تازه های امنیت سایبری،رقابت در تامین امنیت Web3

تازه های امنیت سایبری،رقابت در تامین امنیت Web3

🐝خب بیایید نگاهی به تازه های امنیت سایبری داشته باشیم:

  1. RTFR، سخنرانی امنیتی در @NahamCon 2022 EU. در این سخنرانی یاد می گیرید چطور RFCها را بخوانید تا آسیب پذیری های منحصر به فرد پیدا کنید ( جهت کسب اطلاعات بیشتر: ویدیو | رشته توییت)
  2. Meth to Netflix: دربارۀ حکایت ThePrimeagen، یکی از سرگرم کننده ترین استریمرهای توئیچ که قرار است در مورد پیشینۀ شغلی و درس هایی که یاد گرفته، صحبت کند (جهت کسب اطلاعات بیشتر: ویدیو)
  3. I Hope This Sticks: شامل تحلیل ClipboardEvent Listeners به لحاظ پیدا کردن Stored XSS. توضیح دربارۀ این که چه زمانی پیلودهای کپی پیست شده، self-xss محسوب نشده و چه زمانی self xss در نظر گرفته می شوند. اخیراً تیم spaceracoon، کد Zoom را برای یافتن یک بردار حملۀ جالب مورد بررسی قرار داد. در طی این روند، تیم مربوطه به طور عمیق API های وب DataTransfer و ClipboardEvent را مورد بررسی قرار داده و چیزهای زیادی دربارۀ داخلی های drang-and-drop پویا یاد گرفتند. (جهت کسب اطلاعات بیشتر: مقاله)
  4. دوازده روز از ZAPmas: روز اول – شامل تنظیم ZAP و گزارشی از جزئیات و زیر و بم کار کردن با OWASP Zed Attack Proxy (ZAP). (جهت کسب اطلاعات بیشتر: مقاله)
  5. از امنیت پسورد منیجر خود بیشتر مطمئن شوید: kuekerino (T / M)، ubahnverleih (T / M) و parzel (T / M) به عنوان بخشی از تحلیل های امنیتی خود، راهکار مدیریت پسورد Passwordstate را مورد بررسی قرار داده و چندین آسیب پذیری با سطح خطر بالا (CVE-2022-3875, CVE-2022-3876, CVE-2022-3877) را در آن شناسایی کردند. (جهت کسب اطلاعات بیشتر: مقاله)
  • ✅ گزارش تغییرات:

  1. نسخۀ 1.12 ابزار waymore در دسترس قرار گرفته که از جمله قابلیت های آن می توان به اضافه کردن یک آرگیومنت جدید به صورت -𝘤 / –𝘤𝘰𝘯𝘧𝘪𝘨 اشاره داشت که وظیفۀ آن، مشخص کردن مسیر کامل فایل کانفیگ YML است. اگر این مسیر مشخص نباشد، این دستور داخل همان دایرکتوری به دنبال فایل yaml می گردد (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. از جمله قابلیت های جدیدی که در به روز رسانی جدید Taborator اضافه شده، می توان به امکان جستجوی کلیدواژه بر روی IP و پیلود، نشانه گذاری همه موارد به عنوان خوانده شده و همچنین پاکسازی درخواست/پاسخ ها اشاره داشت. در این به روز رسانی به منظور کاهش میزان مصرف حافظه، تعدادی درخواست/پاسخ های ذخیره شده هنگام استفاده از جایبان (پلیس هولدر) $collabplz محدود شده است. (جهت کسب اطلاعات بیشتر: رشته توییت)
  • 📅 رویدادها:

  1. چالش Lupin’s Xmas! آیا می توانید چالش Xmas ما را حل کرده و هشدار موجود در صفحه را فعال کنید؟ (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. کوئیز نهایی امنیت اطلاعات تست نفوذگر Nepal برای سال 2022: این کوئیز به منظور تست کردن دانش و مهارت های شما در حوزۀ امنیت سایبری تهیه شده و پس از اتمام آن، گواهینامه رسمی اتمام آن را دریافت خواهید کرد. (جهت کسب اطلاعات بیشتر: رشته توییت)
  • 🎉 جشن ها و تبریک ها:

  1. برندگان آخرین رویداد هانت متعلق به باگ بانتی هانتر معرفی شدند: تبریک به IamVictorTeh و AyushSingh1098 (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. 731 روز است که Andy الکل مصرف نکرده است! (جهت کسب اطلاعات بیشتر: رشته توییت)
  3. 4n6lady این سال را با جدیدترین دستاوردش به اتمام رسانده و هم اکنون گواهینامۀ SAA دارد. ایول! (جهت کسب اطلاعات بیشتر: رشته توییت)
  4. Vegeta موفق به گذراندن امتحان eLearnSecurity’s eWPTXv2 شد. ایول! (جهت کسب اطلاعات بیشتر: رشته توییت)
  5. دختر BugBountyHQ متولد شد. این عالیه! (جهت کسب اطلاعات بیشتر: رشته توییت)
  • 💰 شغلی:

  1. تاپیک مشاغل امنیت سایبری Marcus J. Carey’s در تاریخ 12/22/2022. (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. قالب رزومۀ TMCF. (جهت کسب اطلاعات بیشتر: رشته توییت)
  • ⚡کامیونیتی:

  1. توضیحات sw33tLie دربارۀ این که چقدر پرداخت های سریع می تواند بر روی نتایج کلی یک برنامۀ باگ بانتی تاثیرگذار باشد. (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. صحبت های Chompie در مورد حضور 5ساله اش در حوزۀ امنیت و این که چطور هنوز خود را به عنوان یک نوب و تازه کار حس می کند. (جهت کسب اطلاعات بیشتر: رشته توییت)
  3. جمع آوری اهداف مردم برای سال 2023 توسط Louis (جهت کسب اطلاعات بیشتر: رشته توییت)
  4. Jason Haddix می خواهد پس از 4 سال از راهبری تیم امنیتی Ubisoft دست بکشد (جهت کسب اطلاعات بیشتر: رشته توییت)
  • 📰 مطالب خواندنی:

  1. چطور Manish موفق به هانت یک شرکت شد (جهت کسب اطلاعات بیشتر: مقاله)
  2. اجرای کد از راه دور (RCE) بر روی AD manager Plus: در آن زمان، Log4j از قبل در اینترنت پخش شده بود. Manage Engine قبلاً AD Manager Plus را به منظور جلوگیری از آسیب پذیری Log4j پچ کرده بود. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  3. فریم ورک Shennina: امکان اتومیت کردن روند کشف هاست با استفاده از هوش مصنوعی (جهت کسب اطلاعات بیشتر: مقاله)
  4. فلسفه و توصیه های Daniel درباره ی رخنه های Lastpass (جهت کسب اطلاعات بیشتر: مقاله)
  • 📚 منابع:

  1. پیشنهادات Rami در خصوص خبرنامه های امنیت اطلاعات. (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. توصیه هایی در خصوص نحوۀ شروع هانت RFID (جهت کسب اطلاعات بیشتر: رشته توییت)
  3. AWS CIRTاز انتشار پنج کارگاه آموزشی در دسترس عموم خبر می دهد. (جهت کسب اطلاعات بیشتر: معرفی)
  4. انتشار کتاب «جاوا اسکریپت برای هکرها» توسط محقق پورت سوئیگر Gareth Heyes که بیشتر به واسطۀ کارهایش در زمینۀ دور زدن سندباکس های جاوا اسکریپت و خلق بردارهای XSS خارق العاده مشهور است. (جهت کسب اطلاعات بیشتر: معرفی)
  • 🎥 تماشایی ها:

  1. امن سازی dependency های متن باز: قرار نیست فقط کد خود را امن کنید. اهمیت مدیریت امنیت منبع باز وقتی خود را نشان داد که در سال 2017 رخنۀ به وجود آمده در Equuifax منجر به دستکاری اطلاعات شخصی میلیون ها کاربر گردید. (جهت کسب اطلاعات بیشتر: ویدیو)
  2. Marcus دربارۀ امنیت اطلاعات و امنیت سایبری صحبت کرده و به سوالات بینندگان پاسخ می دهد. (جهت کسب اطلاعات بیشتر: ویدیو)
  3. آیا شما دارایی و چیزی دارید که ممکن باشد آن را در 60 ثانیه از دست بدهید؟ (جهت کسب اطلاعات بیشتر: ویدیو)
  4. چگونه با استفاده از Maltego در 5 دقیقه اطلاعات وب سایت حذف شده را بازیابی کنید. (جهت کسب اطلاعات بیشتر: ویدیو)
  5. Sun اخیراً Superbacked را معرفی کرد که احتمالاً می توان آن را پیشرفته ترین اپلیکیشن برنامه ریزی بک آپ و جانشینی در نظر گرفت. (جهت کسب اطلاعات بیشتر: ویدیو)

 

  • 🎵 شنیدنی ها:

  1. زندگی مخرب: دربارۀ این که چگونه Netflix امنیت ابری را یاد گرفت. Jason Chan در سال 2011 به عنوان عضو محوری Netflix استخدام شد تا اساس پروتکل های امنیت ابری آن ها را پایه گذاری نماید. (جهت کسب اطلاعات بیشتر: پادکست)
  2. امنیتِ در حال فروپاشی 303: دربارۀ ضربات مخفیانه Roomba، اسکم های کریسمس و آیندۀ هوش مصنوعی. مراقب چشم چرخان Roomba خود باشید، Finns درباره تهدیدات قریب الوقوع هوش مصنوعی هشدار می دهد و این که هنگام سوار شدن به تاکسی در دوبلین مراقب خود باشید. (جهت کسب اطلاعات بیشتر: پادکست)
  3. JRE #1908 – Erika Thompson: Erika Thompson مالک و بنیان گذار شرکت Texas Beeworks است، شرکتی که آگاهی و تحصیلات افراد را دربارۀ کار ارزشمندی که زنبورها و زنبوردارها انجام می دهند افزایش می دهد. (جهت کسب اطلاعات بیشتر: پادکست)
  • 🧰 ابزار:

  1. z3dc0ps/BBSSRF ابزاری قدرتمند برای بررسی ارتباط SSRF OOB است. حوزۀ تست می بایست شامل “BBSSRF” بوده و این ابزار به صورت اتوماتیک آن را به پیلودهایی که به صورت پویا تولید می شوند، تغییر می دهد. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  2. 4ra1n/jar-analyzer یک پروژۀ GUI برای تحلیل فایل های jar بوده و به طور ویژه برای تحلیل امنیت کد مناسب است. با استفاده از این ابزار چندین فایل jar می توانند به صورت همزمان مورد تحلیل قرار گیرند و شما به راحتی می توانید داخل این فایل ها به دنبال متدها بگردید. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  3. mzfr/takeover ابزاری برای تست احتمال وقوع subdomain takeover در مقیاسی بزرگ است. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  4. 0x4ndy/clif یک fuzzer برای اپلیکیشن رابط کامندلاین (خط فرمان) بوده که عملکردی تقریباً مشابه با wfuzz یا ffuf که برای وب طراحی شده اند، دارد. این ابزار از آسیب پذیری سودو (CVE-2021-3156) و این حقیقت که afl-fuzz متعلق به گوگل، امکان مشخص کردن آرگیومنت یا گزینه نامحدود را فراهم نمی کند، الهام گرفته است. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  5. ax/apk.sh به عنوان یک اسکریپت bash امکان مهندسی معکوس اپلیکیشن های اندرویدی را میسر می سازد. این ابزار برخی تسک های پرتکرار از جمله دیکود، بازسازی و وصله کردن را اتومیت می کند. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  • 💡نکات و پیشنهادات:

  1. روند گوگل دورک موردعلاقۀ Mike Takahashi (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. پیلود XSS کیلاگر دیسکورد renniepak (جهت کسب اطلاعات بیشتر:رشته توییت)
  3. Demon مقداری از دانستنی های مربوط به SQLi را به اشتراک گذاشت. او SQLi هایی را پیدا کرد که در حین درخواست داده مربوط به یک تاریخ مشخص و هنگام ویرایش کاربران/گروه ها اتفاق افتاده بود. (جهت کسب اطلاعات بیشتر: رشته توییت)
  4. نکات امنیت سایبری Matthew (جهت کسب اطلاعات بیشتر: رشته توییت )
  5. آنچه که هانترهای موردعلاقۀ شما آرزو داشتند پیش از شروع باگ بانتی به خود بگویند. (جهت کسب اطلاعات بیشتر: رشته توییت)
  • 🍯 اکانت های توییتر پیشنهادی برای دنبال کردن:

  1. tpope: TimPope – هنرمند پلاگین Vim
  2. katherinecodes: Katherine Oelsner – مهندس نرم افزار ارشد @github
  3. simonw: Simon Willison – خالق @datasetteproj، یکی از خالقان Django
  4. shad0wbits: هانتر
  5. fancy_4n6: Shanna Niggans – پاسخگوی حوادث و فارنزیک دیجیتال
  • 🚀 افزایش بهره وری:

  1. توصیه های Alex Hormozi در مورد این که چگونه فقیر بمانیم. (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. یادداشت برداری اتمی بصری با Obsidian Excalidraw (جهت کسب اطلاعات بیشتر: ویدیو)
  3. محدودیت ها ما را قوی تر می کنند. هنگامی رشد می کنیم که خود را در معرض چالش ها قرار دهیم. محدودیت ها نوع خاصی از چالش هستند که در آن، چیزی را به اندازه کافی ندارید و این چیز می تواند زمان، پول، سلامتی، وضعیت، جذابیت یا توانایی باشد. (جهت کسب اطلاعات بیشتر: مقاله)
  • 🌐 برنامه نویسی:

  1. منابع پیشنهادی برای یادگیری Go. (جهت کسب اطلاعات بیشتر: رشته توییت)
  2. چند تکنولوژی بسیار عالی که از نظر Tobi Lutke در حال حاضر دست کم گرفته شده اند ولی امسال مفید بودن آن ها برای وی اثبات شده است. (جهت کسب اطلاعات بیشتر: رشته توییت)
  3. چهار نکتۀ مربوط به کنسول جاوا اسکریپت که توسط Wes Bos به اشتراک گذاشته شده اند. (جهت کسب اطلاعات بیشتر: رشته توییت)
  4. بخشی از دورۀ آموزشی Nuxt 3 که سه ساعت از دورۀ 9 ساعتۀ آن در Udemy را شامل می شود. شما در این دوره، هر آنچه را که برای تبدیل شدن به یک متخصص Nuxt 3 نیاز دارید، یاد خواهید گرفت. (جهت کسب اطلاعات بیشتر: ویدیو)
  5. Rust جامع! یک دورۀ آموزشی Rust چهار روزه که توسط تیم اندروید گوگل توسعه داده شده است. این دوره آموزشی کل مباحث مربوط به Rust را از سینتکس پایه گرفته تا مباحث پیشرفته ای همچون ژنریک ها و ارور هندلینگ، پوشش می دهد. علاوه بر این، دوره مذکور در روز پایانی خود محتوای مختص اندروید را نیز در برمی گیرد. هدف این دوره، آموزش Rust به شما است. (جهت کسب اطلاعات بیشتر: گیت‌هاب)
  • 🧠 دانش و آگاهی:

  1. Sahil Bloom بیست و دو ایده از سال 2022 را به اشتراک گذاشته است. (جهت کسب اطلاعات بیشتر: رشته توییت )
  2. Nathaniel در مورد اهمیت پژوهش کردن و یادگیری JIT صحبت می کند. (جهت کسب اطلاعات بیشتر: رشته توییت)
  3. اهمیت ندادن به ما اجازه می دهد عملکرد بهتری داشته باشیم. تلۀ رایجی بر سر راه توانایی های طبیعی ما وجود دارد و این تله همان اهمیت بیش از حد قائل شدن برای رسیدن به یک نتیجه است. (جهت کسب اطلاعات بیشتر: مقاله)
  4. Daniel Cutbert در مورد میزان امنیت هنگام استفاده از یک Google Pixelbook صحبت می کند. (جهت کسب اطلاعات بیشتر: رشته توییت)
  5. چگونه مقایسه کردن می تواند سلامت روان شما را تحت تاثیر قرار دهد؟ (و چگونه می توانیم جلوی آن را بگیریم). (جهت کسب اطلاعات بیشتر: ویدیو)
  • 💛 سایر صحبت ها و مصاحبه ها:

  1. راهنمای لازم برای شما دربارۀ آنچه که بر روی اینترنت خوب در نظر گرفته می شود. این محتوا توسط Kate Lindsay و Nick Catucci تهیه شده که بیشتر هفته ها از شخصی که ساعات زیادی آنلاین بوده، در خصوص هر آنچه که بر روی اینترنت برای آن ها خوب به شمار می آید سوالاتی می پرسند. (جهت کسب اطلاعات بیشتر: مقاله)
  2. در این محتوا افراد نظراتشان را در خصوص بهترین swag ای که دریافت کردند به اشتراک می گذارند. (جهت کسب اطلاعات بیشتر: رشته توییت)
  3. مستند General Magic: در سال 1990، داخل یک استارت آپ محرمانه در سیلیکون ولی، گروه کوچک و پرشوری از مهندسان و رویاپردازان، یکی از بهترین تیم های تکنولوژی تاریخ را برای ساخت یک دستگاه جادویی تشکیل دادند که این دستگاه می توانست برای هر شخص این امکان را فراهم آورد که هر کسی یا هر جایی را به همه چیز متصل نماید. (جهت کسب اطلاعات بیشتر: وب سایت)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *