آسان ترین باگ ها برای تازه کارها، آناتومی اتومیشن و آسیب‌پذیری کنجد شکسته (BrokenSesame)

آسان ترین باگ ها برای تازه کارها، آناتومی اتومیشن و آسیب‌پذیری کنجد شکسته (BrokenSesame)

سلام به همراهان همیشگی امنیت سایبری با محمد 👋

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

🐝اخبار دست اول

  1. مصاحبه با محقق امنیتی: ArchAngelDDay. رویکرد او برای پیدا کردن باگ در اپلیکیشن ها تمام نقاط نرم افزار را در برمی‌گیرد، حتی جاهایی که اپلیکیشن ها درخواست کاربر به دسترسی به این نقاط را رد می‌کند، او سپس راه هایی برای دورزدن این محدودیت ها را امتحان می‌کند تا آسیب‌پذیری های این نقاط را پیدا کند. (کسب اطلاعات بیشتر)
  2. “آسان‌ترین” باگ ها برای شروع؟ کنترل دسترسی و IDOR ها. هرگاه افراد سوال می‌کنند که درابتدا بهتراست دنبال چه باگی باشند، InsiderPhD برای این سوال همیشه یک پاسخ ثابت دارد: IDOR ها و مشکلات کنرتل دسترسی. (کسب اطلاعات بیشتر| کنترل دسترسی چیست؟)
  3. دزدین توکن دسترسی کارمندان GitHub بااستفاده از GitHub Actions. (کسب اطلاعات بیشتر)
  4. BrokenSesame (کنجد شکسته): مجوزهای “نوشتن” تصادفی به رجیستری های خصوصی که امکان RCE بالقوه را در سرویس‌های دیتابیس ابری علی بابا را به وجود آورد. تحقیقات Wiz یک زنجیره از آسیب‌پذیری هایی را در دو سرویس ابری علی بابا، ApsaraDB RDS برای PostgreSQL و AnalyticDB برای PostgreSQL کشف کرد. (کسب اطلاعات بیشتر)
  5. آناتومی اتومیشن: چرا عامل‌ها بعد از ChatGPTاپلیکیشن های کشنده هوش مصنوعی هستند. خلاصه اجرایی Auto-GPT/BabyAGI، تاریخچه خلاصه از هوش مصنوعی عامل ناشناس و پیش‌بینی ای از آینده ناشناخته. (کسب اطلاعات بیشتر)

✅  گزارش تغییرات

  1. hisxo/JSpector 2.4.8 – یک افزونه Burp Suite برای خزیدن در فایل های JavaScripts در حالت پسیو و نمایش مستقیم نتایج روی مشکلات. (کسب اطلاعات بیشتر)
  2. j3ssie/osmedeus v4.4.1 – موتور جریان کار برای امنیت تهاجمی. (کسب اطلاعات بیشتر)

📅رویدادها

  1. shubs قرار است امسال به همراه Sam Curry یک سخنرانی دررابطه با سرورهای EPP تست نفوذ و پروتکل EPP داشته باشد.

🎉 پیام های تبریک

  1. rez0 و rhynorater درحال ارائه ارزیابی‌های امنیتی و آزمایش‌هایی را برای سرویس‌های مبتنی بر هوش مصنوعی هستند. هیجان انگیزه! (کسب اطلاعات بیشتر)
  2. ca$s:e cage اولین 3 هفته خود را در شغل جدیدش بسیار جالب و هیجان انگیز سپری کرد. (کسب اطلاعات بیشتر)
  3. Corben Leo اولین آسیب‎‌پذیری بحرانی خودش را در HackenProof به @kucoincom ثبت کرد. عالی بود! (کسب اطلاعات بیشتر)
  4. hipotermia و همکارانش در راند بعدی جام جهانی سفیر HackerOne هستند. تبریک فراوان! (کسب اطلاعات بیشتر)

💰شغلی

  1. تیم قرمز CrowdStrike در حال جذب همکار هستند. (کسب اطلاعات بیشتر)
  2. اگر در انگلستان به دنبال موقعیت شغلی تست نفوذگر هستید، به Mantis یک پیام بدهید. (کسب اطلاعات بیشتر)
  3. بنیاد مرزی الکترونیک (EFF) درحال جذب یک مدیر فناوری منافع عمومی برای تیم فناوری منافع عمومی است. (کسب اطلاعات بیشتر)
  4. برای هر کارآفرین مشتاق، این لیست قطعی از سوالات از سوی مشارکت های غیرمعمول ، یک “بررسی کلی” عالی برای آزمایش این است که آیا آماده تبدیل یک ایده به چیزی مشخص هستید یا خیر. (کسب اطلاعات بیشتر)
  5. Ian Coldwater دنبال یک شغل درزمینه معماری امنیت، مدلسازی تهدید و قوانین پژوهش امنیت است. (کسب اطلاعات بیشتر)

⚡️ کامیونیتی

  1. Osirys به دنبال یک Burp bapp هست که کوکی ها را از درخواست های HTTP پنهان کند. (کسب اطلاعات بیشتر)
  2. Jason داستان بامزه ای از HackerOne و Bugcrowd را به اشتراک گذاشته است. (کسب اطلاعات بیشتر)
  3. Katie برای فصل Con آماده است. (کسب اطلاعات بیشتر)
  4. 0x52 آمار سال اول خود را با بررسی 115 پایگاه کد به اشتراک گذاشت. آنها با صرف حدود 1300 ساعت برای بررسی کد، 140 آسیب پذیری پرخطر و 250 آسیب پذیری متوسط پیدا کردند. (کسب اطلاعات بیشتر)
  5. برای اینکه محقق امنیتی شویم به چندعدد مانیتور نیاز داریم؟ ازنظر من، فقط یکی از مانیتورها مانیتور محبوب است. برخی افراد از 27 مانتیور استفاده می‌کنند. (کسب اطلاعات بیشتر)

📰  خواندنی ها

  1. داستان Chetan Nayak و Brute Ratel. (کسب اطلاعات بیشتر)
  2. تکنیک کشف آسیب‌پذیری Weblogic CVE-2023-21931: بهره برداری post-deserialization. (کسب اطلاعات بیشتر)
  3. آسیب‌پذیری‌های بحرانی چندگانه در نسخه های پایین تر از 4.7.1 Strapi –  Strapi چند آسیب‌پذری بحرانی داشت که می توانند برای به دست آوردن اجرای کد از راه دور تایید نشده به یکدیگر زنجیر شوند. (کسب اطلاعات بیشتر)
  4. چگونه در سال 2022 Cloudflare را دور بزنیم- با تخمینی 40 درصد از وب‌سایت‌ها که از شبکه تحویل محتوای Cloudflares (CDN) استفاده می‌کنند، دور زدن سیستم حفاظتی ضد ربات Cloudflare تبدیل به یک چالش شده است. (کسب اطلاعات بیشتر)
  5. شافزایش سرعت TruffleHog با Aho Corasick. آنها از الگوریتم Aho-Corasick برای بهینه سازی کلمات کلیدی استفاده کردند. درکل این کار به طور میانگین سرعت اسکنر کلی را 2 برابر کرد. (کسب اطلاعات بیشتر)

📚 منابع

  1. ورکشاپ ها و اسلایدهای سخنرانی های HackSpaceCon. (کسب اطلاعات بیشتر)
  2. سرفصل آموزشی 44 بخشی Golang از Matt KØDVB. (کسب اطلاعات بیشتر | اسلایدها)
  3. OffcierCia/non-typical-OSINT-guide غیرمعمول‌ترین راهنمای OSINT که تابه حال دیده اید. (کسب اطلاعات بیشتر)
  4. awesome-foss/awesome-sysadmin یک لیست تنظیم شده از منابع منبع باز و شگفت انگیز sysadmin است. (کسب اطلاعات بیشتر)
  5. هرچند کمی برای این منبع دیر است، اما اینجا یک راهنمای BSidesSF برای تازه کارها داریم. (کسب اطلاعات بیشتر)

🎥  ویدیوهای پربازدید

  1. دوره آموزشی OSCP رسمی ( PEN-200: تست نفوذ با Kali Linux ) به تازگی به روزرسانی شده است. مصاحبه با Jeremy Miller از OffSec درباره تغییرات.
  2. کنترل دسترسی مشکل دار – کارگاه #13 کنترل دسترسی مبتنی بر ارجاع. (کسب اطلاعات بیشتر)
  3. HackTheBox – بررسی تحقیقات. (کسب اطلاعات بیشتر)
  4. درصورتیکه در معرض خطر قرار گرفتید، این سه دستور IR اولین دستوراتی هستند که دراین شرایط به آنها نیاز دارید. (کسب اطلاعات بیشتر)
  5. جاوااسکریپت برای محققان امنیتیو قسمت 3 – پیاده سازی مجدد اپلیکیشن در React. (کسب اطلاعات بیشتر)

🎵 شنیدنی ها

  1. Latent Space قسمت 8- جستجوی سازمانی مبتنی بر هوش مصنوعی – با Deedy Das از  Glean. مشکلات سخت در ساخت یک تکشاخ جستجوی هوش مصنوعی، گوگل در مقابل ChatGPT، انجام ریاضیات پایی هوش مصنوعی، تشخیص متن تولید شده، و اینکه چرا شرکت‌ها به چیزی بیش از Document QA نیاز دارند. (کسب اطلاعات بیشتر)
  2. نمایش 294 The Privacy, Security, & OSINT – آماده شدن برای فاجعه خانگی. این هفته آنها درباره آمادگی برای فاجعه خانگی به همراه آخرین اخبار حریم خصوصی، امنیت و OSINT بحث می کنند. (کسب اطلاعات بیشتر)
  3. تفکر انتقادی – پادکشت باگ بانتی قسمت 16: جعبه ابزار محققان امنیتی. Joel و Justin درباره تجهیزات VPS ، ابزارهای تست نفوذ دم دستی، کامندهای لینوکسی که بیشتر مورد استفاده قرار می‌گیرند و روش هایی که همه اینها را برای تست نفوذهای بزرگ به هم می چسبانند. (کسب اطلاعات بیشتر)
  4. آهنگ هایی که به شما سرصبح انرژی می‌بخشند. (کسب اطلاعات بیشتر)

🧰  ابزارها

  1. aress31/burpgpt از قدرت هوش مصنوعی برای شناسایی آسیب‌پذیری‌های امنیتی استفاده می‌کند که اسکنرهای سنتی ممکن است از روی این آسیب‌پذیری ها رد شوند. این ابزار ترافیک وب را به یک مدل OpenAI مشخص شده توسط کاربر ارسال می کند و امکان تجزیه و تحلیل پیچیده را در اسکنر غیرفعال فراهم می کند. (کسب اطلاعات بیشتر)
  2. GerevAI/gerev یک موتور جستجوی مبتنی بر هوش مصنوعی برای محیط های کاری است. (کسب اطلاعات بیشتر)
  3. SSLMate/certspotter یک ناظر گزارش شفافیت گواهینامه از SSLMate است که زمانیکه گواهی SSL/TLS یکی از دامنه های شما با مشکل مواجه شود به شما اخطار می‌دهد. (کسب اطلاعات بیشتر)
  4. Bearer/bearer یک ابزار اسکن امنیت کد (SAST) است که خطرات امنیتی وآسیب‌پذیری هایی که منجر به افشای داده های حساس می‌شوند (PII, PHI, PD) را کشف، فیلتر و الویت بندی می‌کند. (کسب اطلاعات بیشتر)
  5. dagger/dagger یک موتور CI/CDقابل برنامه ریزی است که پایپ‌لاین های شما را داخل یک محفظه اجرا می‌کند. (کسب اطلاعات بیشتر)

💡 نکات کاربردی

  1. d3mondev درباره استفاده از shellcheck در زمان کار روی یک خط تولید ریکان پیچیده در Bash صحبت می‌کند. (کسب اطلاعات بیشتر)
  2. هویت آنلاین خود را با Keybase تأیید کنید – با توجه به تصمیم اخیر توییتر برای حذف علامت های آبی، این می تواند راهی برای تایید خود باشد. (کسب اطلاعات بیشتر)
  3. درطول جلسات شنیداری به ورزش کردن بپردازید – من شخصا این گزینه را امتحان خواهم کرد. (کسب اطلاعات بیشتر)

🍯 دنبال کنید

اکانت های توییتر پیشنهادی برای دنبال کردن.

  1. 0xacb ا | André Baptista ا| محقق امنیتی اخلاقی در سفر کهکشانی برای L1gh7 و Fr33dφm. هم‌بنیانگذار @ethiack.
  2. aaronsdevera ا| Aaron DeVera ا| محقق امنیتی سابق. محقق امنیتی مستقل @backchannelre، عضو نیروی ضربت سواستفاده جنسی سایبری NY و @cabalcx.
  3. tenderlove ا| Aaron Patterson ا| شغل: Shopify ا| PGP: 4CE9 1B75 A798 28E8 6B1A A8BB 9531 70BC B4FF AFC6
  4. obsdmd ا| Obsidian ا| مغز دوم شما برای همیشه. به کامیونیتی ما ملحق شوید!
  5. bxmbn ا| 00 |  | 19

🚀  بهره وری

  1. Amazon معادل Copilot خودش را منشتر کرد: Code Whisperer. چه کسی بهتر است؟ (کسب اطلاعات بیشتر)
  2. دلیل واقعی اینکه چرا شما هرگز این کار را دنبال نمی کنید (و چگونه آن را برطرف کنید) – من هرگز در مورد موج سواری اجباری نشنیده بودم اما قطعا این را اجرا خواهم کرد.(کسب اطلاعات بیشتر)
  3. تنظیم تم‌های سالانه برای قرار دادن اهداف در زیرمجموعه آنها. (کسب اطلاعات بیشتر)
  4. Christian چگونه پروژه ها و اهداف را در Obsidian مدیریت می‌کند. (کسب اطلاعات بیشتر)
  5. دستیار هوش مصنوعی برای Obsidian. چه اتفاقی می‌افتد اگر شما تمام جریان های کاری موجودتان را داخل Obsidian بریزید و فقط با طی کردن چند مرحله، قدرت هوش مصنوعی را به آن اضافه کنید؟ تمام اینها و خیلی بیشتر از آن هم اکنون از داخل Obsidian امکان پذیر است. (کسب اطلاعات بیشتر)

🌐 تکنولوژی

  1. Go Code Roast: Logstash به صادرکننده Prometheus – یک روش عالی برای یادگرفتن هرچه عمیق تر Go. (کسب اطلاعات بیشتر)
  2. چگونه مستندات خوبی بنویسیم. مستندات خوب فرق بین یک پروژه موفق و پروژه ای که در حال تلاش برای گرفتن یک جایگاه است را مشخص می‌‌کند. Jutanium به شما کمک می‌کند تا یک فایل مستند بی نقص، پرمحتوا بسازید، همچنین به ما نشان می دهد که چگونه فرایند مستندسازی پروژه مان را توسعه دهیم. (کسب اطلاعات بیشتر)
  3. این ویدیوها فرق بین pattern-not و pattern-not-inside در Semgrep را نشان می‌دهد. همچنین نشان می دهد که چرا بهتر است به جای pattern-not از pattern-not-inside استفاده کنید. همچنین در انتهای ویدیو؛ درصورتیکه با قوانین شما مطابقت نداشته باشد، به نکته‌ای برای رفع اشکال الگوی-not/pattern-not-inside شما می‌پردازد. (کسب اطلاعات بیشتر)
  4. Rich Harris: برداشت های داغ در وب. Rich Harris، خالق Svelte را تماشا کنید، در مورد روندهای ظاهری، ادج و وب در Vercel’s Svelte Meetup به میزبانی Cockroach Labs در نیویورک اطلاعاتی را به اشتراک گذاشته است. (کسب اطلاعات بیشتر)
  5. لیستی از زمین های بازی برنامه نویسی. (کسب اطلاعات بیشتر)

🧠 دانش و آگاهی

  1. levelsio درباره چیزهایی که به بهبود افسردگی او کمک کرد صحبت می‌کند: خوردن غذای سالم و تمیز و ورزش/ وزنه برداری. (کسب اطلاعات بیشتر)
  2. تو یک آدم متقلب نیستی، تو یک فرد منحصربفرد هستی. (کسب اطلاعات بیشتر)
  3. نکات آموزنده در رابطه با وارد اجتماع شدن: غریبه ها شما را ریشه یابی می‌کنند، ممکن است شما از طرف آنها طرد شوید و … (کسب اطلاعات بیشتر)
  4. چگونه میتوانیم یک مهندس با توان 10 برابر بیشتر باشیم – از انجام دادن چه کارهایی باید اجتناب کنیم. (کسب اطلاعات بیشتر)
  5. چگونه با توجه به حواس‌پرتی‌های بصری هر زمان که می‌خواهید در «حالت جریان» قرار بگیرید تا بتوانید یاد بگیرید که چگونه حواس پرتی تان را کنترل کنید. (کسب اطلاعات بیشتر).

💛صحبت ها و مصاحبه های متقابل

  1. یک فلش موب در حال اجرای قصیده شادی بتهوون. (کسب اطلاعات بیشتر)
  2. یک کتابخانه عمومی جدید با ایستگاه های مناسب برای پرستاران کودک. (کسب اطلاعات بیشتر)
  3. درنهایت چگونه حالت بدنی خودتان را “درست(Fix)” کنید. اگرچه تمرینات بدنی بسیار خوبی وجود دارد، اما اینجا چند تمرین آسان برای انجام وجود دارد که به عنوان تمرینات مستقل نیز می توان از آنها استفاده کرد.(کسب اطلاعات بیشتر)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *