تعداد بی شماری از ابزارها هک با قابلیت استفاده آسان , هک کردن را راحت کرده است , در صورتی که بدانید کجا و از چه ابزاری استفاده کنید . DNSstuff نیز یکی دیگر از این ابزارهاست . می توانید به جای استفاده از ابزار خط فرمان NSlookup که کار با آن کمی دشوارتر است به راحتی اطلاعات رکوردهای دی ان اس را از طریق وبسایت www.dnsstuff.com بدست آورید .
مفهوم Whois و جستجو ARIN
همگی هویز را می شناسیم . یعنی چه کسی است ؟ از جمله ساده ترین ابزارهای جمع آوری اطلاعات هویز می باشد . ابزار Whois از سیستم عامل یونیکس تکامل یافته ولی اکنون در سیستم عامل های دیگر و همچنین ابزارهای آنلاین هک در اینترنت آن را می توان یافت . این ابزار تشخیص می دهد که چه کسی برای نام های دامنه وبسایت ها یا ایمیل ها ثبت نام کرده است . یک آدرس URL همچون www.microsoft.com شامل نام دامنه (Microsoft.com) و نام میزبان و اسم مستعار (www) است.
ICANN ( انجمن صنفی اینترنت برای اسامی و شماره های اختصاص یافته ) به منظور اطمینان از اینکه یک شرکت منفرد از یک نام دامنه به خصوص استفاده کند , نیاز دارد تا اسامی دامنه ها را ثبت کند . ابزار Whois به این پایگاه داده درخواست ارسال می کند تا اطلاعات تماس درباره اشخاص یا سازمان هایی که این دامنه ها را نگهداری می کنند بدست آورد .
استفاده از ابزار Whois : برای استفاده از ابزار Whois جمع آوری اطلاعات ثبت کنند و یا نام دامنه مراحل زیر را طی کنید :
به آدرس www.DNSStuff.com بروید و سپس به ابزار رایگان در پایین صفحه بروید .
همگی هویز را می شناسیم . یعنی چه کسی است ؟ از جمله ساده ترین ابزارهای جمع آوری اطلاعات هویز می باشد . ابزار Whois از سیستم عامل یونیکس تکامل یافته ولی اکنون در سیستم عامل های دیگر و همچنین ابزارهای آنلاین هک در اینترنت آن را می توان یافت . این ابزار تشخیص می دهد که چه کسی برای نام های دامنه وبسایت ها یا ایمیل ها ثبت نام کرده است . یک آدرس URL همچون www.microsoft.com شامل نام دامنه (Microsoft.com) و نام میزبان و اسم مستعار (www) است.
ICANN ( انجمن صنفی اینترنت برای اسامی و شماره های اختصاص یافته ) به منظور اطمینان از اینکه یک شرکت منفرد از یک نام دامنه به خصوص استفاده کند , نیاز دارد تا اسامی دامنه ها را ثبت کند . ابزار Whois به این پایگاه داده درخواست ارسال می کند تا اطلاعات تماس درباره اشخاص یا سازمان هایی که این دامنه ها را نگهداری می کنند بدست آورد .
استفاده از ابزار Whois : برای استفاده از ابزار Whois جمع آوری اطلاعات ثبت کنند و یا نام دامنه مراحل زیر را طی کنید :
به آدرس www.DNSStuff.com بروید و سپس به ابزار رایگان در پایین صفحه بروید .
Microsoft
Microsoft – AI, Cloud, Productivity, Computing, Gaming & Apps
Explore Microsoft products and services and support for your home or business. Shop Microsoft 365, Copilot, Teams, Xbox, Windows, Azure, Surface and more.
آدرس URL سایت شرکت مورد نظر خود را در فیلد Whois Lookup وارد کنید و سپس دکمه Whois را فشار دهید .
نتایج را ببینید و موارد زیر را تشخیص دهید :
Registered address
Technical and DNS contacts
Contact email
Contact phone number
Expiration date
سپس به وبسایت شرکت بروید و اطلاعات تماس بدست آمده از Whois را با نامهای تما س , آدرس ها و ایمیل آدرس های موجود در وبسایت مقایسه کنید تا ببینید برابری دارند یا نه.
اگر این گونه بود با استفاده از ابزار گوگل اسامی و آدرس های ایمیل کارمندان را جستجو کنید . از این طریق می توانید به قوانین نام گذاری ایمیل ها که توسط سازمان وضع شده پی ببرید .
نتایج را ببینید و موارد زیر را تشخیص دهید :
Registered address
Technical and DNS contacts
Contact email
Contact phone number
Expiration date
سپس به وبسایت شرکت بروید و اطلاعات تماس بدست آمده از Whois را با نامهای تما س , آدرس ها و ایمیل آدرس های موجود در وبسایت مقایسه کنید تا ببینید برابری دارند یا نه.
اگر این گونه بود با استفاده از ابزار گوگل اسامی و آدرس های ایمیل کارمندان را جستجو کنید . از این طریق می توانید به قوانین نام گذاری ایمیل ها که توسط سازمان وضع شده پی ببرید .
پایگاه داده ای است که شامل اطلاعاتی همچون صاحبان آیپی آدرس های استاتیک است . می توان با استفاده از ابزار Whois به پایگاه داده ARIN درخواست فرستاد. مثل یک پایگاه داده که در آدرس www.arin.net قرار گرفته است .
شکل زیر درخواست Whois برای سایت یاهو را نشان می دهد .یک هکر می تواند از این اطلاعات تشخیص دهد که چه شخصی یا سازمانی مسولیت یک آیپی آدرس بخصوص را عهده دار است یا این که هکر با استفاده از این اطلاعات یک حمله مهندسی اجتماعی بر علیه یک سازمان را صورت دهد . شما به عنوان یک متخصص امنیتی نیاز دارید تا از اطلاعات قابل جستجو و در دسترس در پایگاه داده های این چنینی مثل ARIN آگاه شوید تا مطمئن شوید یک هکر بدذات با استفاده از این اطلاعات موجود نتواند بر علیه سازمان شما حمله و یا فعالیتی را صورت دهد .
شکل زیر درخواست Whois برای سایت یاهو را نشان می دهد .یک هکر می تواند از این اطلاعات تشخیص دهد که چه شخصی یا سازمانی مسولیت یک آیپی آدرس بخصوص را عهده دار است یا این که هکر با استفاده از این اطلاعات یک حمله مهندسی اجتماعی بر علیه یک سازمان را صورت دهد . شما به عنوان یک متخصص امنیتی نیاز دارید تا از اطلاعات قابل جستجو و در دسترس در پایگاه داده های این چنینی مثل ARIN آگاه شوید تا مطمئن شوید یک هکر بدذات با استفاده از این اطلاعات موجود نتواند بر علیه سازمان شما حمله و یا فعالیتی را صورت دهد .
دیباگر جدیدی که از سوی مؤسسه فناوری ماساچوست (MIT) ارائه شده است تنها در 64 ثانیه توانایی تحلیل هر برنامه و شناسایی مشکلات آنرا دارد. با بهرهمندی از خصیصههای ذاتی و خاص روبی، سیستم MIT موفق شد، 23 مشکل امنیتی در 50 برنامه محبوب تحت وب را شناسایی کند. اما چشمگیرتر از این دستاورد مهم اینکه، این ابزار برای تحلیل هر برنامه کاربردی تنها به 64 ثانیه زمان نیاز دارد. این فرآیند با اتکا به توانمندیهای روبی و بر اساس عملیاتهای اصلی در کتابخانه این زبان امکانپذیر شده است. زمانی که محققان MIT اقدام به بازنویسی کتابخانههای مذکور کردند، عملیاتی که در مجموعههای آن کتابخانهها انجام میشوند را مجبور کردند تا رفتار خودشان را با استفاده از یک زبان منطقی توصیف کنند. کاترین نویز، از IDG News Service این فرآیند را اینگونه توصیف میکند: « مفسر Rails که برنامههای سطح بالای Rails را به کدهای قابل فهم ماشینی تبدیل میکند، درون یک ابزار تحلیلی ایستا که توصیف میکند چگونه دادهها در سراسر برنامه مورد استفاده قرار میگیرند، قرار دارد. در نهایت، محققان با شکستن خط به خط دستورات برنامه موفق به کشف این مسئله شدند که یک برنامه چگونه اقدام به تفسیر دادهها میکند.»
MIT این ابزار اشکال زادی خود را Space نام نهاده است. ابزاری که تمرکز خاصش بر روش دسترسی به دادهها در یک برنامه کاربردی استوار است. این ابزار به محققان اجازه میدهد تا مشاهده کنند یک کاربر در سناریوهای مختلف چه کارهایی روی دادهها انجام میدهد. بر اساس توصیف کتابخانههای بازنویسی شده، Space با دنبال کردن پروتکلها میتواند بیان کند چگونه یک برنامه بر اساس یک نقص امنیتی خاتمه پیدا کرده است. دانیل جسکون، استاد دانشگاه مهندسی برق و علوم کامپیوتر در بیانهای که در قالب اخبار MIT منتشر میشود، گفته است: «زمانی که شما به چیزی شبیه به یک برنامه کاربردی تحت وب که با استفاده از زبانی شبیه به Ruby On Rails نوشته شده است، نگاه کنید و سعی کنید یک تجزیه و تحلیل ایستای معمولی را انجام دهید، آنگاه خود را در باتلاقی مشاهده خواهید کرد که بیرون آمدن از آن کار چندان راحتی نخواهد بود. همین موضوع باعث میشود تا پیادهسازی چنین تحلیلهای ایستایی در عمل تقریبا غیر ممکن باشد. از این پس با استفاده از Space، دانشمندان این توانایی را دارند تا یک راه حل امکانپذیرتر را ارائه کنند. »
#ruby #ruby_on_rail
MIT این ابزار اشکال زادی خود را Space نام نهاده است. ابزاری که تمرکز خاصش بر روش دسترسی به دادهها در یک برنامه کاربردی استوار است. این ابزار به محققان اجازه میدهد تا مشاهده کنند یک کاربر در سناریوهای مختلف چه کارهایی روی دادهها انجام میدهد. بر اساس توصیف کتابخانههای بازنویسی شده، Space با دنبال کردن پروتکلها میتواند بیان کند چگونه یک برنامه بر اساس یک نقص امنیتی خاتمه پیدا کرده است. دانیل جسکون، استاد دانشگاه مهندسی برق و علوم کامپیوتر در بیانهای که در قالب اخبار MIT منتشر میشود، گفته است: «زمانی که شما به چیزی شبیه به یک برنامه کاربردی تحت وب که با استفاده از زبانی شبیه به Ruby On Rails نوشته شده است، نگاه کنید و سعی کنید یک تجزیه و تحلیل ایستای معمولی را انجام دهید، آنگاه خود را در باتلاقی مشاهده خواهید کرد که بیرون آمدن از آن کار چندان راحتی نخواهد بود. همین موضوع باعث میشود تا پیادهسازی چنین تحلیلهای ایستایی در عمل تقریبا غیر ممکن باشد. از این پس با استفاده از Space، دانشمندان این توانایی را دارند تا یک راه حل امکانپذیرتر را ارائه کنند. »
#ruby #ruby_on_rail
آیا قدرت و توانایی هکرها بی حد و مرز است؟
یک امپراطوری عظیم متشکل از میلیاردها دستگاه و ماشین که در قالب اینترنت اشیا به زندگی مدرن انسانها وارد شدهاند، موضوعی گذرا و مقطعی نیست. سیستمهای ناوبری ماشینهای خودران، تلویزیونهای هوشمند، ترموستاتها، شبکههای ارتباطی تلفنها، سیستمهای امنیتی خانگی، بانکداری آنلاین و تقریبا هر آن چیزی که تصور آنرا میکنید به دنیای وب گره خورده است. وجه مشترک تمامی این وسایل، دستگاهی است به نام اسمارتفون. ابزاری که به راستی لقب امپراطور سزاوار آن است. اما به شما هشدار میدهیم به دقت در مورد آنچه در پشت اسمارتفون خود به زبان میآورید، محتاط باشید. ما به شما نشان میدهیم چرا باید این حرف را جدی بگیرید!
نزدیک به دو روز پیش خبری عجیب و البته نگران کننده در دنیای فناوری منتشر شد. مهندسی آلمانی به نام کارلستن نول مدعی شده بود که توانایی هک کردن اسمارتفونها را تنها با یک شماره تلفن دارد. این خبر دستمایه مراجعت خبرنگار سایت 60 دقیقه به آلمان شد. در برلین آلمان خبرنگار 60 دقیقه موفق شد، این مهندس آلمانی را که از دانشگاه ویرجینیا در رشته مهندسی کامپیوتر فارغ التحصیل شده بود ملاقات کرد.
برای اولین بار خبرنگار مزبور اجازه یافت به درون آزمایشگاه تحقیقاتی این تیم امنیتی آلمانی وارد شوند. در طول روز، این آزمایشگاه نزدیک به 500 توصیه امنیتی به شرکتهای مختلف ارائه میکند. اما در شب این تیم از هکرهای بینالمللی به دنبال رخنههایی در دستگاههایی همچون اسمارتفونها، حافظههای فلش و کارتهای SIM هستند که ما بهطور روزانه از آنها استفاده میکنیم. آنها سعی میکنند آسیبپذیریها را قبل از آنکه مورد استفاده هکرها قرار گیرند شناسایی کرده و به افکار عمومی در خصوص مخاطرات امنیتی آنها هشدار دهند. در این آزمایشگاه سامانههای کامپیوتری با استفاده از تجهیزات میکرو لیزر مورد آزمایش قرار میگیرند. بهطوری که کارشناسان امنیتی این آزمایشگاه دستگاهها و سامانهها را به دو صورت فیزیکی و دیجیتالی مورد آزمایش قرار داده و سعی میکنند به آنها نفوذ کنند. اما این تیم به سرپرستی نول به رهاورد بزرگی در این زمینه دست یافته است. این رهاورد باعث به وجود آمدن این سؤال شده است، کدامیک بهتر هستند؟ آندروید یا آیفون؟ نول در جواب این پرسش میگوید: «همه تلفنها یکسان هستند.»