF File

https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe?share

#xxe

@sec_nerd

957 views07:06

امنیت اطلاعات

نفوذ به شبکه های محافظت شده https://s3cur3th1ssh1t.github.io/On-how-to-access-protected-networks/ #pentest #network @sec_nerd

https://s3cur3th1ssh1t.github.io/On-how-to-access-protected-networks/

بروز رسانی شده

#pentest
#network

@sec_nerd

s3cur3th1ssh1t.github.io

On how to access (protected) networks | S3cur3Th1sSh1t

This post is about common misconfigurations and attack szenarios that enable an attacker to access separated networks with critical systems or sensitive data...

1.03K views07:09

امنیت اطلاعات

اکسپلویت آسیب پذیری RCE در سرویس Spooler ویندوز با شناسه CVE-2021-1675

https://github.com/hhlxf/PrintNightmare

#printnightmare
#windows
#rce

@sec_nerd

899 views08:19

امنیت اطلاعات

شرح کوتاهی از IDOR

https://sayfer.io/blog/idor-insecure-direct-object-reference/

#idor
#pentest

@sec_nerd

898 views08:21

امنیت اطلاعات

آسیب پذیری SSRF در سیستم مدیریت محتوای ColdFusion

https://hoyahaxa.blogspot.com/2021/04/ssrf-in-coldfusioncfml-tags-and.html

#coldfusion
#ssrf

@sec_nerd

Blogspot

SSRF in ColdFusion/CFML Tags and Functions

Hoya Haxa: A Security Research Blog

1.01K views08:23

امنیت اطلاعات

#fun

@sec_nerd

1.19K views08:24

امنیت اطلاعات

laravel phpunit RCE

#php
#rce

@sec_nerd

1.01K viewsedited 04:22

امنیت اطلاعات

به تازگی یکی دیگر از حملات زنجیره تامین به شرکت Kaseya VSA انجام شد.
نکته جالب در گزارش شرکت امنیتی huntress نشان میدهد که این حمله با استفاده از یک آسیب پذیری SQL injection و دور زدن سیستم احراز هویت شروع شده است!

#news
#breach

@sec_nerd

1.13K views04:27

امنیت اطلاعات

وب سایت stackoverflow توسط prosus یکی از بزرگترین شرکت های سرمایه گذاری در اینترنت به مبلغ 1.8 میلیارد دلار خریداری شد.
شرکت prosus سهامدار اصلی tencent بوده و زیرمجموعه ی شرکت naspers افریقای جنوبی است.

https://techcrunch.com/2021/06/02/stack-overflow-acquired-by-prosus-for-a-reported-1-8-billion/

#news
#stackoverflow

@sec_nerd

TechCrunch

Stack Overflow acquired by Prosus for $1.8 billion

The legendary Q&A website for programmers (and probably one of the most copy-and-pasted sites on the internet) Stack Overflow is being acquired. The

1.12K viewsedited 03:12

امنیت اطلاعات

دور زدن waf وبسایتهایی که از cloudflare استفاده میکنند با کشف آی پی اصلی سرور

https://blog.detectify.com/2019/07/31/bypassing-cloudflare-waf-with-the-origin-server-ip-address/

#قدیمی

#waf
#web
#cloudflare

@sec_nerd

Blog Detectify

Bypassing Cloudflare WAF with the origin server IP address

Crowdsource hacker Gwendal shares tutorial on how he bypassed Cloudflare WAF, commonly used by companies, with the origin server IP.

948 views16:38

امنیت اطلاعات

سوء استفاده از آسیب پذیری های webview در اندروید

https://medium.com/mobis3c/exploiting-android-webview-vulnerabilities-e2bcff780892

#android
#pentest
#webview

@sec_nerd

864 views16:39

امنیت اطلاعات

بعد از انتشار وصله ی ناقص آسیب پذیری printnightmare توسط مایکروسافت، CISA آژانس های فدرال را ملزم به برطرف کردن این ایراد امنیتی کرد.

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-patch-windows-printnightmare-bug/

#news
#windows
#printnightmare

@sec_nerd

BleepingComputer

CISA orders federal agencies to patch Windows PrintNightmare bug

A new emergency directive ordered by the Cybersecurity and Infrastructure Security Agency (CISA) orders federal agencies to mitigate the actively exploited Window Print Spooler vulnerability on their networks.

965 views16:43

امنیت اطلاعات

یه توییت خوب با جوابهای خیلی خوب بخونیم:

https://twitter.com/SecFightClub/status/1414718829112950784

#redteam
#social_engineering
#phishing

@sec_nerd

Twitter

SecFightClub

Hey Phishing/redTeam friends: Who is the best/easiest employee to target, to get a foot hold in a target. Developer HR Sec Eng Management ...??? Real question, RT appreciated

1.05K views07:35

امنیت اطلاعات

یک ترابایت از اطلاعات شرکت آرامکوی عربستان به فروش گذاشته شد.

قیمت این پکیج که شامل پروژه ها، اسناد شبکه و ... است ۵ میلیون دلار می باشد.

#ksa
#aramco
#leak

@sec_nerd

1.01K views16:20

امنیت اطلاعات

چهار نفر از اعضای apt40 توسط دادگستری امریکا مجرم شناخته شدند.

این چهار نفر تحت پوشش شرکت Hainan Xiandun با وزرات امنیت داخلی (MSS) همکاری داشتند که در بین آنها فردی با نام Wu Shurong که با اسامی مستعار goodperson و ha0r3n دارای قابلیت های خوبی در زمینه ی طراحی بدافزار و نفوذ به سیستم های دولتی و شرکت ها بوده است.

دسترسی اولیه برای حملات از طریق بررسی امنیتی زیرساخت های هدف و آزمودن اکسپلویت های جدید در این شبکه ها ایجاد میشد.

https://therecord.media/us-indicts-four-members-of-chinese-hacking-group-apt40/

#news
#apt40
#china

@sec_nerd

952 views17:07

امنیت اطلاعات

چقدر درسته؟

#lol
#apt

@sec_nerd

823 views15:36

امنیت اطلاعات

wtf!!

ویندوز ۱۰ بصورت تصادفی اجازه ی خوندن فایل sam رو به گروه builtin\users داده!

تست شده

#windows
#lol

@sec_nerd

👎1

963 views15:44

امنیت اطلاعات