دروغ برای زنده ماندن، عصر تاریک AI و AppSecSchool

سلام به همراهان همیشگی امنیت سایبری با محمد 👋

چیزی که در ابتدا میخواهم با شما درباره آن صحبت کنم “خود دیگر” است.

انتخاب یک خود دیگر می‌تواند هنگام مواجه شدن با شرایط سخت و پرفشار مفید باشد، چراکه برای افزایش عملکرد و کارایی شما درآن لحظه و شرایط مفید واقع شود.

ماهیت این “خود دیگر” این است که اگر شما در کاری یا چیزی مهارت ندارید، ازین خود دیگر استفاده می‌کنید، و آن رفتار یا ایگو را در نسخه جایگزین تان آشکار می‌کنید. با تمرین و تکرار بیشتر و در زمان مناسب این من دیگر خودش را نشان می‌دهد و شما هم به آن مسلط تر می‌شوید.

بیانسه این کار را با ساشا فیرس انجام داد، کوبی برایانت مامبای سیاه بود و مارشال مترز اسلیم شیدی را دارد.

اسم آلتر ایگوی شما چیست؟

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

🐝اخبار دست اول

  1. زمانیکه شما برای زنده ماندن دروغ می‌گویید، همه کس و همه چیز قابل نفوذ هستند. خاطرات دارک‌نت، اپیزود 134 با Deviant، متخصص نفوذ فیزیکی. (کسب اطلاعات بیشتر)
  2. بااستفاده از این منابع شکار جایزه آسیب‌پذیری را یادبگیرید. Katie لیستی از منابع سال 2023 ساخته که دربرگیرنده خبرنامه‎ها، کانال های یوتیوب، وبلاگ ها، رایت‌آپ ها و کتاب ها و… مورد علاقه خودش است. (کسب اطلاعات بیشتر)
  3. حملات iOS Deep Link قسمت 1- معرفی. در قسمت اول این سری از حملات iOS Deep Link، آنها به بررسی نحوه تشخیص انواع مختلف طرحواره های استفاده شده در اپلیکیشن های iOS و شناسایی آسیب‌پذیری های بالقوه همراه با آنها پرداخته اند. (کسب اطلاعات بیشتر)
  4. IppSec چگونه Parrot را بازسازی می‌کند و از Ansible برای سفارشی سازی اسکریپت تصویر خود استفاده می‌کند. (کسب اطلاعات بیشتر)
  5. AppSecSchool که توسط PentesterLab ساخته شده است، کمتر جنبه های فنی امنیتی اپلیکیشن را پوشش می‌دهد، به خصوص برای افرادیکه می‌خواهند به عنوان مهندس امنیت اپلیکیشن کار کنند یا هم اکنون درحال کار دراین زمینه هستند. (کسب اطلاعات بیشتر)

✅ گزارش تغییرات

  1. Intigriti با Slack ادغام می‌شود. این ویژگی به شما این امکان را می‌دهد که هر زمان رویدادهای مشخصی اتفاق بیفتد، به‌روزرسانی‌های خودکار در کانال‌های Slack شما ارسال شود. (کسب اطلاعات بیشتر)

📅 رویدادها

  1. Subreddit ها از 12 ژوئن به بعد به حالت دارک یا فقط-خواندنی خواهند بود. (کسب اطلاعات بیشتر)
  2. STÖK درحال آماده شدن برای رویداد BlackHat US: مسلح کردن متن ساده: دنباله های ANSI Escape، کابوس‌های قانونی. (کسب اطلاعات بیشتر)
  3. HackerOne در حال شمارش معکوس برای برگزاری رویدادهای تست نفو زنده بومی. یکی از این برنامه در توکیو برگزار خواهد شد. (کسب اطلاعات بیشتر)
  4. اولین سخنرانی رو در رو TomNomNom پس از سال‌ها، و معرفی ابزار جدید در BSides Leeds. (کسب اطلاعات بیشتر)

🎉 پیام های تبریک

  1. Katie در یک شبکه خبری معروف درباره حملات زنجیره منابع صحبت می‌کرد. خیلی هیجان انگیز بود! (کسب اطلاعات بیشتر | ویدیو)

💰 شغلی

  1. 8 ویژگی قدرتمند اما نادیده گرفته شدهLinkedIn که به میزان قابل توجهی جستجوی کار شما را افزایش می‌دهد. (کسب اطلاعات بیشتر)
  2. سفر سایبری ایوان اوتینگر از TCM Security. (کسب اطلاعات بیشتر)
  3. Gitlab به دنبال یک مهندس سطح ارشد Red Team است، کسی که دارای بیش از 2 سال تجربه در انجام تمرینات شبیه سازی دشمن به عنوان اپراتور داخلی Red Team یا به عنوان مشاور باشد. (کسب اطلاعات بیشتر)

⚡کامیونیتی

  1. حسین کمربند Bugcrowd خود را برای ثبت بیش از 100 گزارش آسیب‌پذیری P1 دریافت کرد. (کسب اطلاعات بیشتر)
  2. Corey و بقیه دوستانش آرزو می‌کنند که کاش خیلی قبل تر درباره باگ بانتی آگاه می‌شدند و خیلی زودتر از اینها شروع به کارمی‌کردند. (کسب اطلاعات بیشتر)
  3. جیسون حرف‌های بسیار جدی خانوادگی را مطرح کرد. (کسب اطلاعات بیشتر)

📰 خواندنی ها

  1. تصاحب حساب کاربری به دلیل اعتبارسنجی ناکافی URL روی پارامتر RelayState. (کسب اطلاعات بیشتر)
  2. RCE از طریق کوتاه کردن LDAP در hg[.]mozilla[.]org. تمرکز اصلی آنها بر روی Pash بود که در هنگام مدیریت عملیات hg از طریق SSH به جای پوسته استفاده می شود. (کسب اطلاعات بیشتر)
  3. Patch Diffing Progress MOVEIt Transfer RCE (CVE-2023-34362). در چند روز گذشته، عوامل تهدید از یک آسیب‌پذیری مهم پیش از احراز هویت در Progress MOVEIt Transfer سوء استفاده کرده‌اند. (کسب اطلاعات بیشتر | Huntress MOVEit Transfer Critical Vulnerability Rapid Response)
  4. Nuclei فراتر از HTTP: استفاده از Nuclei برای کشف آسیب‌پذیری‌ها در اتصالات TCP خام، DNS، فایل‌ها و موارد دیگر. (کسب اطلاعات بیشتر)
  5. از بین بردن کمپین های اطلاعات نادرست نرم افزارهای جاسوسی. در اوایل سال 2022، درست زمانی که بیماری همه گیر کمی قابل کنترل تر می شد، Lukasz متوجه شد یک کاربر توییتر اطلاعات نادرستی را در مورد Pegasus به اشتراک می گذارد. (کسب اطلاعات بیشتر)

📚 منابع

  1. blackarrowsec/redteam-research مجموعه ای از PoC ها و تکنیک های تهاجمی استفاده شده توسط تیم قرمز BlackArrow. (کسب اطلاعات بیشتر)
  2. Steph منابع معرفی شده ای که اکنون هم کارایی دارند و به نام Ultraspeaking معروف هستند را به اشتراک گذاشت. (کسب اطلاعات بیشتر)
  3. پیشنهاداتی دررابطه با شروع ساخت یک کانال YouTube. (کسب اطلاعات بیشتر)
  4. jsjoeio/indie-university روی دوره‌های آموزشی برگزیده برای کمک به رشد شما در مسیر تبدیل شدن به محقق امنیتی مستقل تاکید می‌کند. (کسب اطلاعات بیشتر)

🎥ویدیوهای پربازدید

  1. پادکست The Intruder Alert – قسمت 1: آیا جاسوس افزار TikTok، ChatGPT جایگزین مشاغل، شکستن VoiceID است. (کسب اطلاعات بیشتر)
  2. Tib3rius چالش سطح متوسط ” wafwaf” از HackTheBox را حل می‌کند. (کسب اطلاعات بیشتر)
  3. IppSec در مقابل HackTheBox – TwoMillion قرار می گیرد. (کسب اطلاعات بیشتر)
  4. تلاش برای پیدا کردن باگ در وردپرس. درحالیکه این چالش امنیتی با شکست مواجه شده است، هنوز هم چیزهای زیادی برای یادگرفتن در طول فرآیند وجود دارد. (کسب اطلاعات بیشتر)
  5. خوشبینی آمریکایی قسمت 61: ترک دبیرستان برای ساخت ویترین Beast- داستان Guillermo Rauch (Vercel). (کسب اطلاعات بیشتر)

🎵 شنیدنی ها

  1. کسب و کار پرخطر #709: Cl0p با MOVEit روز صفر از کوره در رفت. در برنامه این هفته Patrick Gray و Adam Boileau درباره اخبار امنیتی این هفته به گفتگو پرداخته اند. (کسب اطلاعات بیشتر)
  2. Smashing Security 325: Rick Astley و کلاهبرداری پرنده کوچک. آژانس اطلاعات سیگنال استرالیا از یک ستاره موسیقی پاپ دهه هشتادی دعوت می کند تا با تروریسم مبارزه کند و یک عمل ساده محبت آمیز منجر به کلاهبرداری یک زن هزاران نفر می شود. (کسب اطلاعات بیشتر)
  3. تفکرانتقادی- پادکست باگ بانتی قسمت 22: حف تراشه در تست نفوذ سخت افزاری. آنها در مورد برخی از مفاهیم اساسی/متوسط مرتبط با تست نفوذ سخت افزار صحبت می کنند. (کسب اطلاعات بیشتر)
  4. برنامه Tim Ferriss قسمت 668: Derek Sivers – لذت های زندگی بهینه سازی نشده، پیدا کردن راه هایی که کمتر از آنها استفاده شده و چیزهای دیگر. (کسب اطلاعات بیشتر)
  5. پادکست CYBR – چگونه به کمک Hakluke باگ بانتی را شروع کنیم و پیشرفت کنیم. (کسب اطلاعات بیشتر)

🧰 ابزارها

  1. RapidDNS/Afuzz یک ابزار عیب یابی مسیر وب خودکار برای پروژه های باگ بانتی. (کسب اطلاعات بیشتر)
  2. unethicalnoob/simplejs یک اسکریپت bash ساده برای جمع‌آوری فایل‌های JS از waybackurls و بررسی آنها بااستفاده از قالب های افشای nuclei به منظور وجود هرگونه افشا و آشکار سازی. (کسب اطلاعات بیشتر)
  3. swisskyrepo/GraphQLmap یک موتور اسکریپ‌نویسی برای برقراری تعامل با یک اندپوینت graphql برای اهداف تست نفوذ است. (کسب اطلاعات بیشتر)
  4. microsoft/restler-fuzzer اولین ابزار عیب یابی وابسته به حالت سیستم REST API برای تست خودکار سرویس های ابری ازطریق REST API های آناه و کشف باگ های امنیتی و اعتباری در این سرویس ها است. (کسب اطلاعات بیشتر)
  5. edoardottt/favirecon از ico برای بهبود مرحله ریکان هدف تان استفاده می‌کند. تکنولوژی های تشخیص سریع، WAF، پنل های افشا شده، سرویس های شناخته شده. (کسب اطلاعات بیشتر)

💡 نکات کاربردی

  1. bombon به افرادیکه میخاوهند شروع به شکار جایزه آسیب‌پیری کنند پیشنهاد می‌کند که به جای خرید دوره‌های آموزشی به دنبال یک منتور باشند. (کسب اطلاعات بیشتر)
  2. امروز یاد گرفتم که از Nmap برای شمارش زیردامنه هم می‌توانیم استفاده کنیم. (کسب اطلاعات بیشتر)
  3. نکاتی برای کمک به شما در مطالعه بیشتر درصورتیکه از مشکل حواس پرتی رنج می‌برید. (کسب اطلاعات بیشتر)
  4. هنگام بازگشت به باگ بانتی چه نکاتی را باید درنظر داشت. (کسب اطلاعات بیشتر)
  5. امروز یاد گرفتم که ماوس پد و دسک پد را در ماشین لباس شویی و دستگاه خشک کن میتوانیم تمیز کنیم. (کسب اطلاعات بیشتر)

🍯دنبال کنید

اکانت های توییتر پیشنهادی برای دنبال کردن.

  1. @Yassineaboukir ا| Yassine Aboukir  ا| مشاور امنیت اپلیکیشن باگ بانتی‌ (جز 20 نفر اول H1، MVH و برد مشاور تست نفوذ) • عشایر دیجیتالی • ورزشکار مشتاق.
  2. @danielverlaan ا| Daniël Verlaan ا| خبرنگار تکنولوژی RTL Nieuws ا| WIDM 2023 | winnaar Tegel & Loep.
  3. @OliviaGalluccii ا| Olivia Gallucci ا| امنیت تهاجمی @ Apple ا| مدافع FOSS و کاربر پرافتخار Linuxا| RIT 2025 | مونث.
  4. @0x00secOfficial ا| 0x00sec ا| 0x00sec- خانه محقق امنیتی- بدافزار، مهندسی معکوس و علوم کامپیوتر.
  5. @jacopotediosi ا| Jacopo Tediosi ا| مشاور امنیت نرم افزار در @ IMQ Minded Security ~ دیوانه IT و امنیت سایبری ~ بازیکن N00b CTF.

🚀 بهره وری

  1. کتاب Mike به گردش کار، قدرت استفاده از Obsidian و MindNote پرداخته است. (کسب اطلاعات بیشتر)
  2. اپلیکیشن های یادداشت برداری، قبرستان ایده ها. ما تصور می‌کنیم که یادداشت می‌کنیم تا بعدا فراموش نکنیم، ولیکن این کار بیشتر رها کردن و خلاص شدن از شر آن ایده است. برای اینکه این یادداشت ها بتوانند برای ما مفید باشند، این موارد را باید به صورت فرضیه درآوریم. (کسب اطلاعات بیشتر)
  3. استفاده از یک تم مینیامال پیکربندی macOS برای Obsidian. (کسب اطلاعات بیشتر)
  4. توسعه متن در Obsidian با Espanso. یکی از ابزارهای بهره وری مورد علاقه من. (کسب اطلاعات بیشتر)
  5. Danny چگونه از به روزرسانی 2023 میانی Obsidian استفاده می‌کند. (کسب اطلاعات بیشتر)

🌐 تکنولوژی

  1. شرکت‌ها در رابطه با محتوای تولید شده توسط کاربر، از یک طرز فکر باز پیش‌فرض به ذهنیت بسته پیش‌فرض تغییر می‌کنند. همانطور که Swyx می گوید: “هوش مصنوعی وارد عصر تاریکی می شود”. (کسب اطلاعات بیشتر)
  2. راهی آسان برای یافتن کلمات کلیدی کم رقابت، ترافیک بالا و ارزش بالا برای زمینه شغلی و کاری شما. (کسب اطلاعات بیشتر)
  3. Rosie درزمان حف یک اپلیکیشن موبایل یک UX جالب به اشتراک می‌گذارد. به نظر من کار بسیار هوشمندانه ای است و دوست دارم کارهای بیشتری از او ببینم. (کسب اطلاعات بیشتر)
  4. آشنایی با توکن سازهای GPT. مدل های زبانی بزرگ مانند GPT-3/4، LLaMA و PalM به لحاظ توکن کار می کنند. آنها متن را می گیرند، آن را به توکن‌ (اعداد صحیح) تبدیل می کنند، سپس پیش بینی می کنند که کدام توکن ها باید در مرحله بعدی قرار گیرند. (کسب اطلاعات بیشتر)
  5. راه اندازی مانند اپل. تنها چیزی که هر کسی در حوزه فناوری می تواند در این چند روز گذشته در مورد آن صحبت کند، عرضه Vision Pro اپل، اولین دستگاه جدید آن در سال های اخیر است. (کسب اطلاعات بیشتر | دوچرخه ای برای تمام حواس)

🧠دانش و آگاهی

  1. TESS به نقل از McGregor می‌گوید: “اینجا هیچ استعدادی مطرح نیست، فقط سخت کار کردن مطرح است. اینجا وسواس مطرح است.” (کسب اطلاعات بیشتر)
  2. Emily 37 درس زندگی از خوشگرانی تا دراوردن پدر زندگی را به اشتراک گذاشته است. (کسب اطلاعات بیشتر)
  3. جالب ترین افراد میلیاردرهای فوق العاده موفق نیستند. آنها محققان امنیتی زندگی هستند. (کسب اطلاعات بیشتر)
  4. 10 راه قدرتمند برای ” به خود نگرفتن” همه چیز. (اطلاعات بیشتر)
  5. Julia از چند افسانه بلاگری پرده برداری می‌کند. (کسب اطلاعات بیشتر)

💛 صحبت ها و مصاحبه های متقابل

  1. کاوش ریتم‌ها و خطوطی که قوانین را زیر پا می گذارد. (کسب اطلاعات بیشتر)
  2. ما همیشه در مورد پرداختن به آینده صحبت می کنیم، اما زمانی که مردم با بالا بردن قهرمانان محو شده به گذشته می‌پردازند، به همان اندازه قابل توجه است. (کسب اطلاعات بیشتر)
  3. زندانیانی که با دانشجویان لیگ ivy به رقابت پرداختند و برنده شدند. (کسب اطلاعات بیشتر)
  4. شکل و شمایل اینترنت 10 سال پیش را ببینید. (کسب اطلاعات بیشتر)
  5. دانشجوی خلبانی 21 ساله، هواپیای خودش را بدون چرخ های دماغه فرود آورد. (کسب اطلاعات بیشتر)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *