از بررسی داده های CVE 2022 تادور زدن فایروال ها با of-CORs

اخبار سایبری شماره 3

سلامی گرم خدمت همراهان سایت امنیت سایبری با محمد!

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

🐝اخبار دست اول:

  1. مصاحبۀ ریکان زنده در سری قراردادهای هوشمند با ret2jazzy (برای اطلاعات بیشتر: ویدیو)
  2. دور زدن فایروال ها با استفاده از of-CORs و typo-squatting (برای اطلاعات بیشتر: مقاله، ویدیو، گزارش)
  3. سال 2022 سال رشد بی سابقۀ دیتای CVE بود. Jerry این دیتا را بررسی کرده و برخی از جالب ترین نقاط داده را برایمان بیان می کند (برای اطلاعات بیشتر: مقاله، گزارش)
  4. محققان امنیتی وب در مقابل صنعت خودرو: آسیب پذیری های بحرانی در Ferrari، BMW، Rolls Royce، Porsche و… (برای اطلاعات بیشتر: مقاله)

✅ گزارش تغییرات:

  1. Intigriti اکنون یک تولید محتوا کنندۀ جدید دارد: Crypto cat (برای اطلاعات بیشتر: ویدیو)
  2. reconFTW v2.5.1 ابزاری است که به منظور اعمال ریکان خودکار روی دامین هدف از طریق اجرای بهترین مجموعه از ابزارها طراحی شده تا عملیات اسکن را انجام داده و آسیب پذیری ها را پیدا کند. (برای اطلاعات بیشتر : گیت‌هاب)
  3. DOMPurify 2.4.3 یک سنیتایزر XSS بسیار سریع، DOM-only و با مقاومت بالا برای HTML، MathML و SVG است. ابزار DOMPurify با پیشفرضی امن کار کرده، قابلیت ها و تنظیمات متعددی را ارائه می دهد. (برای اطلاعات بیشتر: گیت‌هاب)

📅 رویدادها:

  1. راهنمای مدیریت آسیب پذیری OWASP در 12ام ژانویه (برای اطلاعات بیشتر: رشته توییت)
  2. اولین قسمت از پادکست «باگ بانتی با تفکر انتقادی» (برای اطلاعات بیشتر: رشته توییت)

🎉جشن ها و تبریک ها:

  1. صحبت های MrTuxracer در رابطه با اولین باگی که در سال 2023 یافته است: دور زدن احراز هویت کاملاً دیوانه کننده که بر روی یکی از وندورهای فایروال تاثیر می گذارد. حواستان به CVE-2023-22620 باشد! (برای اطلاعات بیشتر: رشته توییت)
  2. Masonhck357 اولین آسیب پذیری سال 2023 را روی یک برنامۀ 3 ساله پیدا کرد. ایول! (برای اطلاعات بیشتر: رشته توییت)
  3. Jason HaddixCISO جدید و محقق امنیتی مسئول شرکت BuddoBot شد. بزن بریم! (برای اطلاعات بیشتر: رشته توییت)

💰شغلی:

  1. سه چیز مهمی که اگر بخواهید در سال 2023 کار پیدا کنید باید دربارۀ آن بدانید. (برای اطلاعات بیشتر: ویدیو)

⚡کامیونیتی:

  1. zseano همچنان دوران سختی را به علت سر و کله زدن با بیماری می گذارند. امیدواریم هر چه سریع تر حالت بهتر شود! (برای اطلاعات بیشتر: رشته توییت)
  2. I_Am_Jakoby به دنیای همکاری با تولیدکننده های محتوا در حوزۀ امنیت سایبری است. آیا شخصی علاقه مند برای این کار وجود دارد؟ (برای اطلاعات بیشتر: رشته توییت)
  3. Alethe تجربۀ وحشتناکی در را رابطه با CompTIA داشته است. (برای اطلاعات بیشتر: رشته توییت)
  4. Yassine Aboukir در حال پرواز و خروج از بالی است. سفر خوبی داشته باشی! (برای اطلاعات بیشتر: رشته توییت)
  5. MrTuxracer اهداف باگ بانتی خود را برای سال 2023 به اشتراک گذاشته است. (برای اطلاعات بیشتر: رشته توییت)

📰مطالب خواندنی:

  1. دستکاری ترافیک AES با استفاده از زنجیره ای از پروکسی ها و کلیدهای هاردکد شده (برای اطلاعات بیشتر: مقاله)
  2. Corben Leo به یک شرکت بزرگ (با بیش از 70 هزار کارمند) را از طریق مهندسی اجتماعی نفوذکرد. البته به صورت قانونی! (برای اطلاعات بیشتر: رشته توییت)
  3. افشای اسراری از عملیات GitHub: خواندن فایل ها و متغیرهای محیطی، اینترسپت ارتباطات شبکه/فرآیند، دامپینگ مموری (برای اطلاعات بیشتر: مقاله)
  4. چرا سال 2022 سالی بی سابقه در رابطه با پاداش های باگ بانتی برای GitLab محسوب می گردد. (برای اطلاعات بیشتر: گیت‌هاب)
  5. Auditooor Grindset، پس می خواهی حسابرس قرارداد هوشمند شوی! (برای اطلاعات بیشتر: مقاله)

📚منابع:

  1. دورۀ امنیت تهاجمی و مهندسی معکوس (OSRE). این منبع شامل کل دوره ای است که هنگام بهار در کالج Champlain پوشش داده شد. (برای اطلاعات بیشتر: وب‌سایت، کارگاه ها، یادداشت ها، اسلایدها)
  2. صحبت های Adrian در خصوص این که چگونه در سال 2023 یک باگ بانتی هانتر Web3 شویم. (برای اطلاعات بیشتر: رشته توییت)
  3. بیست خالق برتر باگ بانتی از دیدگاه Intigriti. (برای اطلاعات بیشتر: مقاله)
  4. یک لیست مشترک تنظیم شده دربارۀ منابع بی نظیر هوش منبع باز (OSINT) توسط ARPSyndicate. (برای اطلاعات بیشتر: گیت هاب)
  5. محتوای آموزشی تهیه شده توسط Sm4rty در رابطه با حسابرسی قرارداد هوشمند و امنیت web3 طی 365 روز سال. (برای اطلاعات بیشتر: گیت هاب)

🎥 تماشایی ها:

  1. I Hope This Sticks: گفتگویی از NahamCon2022EU توسط Spaceraccon، در رابطه با تحلیل ClipboardEvent Listeners برای XSS. (برای اطلاعات بیشتر: ویدیو)
  2. گفتگوی sec4dev2022: افزایش مقیاس امنیت اپلیکیشن از طریق Clint Gibler. (برای اطلاعات بیشتر: ویدیو)
  3. HackTheBox – سلامتی – 00:00 – مقدمه (برای اطلاعات بیشتر: ویدیو)
  4. یک گفتگوی دیگر از NahanCon2022EU: هانت میسکانفیگ های امنیتی Amazon Congito توسط Yassine (برای اطلاعات بیشتر: ویدیو)
  5. LevelUpX قسمت 13: SPI Flash برای هانترهای باگ بانتی توسط Nerdwell. (برای اطلاعات بیشتر: ویدیو)

 

🎵شنیدنی ها:

  1. سیزده قسمت برتر و پرشنیده شده از Darknet Diaries (برای اطلاعات بیشتر: رشته توییت)
  2. قسمت 287 شوی حریم خصوصی، امنیت و OSINT: سوالات شنوندگان، UNREDACTED 5 و OSINT 10 (برای اطلاعات بیشتر: SoundCloud)
  3. زندگی مخرب: پناهگاه سایبری، بخش اول (برای اطلاعات بیشتر: پادکست)
  4. آزمایشگاه Huberman: صحبت های Jocko Willink در رابطه با این که چگونه منعطف شوید، هویت خود را جعل کنید و دیگران را هدایت کنید (برای اطلاعات بیشتر: پادکست)
  5. Derek Sivers: چگونه به عنوان یک خالق و سازنده زندگی کنید و اینکه چرا باید همچون یک مونومانیا تمرکز کنید! (برای اطلاعات بیشتر: پادکست)

🧰ابزار:

  1. cool-retro-term یک مقلد ترمینال با ظاهری جذاب است که سعی در تقلید نمایشگرهای کاتودی قدیمی دارد. (برای اطلاعات بیشتر: گیت‌هاب)
  2. pgfutterاین امکان را برای شما فراهم می آورد تا به ساده ترین شکل ممکن فایل های CSV و JSON را در PostgreSQL ایمپورت کنید. (برای اطلاعات بیشتر: گیت‌هاب)
  3. distribute-damage به این منظور طراحی شده تا ابزار Burp را وادار به توزیع یکسان بار بین چندین تارگت اسکنر نماید. (برای اطلاعات بیشتر: گیت‌هاب)
  4. Kleber یک پلتفرم اشتراک گذاری فایل است که امکان حذف متادیتا را از روی فایل های آپلود شده برایتان فراهم می آورد، برای مثال می توانید دیتای EXIF را از تصاویر آپلودی حذف کنید. (برای اطلاعات بیشتر: گیت‌هاب)
  5. csp-report-extractor به منظور استخراج urlهای گزارش CSP از بخش report-uri در هدرها طراحی شده است. (برای اطلاعات بیشتر: گیت‌هاب)

با 100 دلار DigitalOcean را امتحان کنید. VPS آماده ای برای هانترهای باگ بانتی که من به شخصه برای تمامی نیازهای ریکان و اتومیشن خودم و به عنوان VPN از آن استفاده می کنم. این تیم تمامی منابع ابری موردنیاز شما را با قیمتی مناسب ارائه می نماید.

🍯 اکانت های توییتر پیشنهادی برای دنبال کردن:

  1. Michael1026H1ا: Michael Blake – نام کاربری در هکروان: micheal1026 – مهندس امنیت اپلیکیشن در Oregon
  2. sobedominikا: Dominik Sobe – موج سوار و محقق امینتی مستقل – توییت نویسی در رابطه با bootstrapping SaaS، اشتراک گذاری درس ها – مرکز راهنمایی حرفه ای @HelpkitHQ
  3. securintiا: Inti De Ceukelaire – محقق امنیتی- (اکانت هلندی) @intidc
  4. sw33tLieا: sw33tLie – محقق امنیتی و دانشجوی علوم کامپیوتر – 22 ساله – جزء 50 هانتر برتر در @Bugcrowd
  5. BeezSLSا: Beez – موسس @sls_lifestyle – Tech Made – نویسندۀ کیت استارتر مالی (Financial Starter Kit)

🚀 افزایش بهره وری:

  1. Codie Sanchez به شما نشان می دهد که چگونه خود را برای یک هفتۀ موفقیت آمیز آماده کنید. (برای اطلاعات بیشتر: رشته توییت)
  2. Santiago یازده روشی که ChatGPT می تواند ساعت های زیادی از هفته را برای دولوپرها ذخیره کند را به اشتراک گذاشته است. (برای اطلاعات بیشتر: رشته توییت)
  3. افراد با استفاده از چه ابزار یا تکنیک هایی می توانند سازنده تر باشند. (برای اطلاعات بیشتر: رشته توییت)
  4. Bashbunni ابزار pjs را انتشار داد که می تواند به عنوان یک CLI ساده برای به روزرسانی مرتب وضعیت پروژه های شما مورد استفاده قرار گیرد. (برای اطلاعات بیشتر: گیت‌هاب)
  5. دوازده درس موفقیت برای سال 2023 – درون گرایی قدرتی بزرگ در دنیای به سرعت در حال حرکت امروز است. (برای اطلاعات بیشتر: ویدیو)

🌐برنامه نویسی:

  1. سریع تر کردن 1,606,240 درصدی یک الگوریتم. (برای اطلاعات بیشتر: ویدیو)
  2. پاسخ به بیشتر پرسیده شده ترین سوال مهندسی نرم افزار: چگونه مهندس بزرگی شوم؟ (برای اطلاعات بیشتر: ویدیو)
  3. Copilot internals تهیه شده توسط Thakkar سعی دارد به سوالات ویژه در رابطه با داخلی های Copilot پاسخ دهد. (برای اطلاعات بیشتر: مقاله)
  4. اپلیکیشن وب futurecoder به شما کمک می کند تا برنامه نویسی را از ریشه یاد بگیرید. این اپلیکیشن حاوی یک دورۀ پایتون 100 درصد رایگان و عملی برای مبتدیان نیز هست. (برای اطلاعات بیشتر: وب‌سایت)

🧠دانش و آگاهی:

  1. Jason Haddixیادآوری می کند که با دوستانمان وقت بگذرانیم. او از این کار تحت عنوان بهترین سرمایه گزاری برای سلامت ذهنی یاد می کند. (برای اطلاعات بیشتر: رشته توییت)
  2. چند سوال مهم و تامل برانگیز. (برای اطلاعات بیشتر: رشته توییت)
  3. دانش TESS: از طریق آنچه از سر می گذرانید، رشد کنید. (برای اطلاعات بیشتر: رشته توییت)
  4. رشته توییت Ben Sadeghipour در رابطه با محتوای آموزشی. (برای اطلاعات بیشتر: رشته توییت)
  5. صحبت های Wes Bos دربارۀ مبارزه با فرسودگی ذهنی جسمی یا همان burnout. (برای اطلاعات بیشتر: رشته توییت)

💛صحبت ها و مصاحبه های متقابل:

  1. صحبت های Jeffrey Way در خصوص کالری شماری برای کاهش وزن. (برای اطلاعات بیشتر: رشته توییت)
  2. WinterFest 2021 ابتکار عملی است که در آن شرکت های نرم افزاری Artisanal گرد هم آمده و تخفیف هایی را پیشنهاد می دهند. (برای اطلاعات بیشتر: وب‌سایت)
  3. بهترین صندلی های اداری بر اساس نتیجه گیری های انجام شده در توییتر. (برای اطلاعات بیشتر: وب‌سایت)
  4. ChatGPT Prompts فوق العاده، مجموعه ای از مثال های prompt برای مورد استفاده قرار گرفتن با مدل ChatGPT است. (برای اطلاعات بیشتر: وب‌سایت)
  5. محتوای تکنولوژی (وبلاگ ها، پادکست ها) ساخته شده توسط بانوان. (برای اطلاعات بیشتر: رشته توییت)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *