از یادگیری اصول اولیه باگ بانتی تا یوگا و مدیتیشن برای باگ بانتی هانترها

از یادگیری اصول اولیه باگ بانتی تا یوگا و مدیتیشن برای باگ بانتی هانترها

بهترین نباش، بی‌نظیر باشد

درود به خوانندگان وب سایت امنیت سایبری با محمد.

🐝اخبار دست اول

  1. اصول اولیه باگ بانتی: تزریق اسکریپت از طریق وبگاه (XSS). آیا به عناون یک فرد تازه کاررفتن به سراغ این باگ کار درستی است یانه؟ یا بهتر است پس از اینکه در تست نفوذ مهارت کسب کردیم به سراغ آن برویم؟ کیت این مشکل را برای شما حل کرده است. (کسب اطلاعات بیشتر)
  2. یوسف صمودا (Youssef Sammouda) باگ بانتی هانتر رده بالای فیس بوک، تجارب و دستاوردهای خودش از شکار باگ را در این پادکست به اشتراک می‌گذارد. او دراین پادکست درباره پرداخت های بالای فیس بوک و زمان پرداخت سریع آن را ترجیح داده است صحبت می‌کند. (کسب اطلاعات بیشتر)
  3. وبینار LangChain Prompt Injection، جاییکه Simon Willison درآن با ویدیو، اسلاید و رونوشت، تزریق پرامپت را توصیف می‌کند. (کسب اطلاعات بیشتر | transcript)
  4. سخنرانی DevTernity 2019 که درآن اسکات هنسمن (Scott Hanselman) درباره خود ارزیابی (Scaling Yourself) صحبت می‌کند. او درباره مباحثی چون بهره وری تا مدیریت زمان، مراقبت کردن از افراد و اهمیت تمرکز صحبت کرد. او تاکید می‌کند که مهارت نه گفتن ترفند نهایی بهره وری است که کم آن هم همیشه زیادی است. (کسب اطلاعات بیشتر)
  5. بهره برداری از یک دستور عملیات باگ برای دستیابی به RCE در اوراکل اپرا. اگر در صنعت هتلداریمشغول به کار هستید، به احتمال زیاد اوراکل اپرا را دیده‌اید یا با آن کار کرده‌اید. این نرم افزار تقریبا توسط بزرگترین هتل ها / هتل های زنجیره ای در سراسر جهان استفاده می شود. (کسب اطلاعات بیشتر)

✅  گزارش تغییرات

  1. طراحی مجدد چشم نواز Trickest 2.0 و موتور جریان کار سریع. (کسب اطلاعات بیشتر)
  2. jesseduffield/lazygit v0.38.2 حاوی یک پنل پیام کامیت بهسازی شده (@seand52)، رفتار تغییرپایه تعالی بهتر (@stefanhaller) و رفتار پچ سفارشی مستعد خطا بسیار کمتر (همچنین @stefanhaller) است. (کسب اطلاعات بیشتر)
  3. RetireJS/retire.js 4.2.1 یک اسکنر است که استفاده از کتابخانه‌های جاوااسکریپت با آسیب‌پذیری‌های شناخته شده را شناسایی می‌کند. (کسب اطلاعات بیشتر)
  4. hisxo/ReconAIzer v0.7 یک افزونه Burp Suite است که OpenAI (GPT) را به Burp اضافه می‌کند و به شما در ریکان باگ بانتی برای کشف اندپوینت ها، پارامترها، URLها، زیردامنه ها و … کمک می‌کند. (کسب اطلاعات بیشتر)
  5. Bugcrowd ، Request a Respons را معرفی می‌کند- یک استاندارد جدید برای زمان پاسخ محققان امنیتی و مشتری. (کسب اطلاعات بیشتر)

📅 رویدادها

  1. Codingo و همکارانش تصمیمات جدی ای درباره برنامه BSidesGC می‌گیرند. پیش‌بینی می‌شود در سال 2024، تاریخ‌های برگزاری رویداد به‌زودی پس از ایمن‌سازی مجدد محل برگزاری اطلاع رسانی می‌شود. (کسب اطلاعات بیشتر)
  2. در مسابقه ویشینگ کامیونیتی مهندسی اجتماعی 2023 شرکت کنید.قبل از 1 ژوئن اقدام کنید. (کسب اطلاعات بیشتر)
  3. Bugcrowd و اولین وبینار AMA محقق امنیتی drunkrhin0 با Nerdwell در تاریخ 9 می برگزار خواهد شد. (کسب اطلاعات بیشتر)

🎉 جشن و تبریک‌ها

  1. Corben اولین آسیب‌پذیری Blockchain/DLT بحرانی خودش را روی Immunefi ثبت کرد. (کسب اطلاعات بیشتر)
  2. فالورهای Cyber Detective به 25K رسید. تبریکات فراوان! (کسب اطلاعات بیشتر)
  3. Peter made it to number 1 on the Synack Red Team 1 year leaderboard. Awesome! more
  4. Peter درطول یکسال خودش را به رتبه 1 تابلوی امتیازات تیم قرمز Synack رساند. این عالیه! (کسب اطلاعات بیشتر)
  5. Alex Chapman ورود Maddie به خانواده اش را جشن گرفت. خیلی هم عالی! (کسب اطلاعات بیشتر)
  6. Zseano در دنیا آمدن فرزند پسر دومش در خانه با تلفن کمک کرد. واقعا شگفت انگیزه! (کسب اطلاعات بیشتر)

💰 شغلی

  1. 9 اشتباهی که در مذاکرات باید از آنها اجتناب کرد. (کسب اطلاعات بیشتر)
  2. InfoSect (AUS) در حال استخدام نیروی کار برای تمام موقعیت های شغلی، از جونیور تا سینیور است. (کسب اطلاعات بیشتر)
  3. ردیت درحال استخدام یک مهندس Lead Threat Detectionsاست. یک شکارچی تهدید، SIEM، SOAR، آشنا با اتومیشن سازی تشخیص، کتاب باز، دارای قابلیت های DFIR و … (کسب اطلاعات بیشتر)

⚡کامیونیتی

  1. Osirys چگونه اولین شغل خودش را در مدت کوتاهی پس ازرسیدن به استرالیا در زمینه تست نفوذ بدست آورد که نشان دهنده مزیت افزایش شانس شما دراین زمینه است. (کسب اطلاعات بیشتر)
  2. Corben چگونه اولین، نمونه اولیه mattress خسته کننده را دریافت کرد. (کسب اطلاعات بیشتر)
  3. Farah از نزدیک شدن به TESS لذت برد. (کسب اطلاعات بیشتر)
  4. نگاهی به خبرنامه Matt بیندازید: VulnerableU. سلامت روان با امنیت اطلاعات ملاقات می‌کند. (کسب اطلاعات بیشتر)
  5. پست وبلاگ d0nut درباره Hashnode منتشر شد. (کسب اطلاعات بیشتر)

📰 خواندنی‌ها

  1. باگ های کوکی – Smuggling و تزریق. به تازگی Ankur تحقیقاتی درباره نحوه انکد و ارسال کوکی ها ازطریق مرورگرها و اینکه چگونه توسط چارچوب های وب مختلف تجزیه می‌شود. انجام داد. (کسب اطلاعات بیشتر)
  2. چرا OAuth در سال 2023 هنوز هم آسان نیست؟ Robin یک لیست از چند مشکل اساسی مثل بزرگ و پیچیده بودن استاندارد OAuth ساخته است. (کسب اطلاعات بیشتر)
  3. دور زدن احراز هویت Redash SAML. Redash یک ابزار تحلیل داده و visualization محبوب است. به تازگی Calif یک آسیب‌پذیری بای‌پس احرازهویت SAML بحرانی که آخرین نسخه (10.1.0) آن را تحت تاثیر قرار داده بود، گزارش کرد. هرکسی می‌توانست از این آسیب‌پذیری در جهت به دست آوردن بالاترین سطح دسترسی ها روی سیستم بهره برداری کند.(کسب اطلاعات بیشتر)
  4. یک محقق امنیتی جوان از خاطرات روزهای قرنطیمه کووید و آغاز سفر یادگیری خودش صحبت می‌کند.(کسب اطلاعات بیشتر)
  5. یک میز پر از زنجیره باگ متنوع: استفاده از postMessage, JSONP, WAF bypass, DOM-based XSS, CORS, CSRF و … برای دست یافتن به CSRF در برابر یک دارایی داخل اسکوپ. (کسب اطلاعات بیشتر)

📚 منابع

  1. کلکسیونی از بهترین سخنرانی‌های روشنگر(زیر 15 دقیقه) که تابه حال منتشر شده است. (کسب اطلاعات بیشتر)
  2. راه‌های مورد علاقه محققان امنیتی برای نمایش و مرور شناسایی داده: Terminal،TUI ها، UI ها و … . (کسب اطلاعات بیشتر)
  3. eugeneyan/open-llms یک لیست باز از LLM های در دسترس برای استفاده تجاری است. (کسب اطلاعات بیشتر)
  4. رادار Cloudflare یک هاب است که اطلاعات مربوط به ترافیک اینترنت جهانی، ترندهای تکنولوژی و مفاهیم (insights) را به نمایش می‌گذارد. من به تازگی با این هاب آشنا شده ام. آیا شما اطلاع داشتید که 29% ترافیک مربوط به ربات ها است؟ (کسب اطلاعات بیشتر)
  5. تزریق CSS ازطریق PostMessages برای دزدیدن اطلاعات کارت اعتباری. (کسب اطلاعات بیشتر)

🎥 ویدیوهای پربازدید

  1. g0lden چگونه Web3 را یادمی‌گیرد – قرارداها، امنیت و باگ بانتی هوشمندانه. (کسب اطلاعات بیشتر)
  2. مصاحبه با Eben Upton، بنیانگذار و مخترع Raspberry Pi. او دراینمصاحبه درباره محل تولد و خانه Raspberry Pi صحبت می‌کند، درباره نقش مهم کالج St John در خلق Raspberry Pi داشت و اینکه چرا اصلا به فکر ساخت چنین چیزی افتادند صحبت می‌کند. (کسب اطلاعات بیشتر)
  3. دراین راهنمای Directory Traversal تئوری پشت آسیب پذیری‌های Directory Traversal را یادمی‌گیرید. اینکه چگونه این نوع از آسیب‌پذیری‌ها چه از نظر جعبه سفید و چه از نظر جعبه سیاه قابل شناسایی و کشف هستند، چگونه قابل بهره برداری هستند و چگونه از به وجود آمدن آنها جلوگیری کنیم. (کسب اطلاعات بیشتر)
  4. افزایش دسترسی ویندوز برای افراد تازه کار که دربرگیرنده مباحثی مثل به دست آوردن جای‌پا (foothold)، بهره برداری از کرنل، حملات جعل هویت و … است. (کسب اطلاعات بیشتر)
  5. طرح کلی پن تستر: مسیر موفقیت شما. مسیر موفقیت را با کمک کردی که درنبرد با خرس زنده ماند و توانست داستان این موفقیت را تعریف کند، یادبگیرید! Phillip نه تنها با خرس کشتی گرفت، بلکه نگهبان کافه هم بودوکارهای زیاد دیگری هم انجام می‌داد، که علاوه براین پن تستر هم شد! این طرح کلی پن تستر شماست.(کسب اطلاعات بیشتر)
  6. HackTheBox- راهنمای پرواز. (کسب اطلاعات بیشتر)

🎵  شنیدنی‌ها

  1. پادکست باگ بانتی Day[0] قسمت 207 – تزریق Git Config و یک Sophos Pre-Auth RCE. (کسب اطلاعات بیشتر)
  2. دراپیزود اول پادکست جدید Phillip Wylie، او با OG کامیونیتی امنیت سایبری و بنیانگذار EH-net، آقای Don Donzal مصاحبه کرده است. اخیرا Don درباره تعطیلات 2 ساله خودش صحبت کرده است که او درآن درس‌هایی درباره برقراری تعادل بین کار و زندگی آموخته است. (کسب اطلاعات بیشتر)
  3. تفکر انتقادی – پادکست باگ بانتی قسمت 17: چت زنده LA با 5 محقق امنیتی افسانه ای. (کسب اطلاعات بیشتر)
  4. No Moat: هوش مصنوعی ازکار افتاده پیام بیدارباش منبع باز خود را دریافت می‌کند. واکنش‌های زنده به یادداشت لو رفته Google Moat، با 2700 توسعه دهنده درحال تماشا به سرکردگی Simon + Travis. به علاوه: Google Brain Drain و اینکه چگونه پایتون 3500 برابر سریعتر از Mojo عمل می‌کند. (کسب اطلاعات بیشتر)
  5. خاطرات دارک‌نت اپیزود 33: من کانر واقعی هستم. یک روز کانر ایمیلی بااین مضمون دریافت کرد که می‌گفت هویت او دزدیده شده است. او از این روز به عنوان عجیب ترین روز زندگی خودش یاد می‌کند. (کسب اطلاعات بیشتر)

🧰  ابزارها

  1. rodigysml/rate-limit-queue پیاده‌سازی صف‌های با نرخ محدود در پایتون است که از نظر موضوعی امن است و فقط از اجزای داخلی استفاده می‌کند. (کسب اطلاعات بیشتر)
  2. dylanaraps/pure-sh-bible مجموعه ای از جایگزین های POSIX sh خالص برای فرآیندهای خارجی است. (کسب اطلاعات بیشتر)
  3. Beaux44/Keystroke-Display یک پوشش ساده برای OBS برای نمایش ضربه های متوالی کلید است. که در درجه اول برای برنامه نویسی، به خصوص برای Vim مناسب است. (کسب اطلاعات بیشتر)
  4. zer1t0/awsenum ابزاری برای شناسایی مجوزهایی که حساب شما در AWS دارد که با اعمال bruteforcing عملیات مختلف این کار را انجام میدهد و بررسی می کند که چه چیزی می توانید انجام دهید.(کسب اطلاعات بیشتر)
  5. m3n0sd0n4ld/GooFuzz ابزاری برای انجام fuzzing با رویکرد OSINT است که می‌تواند فهرست‌ها، فایل‌ها، زیردامنه‌ها یا پارامترها را بدون باقی گذاشتن شواهدی روی سرور هدف و با جستجوهای پیشرفته گوگل شمارش کند. (کسب اطلاعات بیشتر)

💡 نکات کاربردی

  1. تنظیمات بی‌صدا کردن نوتیفیکیشن های توییتر که می تواند به شما در مقابله با افراد مزاحم کمک کند. (کسب اطلاعات بیشتر)
  2. به جای فراخوانی تریاژهای ویژه باگ بانتی، از فرآیندهای میانجی استفاده کنید. (کسب اطلاعات بیشتر)
  3. نکته ارزشمندی از Vitor: “شما باید نحوه کار با tmux و vim را یادبگیرید.”. هرچند از این حرف ها تا به امروز زیاد شنیده ایم، ولیکن این توصیه بهره‌وری و سلامتی بسیاری را به همراه دارد.(کسب اطلاعات بیشتر)
  4. تولید Google Dorks بااستفاده از هوش مصنوعی به کمک DorkGPT. (کسب اطلاعات بیشتر)
  5. چگونه Taelur از سد امنیتی عبور کرد +، به اشتراک گذاری سفر، نکات، و منابع. (کسب اطلاعات بیشتر)

🍯 دنبال کنید

اکانت‌های توییتر پیشنهادی برای دنبال کردن:

  1. ojhayogesh11 ا| Yogesh Ojhaا| خالق reNgine و مهندس تحقیقات (امنیتی) در @ TRG ارائه دهنده راه‌حل برای جرائم و تهدیدات امنیتی.
  2. gregxsunday ا| توضیح گزارش‌های باگ بانتی| Grzegorz Niedziela- یک محقق امنیتی که تمام مراحل ماجراجویی‌های تست نفوذ خودش را با تولید و تنظیم بهترین محتوا درباره باگ بانتی و امنیت تهاجمی مستند می‌کند.
  3. twitt3raccntا | psaux ا| hackerone[.]com/psaux
  4. lenazunا | اینجا نیست|@[email protected] |.
  5. Kuromatae666ا | クロマタエ ا| شکارچی اخلاقی با مدرک BBAC که در پلتفرم‌های BB فعالیت می‌کند. Team Overflow – CVE-2020-5251.

🚀 بهره وری

  1. در سال 2023 این 3 سیستم را پیاده سازی کنید تا شکست ناپذیر شوید – از کار عمیق تا کپی رایتینگ. (کسب اطلاعات بیشتر)
  2. کارگاه نویسندگی: 4 بخش 90 دقیقه ای با پیشنهادات و تمرینات عملی برای بهبود مهارت های نویسندگی شما. (کسب اطلاعات بیشتر)
  3. من امروز یادگرفتم که شما می‌توانید با زدن “/” در هر macOS برای بازکردن آسان و سریع فولدر Spotlight-esque، دیالوگ ها را ذخیره کنید. (کسب اطلاعات بیشتر)
  4. عادت‌های کوچک روزانه که تکرار آنها در مدت زمان طولانی مزایای زیادی می‌تواند داشته باشد، مثل استفاده از ضدآفتاب و انجام یوگا. (کسب اطلاعات بیشتر)
  5. Obsidian Observer انتشاراتی است که راهنماهای عمیق، گردش کار نوآورانه و نظرات جذاب را برای کمک به باز کردن پتانسیل یادداشت برداری شما ارائه می دهد. (کسب اطلاعات بیشتر)

🌐  تکنولوژی

  1. Danny که یک محقق امنیتی مستقل است، لیست سیاه Stripe Radar شخصی سازی شده خودش را به اشتراک گذاشته است. (کسب اطلاعات بیشتر)
  2. احیای یک Microsoft Zune در سال 2023. Scott Hanselman درحالیکه فیلم “محافظان کهکشان 3” را روی کلکسیون Zunes خودش بارگذاری می‌کند، شما را دراین سفر خاطره انگز سهیم می‌کند. (کسب اطلاعات بیشتر)
  3. GPT-4 چگونه کارمی‌کند و چگونه افراد با کمک آن اپلیکیشن می‌سازند؟ یک گفتگوی فناوری CS50 که در آن می‌آموزید GPT-4 چگونه کار می‌کند و چرا زبان انسان چنین نقش مهمی در محاسبات آن بازی می‌کند. در مرحله بعد، خواهید دید که چگونه نرم افزار بومی هوش مصنوعی ساخته می شود. (کسب اطلاعات بیشتر)
  4. ورود به باغ پری ها. با وجود تمام ویژگی های خوب Rust، ایراداتی نیز دارد.(کسب اطلاعات بیشتر)
  5. چرا ربات‌های گفتگو (Chatbots) آینده ما نیستند. Amelia با اضافه کردن کنترل ها، اطلاعات و توانایی‌ها به رابط‌های کاربری ربات های گفتگو درجهت قابل استفاده تر شدن آنها، حمایت می‌کند. (کسب اطلاعات بیشتر)

🧠 دانش و آگاهی

  1. دیوید 3 سخن پرارزشی که از کتاب جدید کوین کلی درباره پیشنهادات عالی برای زندگی یادگرفته است را به اشتراک می‌گذارد: آگاهی، چیزی که کاش زودتر آنرا یادمی‌گرفتم. سوای همه اینها، من عاشق این جمله هستم که می‌گوید”بهترین نباش، بی‌نظیر باش (Don’t be the best. Be the only)”. (کسب اطلاعات بیشتر | کتاب)
  2. ایده بی نظیر فلش کارت که دریک کلمه یک ایده اصلی و هسته ای است. (کسب اطلاعات بیشتر)
  3. مدییتشن برای تازه کارها توسط Russell Brand توضیح داده می‌شود. دراین ویدیو او به شما کمک می‌کند تا تکنیک های مختلف آسان مدیتیشن را یادبگیرید. (کسب اطلاعات بیشتر)

💛 صحبت ها و مصاحبه های متقابل

  1. چند نفر از شما یک آدرس IP را به خاطر سپرده اید؟ یک کاربرردیت این کار را اخیرا برای کامپیوتر همسرش انجام داد. (کسب اطلاعات بیشتر)
  2. levelsio گوشه ای از دانش خود را به اشتراک می‌گذارد: “برنامه ریزی عموزاده اهمالکاری است”. (کسب اطلاعات بیشتر)
  3. Fast نوشته  Patrick Collisonنمونه هایی از افراد را معرفی می‌کند که به سرعت باهم کارهای جاه‌طلبانه ای را انجام می‌دهند. (کسب اطلاعات بیشتر)
  4. Cassidy لیدر شناخته شده devrel، تجربیات c-section خودش را بابقیه به اشتراک می‌گذارد. (کسب اطلاعات بیشتر)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *