از یادگیری ماشین متخاصم تا دور زدن رمزنگاری نامتقارن

سلامی گرم خدمت همراهان سایت امنیت سایبری با محمد!

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

 

🐝 اخبار دست اول:

  1. نقشه راه 2024 پیشنهادی OTW برای تبدیل شدن به استاد هکر. (کسب اطلاعات بیشتر: یوتیوب |یوتیوب)
  2. بهترین محتوای فنی از سال اول پادکست CTBB. دعوت می کنیم تا این نقاط برجسته از برخی از بهترین لحظات فنی سال گذشته را تماشا کنید. (کسب اطلاعات بیشتر)
  3. NIST یک نشریۀ 106 صفحه ای دربارۀ امنیت AI منتشر کرد. این نشریه یادگیری ماشین متخاصم نامگذاری شده است: طبقه بندی و اصطلاحات حملات و اقدامات کاهشی. (کسب اطلاعات بیشتر)
  4. گزارشی افشا شده از یک YelpATO از طریق XSS + Cookie Bridge. (کسب اطلاعات بیشتر)
  5. پنیک در YAML!! مروری بر آسیب پذیری های SnakeYAML (CVE-2022-1471) – چگونه کار می کند، چرا کار می کند و چه چیزی را تحت تاثیر قرار می دهد. (کسب اطلاعات بیشتر)

 

✅  گزارش تغییرات:

  1. DOMPurify 3.0.8 یک سنیتایزر XSS مقاوم در برابر uber، DOM-only و بسیار سریع برای HTML، MathML و SVG است. (کسب اطلاعات بیشتر)

 

🎉 جشن ها و تبریک ها:

  1. Corben دیوانه کننده ترین آسیب پذیری عمرش را پیدا کرد. بی صبرانه منتظرم ببینم چی بوده! (کسب اطلاعات بیشتر)
  2. Bsysop، هانتر شمارۀ یک در تابلوی امتیازات ماه دسامبر Bugcrowd محسوب می گردد. بزن بریم! (کسب اطلاعات بیشتر)

 

💰 حرفه:

  1. موقعیت کاری: تیم Steve هر چه سریع تر دنبال استخدام دو تست نفوذگر باتجربه است. شما می بایست ساکن USA باشید و نحوۀ کار 100 درصد به صورت از راه دور است. (کسب اطلاعات بیشتر)
  2. Caitlinچگونگی یک هفتۀ معمولی از یک SOC Lead را در یک 24x7x365 SOC بزرگتر به اشتراک می گذارد. (کسب اطلاعات بیشتر)
  3. از 14 دلار در ساعت در Best Buy تا 269 هزار در سال به عنوان تحلیلگر امنیت سایبری خارج از کشور. (کسب اطلاعات بیشتر)
  4. موقعیت شغلی: لیدر بازاریابی محصول فنی در Oxide. (کسب اطلاعات بیشتر)

 

⚡️  کامیونیتی:

  1. افراد در مورد هانتری صحبت می کنند که بیشترین یادگیری را از وی داشته اند. (کسب اطلاعات بیشتر)
  2. Intigriti با leorac مصاحبه کرده، یک هانتر پاره وقت و مهندس نرم افزار تمام وقت از ایتالیا. (کسب اطلاعات بیشتر)
  3. Daniel (نگهدارندۀ Curl) تجربیات خود را با آن دسته از محققان امنیتی که از AI برای گزارش باگ های جعلی استفاده می کنند، به اشتراک می گذارد. او دوست دارد این گزارشگران را از هر گونه ارتباط تحریم کند و می گوید این دسته از گزارش ها به مرور زمان رایج تر خواهند شد. (کسب اطلاعات بیشتر)
  4. Taelur اولین رایت اپ HTB خود را در رابطه با Broker w/o Metasploit می نویسد، یک ماشین لینوکسی سطح آسان که از CVE-2023-46604 استفاده می کند. این رایت اپ حتی شامل بخش remediation نیز هست. (کسب اطلاعات بیشتر)

 

📰 مطالب خواندنی:

  1. Bitwarden Heist: چگونه بدون استفاده از رمزعبور، وارد خزانه های رمز عبور شویم. برخی اوقات، گرفتن برخی تصمیمات طراحی امنیتی ویژه می تواند نتایج غیرمنتظره ای داشته باشد. (کسب اطلاعات بیشتر)
  2. metatrapd سرویسی برای اندپوینت های متادیتای ابری است که بی سر و صدا بر روی تلاش های دسترسی به سرویس متادیتای ابری نظارت کرده و هشدار می دهد. (کسب اطلاعات بیشتر)
  3. Identity-Aware Proxy Misconfiguration یک آسیب پذیری مربوط به Google Cloud است. در ابتدا شما باید بدانید که پروکسی آگاه از هویت (IAP) چیست و چگونه کار می کند. IAP یک سرویس پلتفرمGoogle Cloud است که در کنترل دسترسی به اپ های مستقر بر روی ابر کمک کرده و به آن دسته از درخواست هایی که از سوی کاربر احراز هویت شده می آید، اجازه عبور می دهد. (کسب اطلاعات بیشتر)
  4. دور زدن رمزنگاری نامتقارن سمت کاربر بدون کلید خصوصی. به کمک افزونۀ PyCript در Burpsuite، می توانیم تست نفوذ دستی یا اتوماتیک یا باگ بانتی را بر روی اپلیکیشن هایی که رمزنگاری سمت کاربر دارند، آسان تر نماییم. (کسب اطلاعات بیشتر)
  5. مرور باگ بانتی GitLab در سال 2023. هر سال تیم امنیت اپلیکیشن آن ها، خلاصه ای از هایت لایت های برنامۀ باگ بانتی GitLab تهیه می نماید. (کسب اطلاعات بیشتر)

 

💡 نکات:

  1. ctrl-b + f امکان جستجو بین نشست های tmux را برایتان فراهم می سازد. (کسب اطلاعات بیشتر)
  2. یک پایپلاین CyberChef که Google Authenticator را parse کرده، کدهای QR را صادر و با آن ها TOTP تولید می نماید. (کسب اطلاعات بیشتر)
  3. Justin تعدادی اهداف باگ بانتی جایگزین که می توانید به جای کسب کردن موارد جهت دار از آن ها استفاده نمایید را به اشتراک می گذارد. (کسب اطلاعات بیشتر)

 

🍯  دنبال کنید:

اکانت های توییتر پیشنهادی این سری:

  1. @almroot ا– Fredrik N. Almroth – هم بنیان گذار و محقق امنیت در @detectify. من از کد زدن برای هک کردن چیزها استفاده می کنم.
  2. @ADITYASHENDE17 ا– Aditya Shende – جزو 100 نفر برتر Bugcrowd – بانتی هانتر – مربی – ادمین در @HackersMarathi – امنیت سایبری MS در @uniofeastanglia
  3. @codecancare ا- todayisnew – امیدوارم همیشه در کنار صفحه نمایش حالتان خوب باشد
  4. @fransrosen ا- Frans Rosén – دولوپر/امنیت/موسس در @centrahq/@detectify/@poweredbyingrid – من انجام خدمات هکینگ رو تبلیغ نمی کنم، به اونایی که بهتون میگن این کار رو می کنم اعتماد نکنید.
  5. @xnyhps ا– Thijs Alkemade  – محقق امنیت در @ Computest @sector7_nl – استاد PWN در @ Pwn2Own 2021 & 2022

 

🚀 بهره وری:

  1. Terminal Sundayبه شما اجازه می دهد تا هر نشست ترمینال جدید را با یک یادآوری قابل تامل از زمانی که می بایست صرف کنید تا بیشترین استفاده از زندگیتان ببرید، آغاز کنید. (کسب اطلاعات بیشتر)
  2. Zero to IDE با LazyVim – من از این ویدیو در کنار تعدادی ویدیوی دیگر استفاده کردم تا کانفیگ neovimام را دوباره انجام دهم. (کسب اطلاعات بیشتر)
  3. Joel دو اتومیشن میانبر برای آیفون به اشتراک می گذارد. (کسب اطلاعات بیشتر)
  4. چگونه در 24 دقیقه برای سال 2024 برنامه ریزی کنیم توسط Jesse Itzler – اگر با Jesse آشنا نیستید، باید بگویم که قرار است چیزی هیجان انگیز را تجربه کنید. لذت ببرید! (کسب اطلاعات بیشتر)
  5. مرور آخر سال 2023 توسط Sam: مالی، ورزشی، خانوادگی، سرگرمی. او تعدادی از نقاط برجسته و البته کم رنگ خود را در سال 2023 مرور می کند. (کسب اطلاعات بیشتر)

 

🌐 فناوری:

  1. آیا بالاخره 2024 را می توان سالی برای یادگیری GO دانست؟ Bashbunni نحوۀ این کار را به شما نشان می دهد. (کسب اطلاعات بیشتر)
  2. آیا ما git commit ها را به عنوان diffها، اسنپ شات ها یا هیستوری ها می شناسیم؟ Julia در این باره توضیح می دهد. (کسب اطلاعات بیشتر)
  3. Simon نکات برجسته ای که در سال 2023 در مورد AI متوجه شدیم را بررسی می کند. سالی که نقطۀ پیشرفت بزرگی برای مدل های زبانی بزرگ (LLMs) محسوب میشد. (کسب اطلاعات بیشتر)
  4. NotebookLM اولین دفترچه یادداشت AI توسط Google است که به عنوان Copilot برای Google Docs محسوب می گردد. (کسب اطلاعات بیشتر)

 

🧠 دانش و آگاهی:

  1. Peter به ما یادآوری می‌کند که مسیر ما سنگ‌اندازی نشده است: «اگر فیلمنامه زندگی خود را دوست ندارید، آن صفحات را پاره کنید… زندگی شما قلم است، نه کاغذ». (کسب اطلاعات بیشتر)
  2. Julie در رابطه با مواجهه با ترس هایتان می گوید: «آن هایی که با اژدها روبرو می شوند، طلا را می گیرند». (کسب اطلاعات بیشتر)
  3. درس های غیر واضح از Shaan در خصوص تبدیل شدن به یک خلق کننده یا مخاطب سازی. یکی از درس ها این است: شما می خواید «به خوبی شناخته شده باشید»، نه این که صرفاً «شناخته شده باشید» (کسب اطلاعات بیشتر)
  4. Ray در رابطه با این که چطور کاری را که در حال انجام آن هستید، بیشتر انجام دهید می گوید: «[…] زیرا شاید شما فقط قوانین را زیر پا نمی گذارید، شاید شما در حال بازنویسی این قوانین هستید.» (کسب اطلاعات بیشتر)
  5. Throttle Therapyیک سری از ویدیو ها است که در آن، Accidental CISOدر رابطه با سلامت ذهن و burnout در سطح متخصص های امنیت سایبری و امنیت اطلاعات سخن می گوید. (کسب اطلاعات بیشتر)

 

💛 صحبت ها و مصاحبه های متقابل:

  1. مقدمه ای بر کاهش زنبور عسل در USA و آنچه که ما می توانیم در مورد آن انجام دهیم. (کسب اطلاعات بیشتر)
  2. این مورد باعث شد من بخندم، بحث تجاری ترجمه شد. (کسب اطلاعات بیشتر)
  3. قهرمان جهانی Toastmasters International 2015، محمد قحطانی، در مورد «قدرت کلمات» سخن می گوید. (کسب اطلاعات بیشتر)
  4. Alex Hormozi رژیم خود را به اشتراک می گذارد – بیشتر از هر چیز، من مردم واقعی و منابع قابل اجرا را دوست دارم. (کسب اطلاعات بیشتر)

 

🤲 نقل قول:

از Nicolas Bouliane: «اگر چیزی را به روشی دشوار یاد گرفتید، یافته هایتان را با بقیه به اشتراک بگذارید. شما مسیر جدیدی را آغاز کرده اید؛ اکنون باید این مسیر را برای همسفران خود علامت گذاری کنید به اشتراک گذاری دانش، روشی موثر برای کمک کردن به دیگران است.»

 

🧰  ابزار:

  1. BishopFox’s sjبه عنوان یک ابزار خط فرمان، با این هدف طراحی شده که با بررسی اندپوینت های API دار از لحاظ احراز هویت ضعیف، در بازرسی فایل های تعریف Swagger/OpenAPIافشا شده، کمک کننده باشد. علاوه بر این، ابزار مذکور قالب های کامندی برای تست آسیب پذیری دستی فراهم می نماید. (کسب اطلاعات بیشتر)
  2. Shrewdeye Bash CLIمتعلق به tess-ss، یک بش ورپر است که به منظور ساده و موثر ساختن روند پیمایش زیردامنه ها برای محققان امنیتی طراحی شده است. سرویس های آن ها بسیار موثر بوده و نتایج سریع و درستی را برای اهداف تست و آزمایش فراهم می آورد. (کسب اطلاعات بیشتر)
  3. SSH-Snake متعلق به MegaManSec یک اسکریپت بدون فایل، خود تکثیر شونده و خود رپلیکیت کننده است که تسک post-exploitationکلید خصوصی SSH و host discovery را اتومیت می نماید. (کسب اطلاعات بیشتر)
  4. Artemisیک ابزار ماژولار ریکان وب و اسکنر آسیب پذیری مبتنی بر Karton است. (کسب اطلاعات بیشتر)
  5. Swam نسل بعدی Axiom است، «فریم ورک زیرساخت پویا برای همه!». این پروژه، هدف را مجدداً بر روی اسکن توزیع شده با قابلیت های نظارت بر سطح حمله، متمرکز می نماید. (کسب اطلاعات بیشتر)

 

📚 منابع:

  1. MITMonster متعلق به wearecaster یک چیت شیت فوق العاده برای حملات MITM است. (کسب اطلاعات بیشتر)
  2. Chromium Money Tree Browser، پاداش های Chrome VRP (باگ بانتی) را به تغییرات (عیب یابی) در فایل های خاص نگاشت می کند. (کسب اطلاعات بیشتر)
  3. چگونه bxmbn با استفاده از Google Dorking و Wayback Machineريال از یک افشای دادۀ حجیم جلوگیری و یک بانتی 15000 دلاری کسب کرد. (کسب اطلاعات بیشتر)
  4. پیدا کردن یک RCE Gadget Chain در هستۀ وردپرس. (کسب اطلاعات بیشتر)
  5. نقشه راه شما برای یادگیری هوش مصنوعی در سال 2024. (کسب اطلاعات بیشتر)

 

🎥 تماشایی ها:

  1. Ippsec به منظور تاکید بر اکسپلویت آسیب پذیری های متنوع با هدف دسترسی گرفتن به ماشین، در اقدامی HackTheBox Sau را انتخاب می کند که یک باکس نسبتاً سرراست محسوب می شود. (کسب اطلاعات بیشتر)
  2. توسعۀ افزونۀ Burp – بخش اول: راه اندازی و مقدمات. در این سری جدید از Tib3rius، آنچه را که Burp Extension API می بایست ارائه دهد را بررسی نمایید. (کسب اطلاعات بیشتر)
  3. مهندسی معکوس یک نقص کلاسیک Ocarina of Time که توسط اسپیدرانرها اکسپلویت شده است. (کسب اطلاعات بیشتر)
  4. در این گفتگوی OSINT هاردکور تحت عنوان معکوس سازی مکانیزم های شبکه اجتماعی که توسط Dmitry Danilov Soxoj ارائه می گردد، یاد می گیرید که چگونه برای به دست آوردن دیتای بیشتر، فیچرهای شبکه های اجتماعی را اکسپلویت کنید. (کسب اطلاعات بیشتر)
  5. goat sheep برگشته است! TomNomNom نحوۀ استفاده از Find Command را شرح می دهد. (کسب اطلاعات بیشتر)

 

🎵  شنیدنی ها:

  1. The Pig Butcher. جرمی که بیشترین ضرر مالی را به همراه دارد، کلاهبرداری BEC است. جرم، قصابی خوک است. Ronnie Tokazowski در خصوص این دنیای وحشی به ما توضیح می دهد. (کسب اطلاعات بیشتر)
  2. SaaS CEO شغل خود را ترک کرد تا یک شرکت آشغال راه اندازی کند – من از این اپیزود MFM لذت بردم که در آن، داستان زمانی را تعریف می کند که شما به اندازه کافی داشته اید و می بایست کنترل اوضاع را در دست بگیرید. (کسب اطلاعات بیشتر)
  3. The Big Dig همان چیزی است که بسیاری از افراد از آن تحت عنوان بهترین پادکست زیرساخت تمام دوران یاد می کنند. یک بدبینی وجود دارد که حول موضوع زیرساخت آمریکایی می چرخد – به نظر می رسد این کشور دیگر نمی تواند چیزهای بزرگ بسازد. هیچ پروژه‌ای مانند آنچه بوستونی‌ها آن را «The Big Dig» می‌نامند، بدبینی مذکور را تجسم نمی‌کند. (کسب اطلاعات بیشتر)

 

تا بخش بعدی اخبار، مراقب خود و همدیگر باشید 🙂

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *