از تصاحب حساب کاربری OpenAI تا افشای رازهای مخفی چارچوب های وب

از تصاحب حساب کاربری OpenAI تا افشای رازهای مخفی چارچوب های وب

سلام به همراهان همیشگی امنیت سایبری با محمد 👋

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

🐝 اخبار دست اول

  1. کهنه سرباز دوست داشتنی امنیت سایبری کلی آلوریا لوم (Kelly ‘Aloria’ Lum) در سن 41 سالگی از دنیا رفت. قطعا یاد و خاطره آلوریا با میم های هوشمندانه و خاطره انگیز و مهارت های کارائوکه بی نظیرش همیشه زنده خواهد ماند. (برای اطلاعات بیشتر: مقاله)
  2. به Linus Tech Tips نفوذ کردند. او درباره اینکه چگونه کانال ها و ویدیوهای او حذف شدند، چه اتفاقی افتاد و معیارهای بازدارنده از نفوذ توضیحات بیشتری داده است. (برای اطلاعات بیشتر: ویدیو)
  3. NahamCon2022EUا: برنامه ریزی برای یک برنامه باگ بانتی از نقطه نظر محققان امنیتی توسط 0xlupin. (برای اطلاعات بیشتر: ویدیو)
  4. چگونه در عرض 10 روز یک تست نفوذگر را ازدست بدهیم. در این ویدیو Ippsec درباره اهمیت طرز تفکر بیرون از جعبه، ایجاد انگیزه برای تیم آبی و کمک به شکل دهی یک طرز فکر مهاجم صحبت می‌کند. (برای اطلاعات بیشتر: ویدیو)
  5. Black Lantern Security رازهای پنهان زیادی را به صورت عمومی منتشر کرد. یک کتابخانه برای تشخیص رازهای شناخته شده یا بسیار ضعیف از بسیاری از چارچوب های وب. (برای اطلاعات بیشتر: مقاله | ابزار)

✅  گزارش تغییرات

  1. Oege de Moor از گیت‌هاب خداحافظی کرد. او قبل از این رهبری مراحل ساخت GitHub Copilot و GitHub Advanced Security ( و قبل تر از آن Semmle ) را برعهده داشت. (برای اطلاعات بیشتر: رشته توییت)
  2. Jason Haddix شروع به نوشتن یک خبرنامه کرد! در خبرنامه ” Executive Offense ” ثبت نام کنید و درست وسط اخبار و استراتژی های امنیتی و امنیت اجرایی قرار بگیرید. (برای اطلاعات بیشتر: رشته توییت | ثبت اشتراک)
  3. xnLinkFinder v3.10 اکنون در دسترس است: در پاسخ ها پارامترهای بیشتری پیدا کنید. (برای اطلاعات بیشتر: رشته توییت)
  4. خالق GitLeaks، Zach Rice به Truffle Security پیوست. (برای اطلاعات بیشتر: ویدیو)
  5. به دلیل از دست رفتن کتابخانه JS توسط Bigquery، به مدت 2 ماه هیچ آپدیتی برای وردلیست assetnote منتشر نشد. این مشکل اکنون رفع شده است. (برای اطلاعات بیشتر: رشته توییت)

📅رویدادها

  1. Jason Haddix دور دوم و آخر هفته را به دوره آنلاین خود اضافه کرد. (برای اطلاعات بیشتر: رشته توییت | ثبت نام)
  2. به Hackathon آپریل 2023 Bellingcat ملحق شوید و بیشتر به ابزارهای منبع باز دسترسی پیدا کنید. Bellingcat میزبان یک hackathon جهانی از راه دور متشکل از تیم های نهایتا 3 نفره است که از 21 تا 23 آپریل به منظور افزایش دسترسی به ابزارهای نرم افزاری در تحقیقات دیجیتالی برگزار می‌شود. (برای اطلاعات بیشتر: وب سایت)
  3. سخنران Defcon615 در روز 28ام مارس، راس ساعت جهانی 6:30 بعد ازظهر کسی نیست جز Jayson Street. (برای اطلاعات بیشتر: رشته توییت | دیسکورد)

🎉 جشن ها و تبریک ها

  1. bsysop برنده Buggy Awards 2022 شد: قهرمان کامیونیتی. حقش بود! (برای اطلاعات بیشتر : رشته توییت)
  2. پیش خرید کتاب “Arm Assembly Internals & Reverse Engineering” از Azeria فعال شده است. (براس اطلاعات بیشتر: رشته توییت)
  3. winK از مرز 100 آسیب پذیری P1 در Bugcrowd گذشت.(برای اطلاعات بیشتر: توییت)
  4. تعداد فالورهای Lupin در توییتر از مرز 10k گذشت. به امید 20k شدن این عدد! (برای اطلاعات بیشتر: توییت)

 

💰 شغل

  1. Initigriti به دنبال یک سرپرست کامیونیتی محققان امنیتی است. (برای اطلاعات بیشتر : توییت)
  2. پرسش‌های محبوب مصاحبه کنندگان برای شغل‌های مربوط به امنیت اطلاعات – مطرح شده توسط Matt Jay. (برای اطلاعات بیشتر : رشته توییت)
  3. مصاحبه های امنیت اطلاعات: چرا هیچ وقت برای تغییر مسیر به سمت امنیت اطلاعات دیر نیست؟! Rudra Pratap، تریاژر قرارداد باهوش در Immunefi، با Farah Hawa مصاحبه می‌کند. (برای اطلاعات بیشتر: ویدیو)

⚡️ کامیونیتی

  1. Max Yaremchuk طولانی‌ترین گزارش به روز خودشان را ارسال کرد. این گزارش متشکل از 9 هزار کاراکتر و 15 مرحله بازتولید است. (برای اطلاعات بیشتر: رشته توییت)
  2. Ananda و همکارانش اولین گردهمایی امنیتی خودشان را برگزار کردند که کل روز در این گردهمایی به بررسی امنیت و تست نفوذ اهداف جام جهانی سفیران HackerOne پرداختند و تعدادی باگ جالب کشف کردند. (برای اطلاعات بیشتر: رشته توییت)
  3. lil c با ساختن محتوای ویدیویی به منظور تقویت مهارت های خودش در حال یادگیری ویرایش ویدیو است. (برای اطلاعات بیشتر: رشته توییت | یوتیوب)
  4. Katie به علت درگیری با عفونت های متعدد یک هفته درگیر بیماری بود، اینکه برای این مدت قادر به انجام دادن هیچ کاری نباشی واقعا خسته کننده و غیر قابل تحمل است. لطفا برای کیت انرژی مثبت بفرستید. (توییتر)
  5. باگ بانتی هانترها در مورد علاقه شان به افشای یافته هایشان صحبت می‌کنند. (برای اطلاعات بیشتر : رشته توییت)

📰مطالب خواندنی

  1. Nagli در OpenAI یک آسیب پذیری تصاحب حساب کاربری بحرانی پیدا کرد. یک آسیب پذیری “فریب کش وب (Web Cache Deception)”. (برای اطلاعات بیشتر: رشته توییت)
  2. Mustafa و Osirys یک مورد جالب از تزریق SQL در هدف تیم قرمز Synack کشف کردند که یک تست جعبه سیاه بود. (برای اطلاعات بیشتر : رشته توییت)
  3. بهره برداری از aCropalypse: بازیابی PNG های بریده شده. (برای اطلاعات بیشتر: مقاله)
  4. 4 نکته کاربردی برای استفاده از ماشین Wayback. (برای اطلاعات بیشتر: مقاله)
  5. چگونه نقش‌های مختلف محققان امنیتی در امنیت جمع سپاری شده می‌تواند کمک کننده باشد. Codingo نمی تواند زیاد به این مساله بپردازد: افرادیکه به پروژه های جمع سپاری شده امنیتی عادت کرده اند به اندازه محققان امنیتی ای که با آنها درحال همکاری هستند موفق عمل می‌کنند، خواه این پروژ‌ها تست نفوذ جمع سپاری شده باشد یا چیز دیگر. (برای اطلاعات بیشتر: مقاله)

📚 منابع

  1. پیشنهادهای Jason Haddix برای خرید کیبورد. چشم من کیبورد glove80 را گرفته است. (برای اطلاعات بیشتر: رشته توییت | glove80)
  2. کورس زنده MySQL برای توسعه دهندگان. یک کورس رایگان 7 ساعته، که در 64 ویدیو جداگانه ارائه شده است! (برای اطلاعات بیشتر : رشته توییت)
  3. توضیحات طبقه بندی آسیب پذیری پیمایش مسیر سمت کلاینت – باگ بانتی 6,580 دلاری GitLab. (برای اطلاعات بیشتر : ویدیو)
  4. یادبگیرید که چگونه یک اپلیکیشن js را dockerize کنید. نکات کلیدی این ویدیوی آموزشی شامل استفاده از ساختارهای چند مرحله‌ای، اجرای کانتینرهای خودتان به عنوان کاربر غیر روت، و بارگذاری تصویر تان در Docker Hub است. (برای اطلاعات بیشتر : ویدیو)
  5. awesome-selfhosted/awesome-selfhosted لیستی از سرویس‌های شبکه نرم‌افزاری و وب اپلیکیشن های رایگان است که می تواند روی سرورهای شما بارگذاری شود. (برای اطلاعات بیشتر: گیت‌هاب)

🎥 ویدیوهای دیدنی

  1. اجتناب از گزارش های مثبت کاذب در باگ بانتی. (برای اطلاعات بیشتر: وبلاگ)
  2. HackTheBox – Vessel walkthrough. (برای اطلاعات بیشتر: یوتیوب)
  3. کنترل دسترسی مشکل دار – کارگاه #9 UID کنترل شده توسط پارامتر با نشت داده در دایرکت. (برای اطلاعات بیشتر : یوتیوب)
  4. روش تست نفوذ مناسب برای باگ بانتی را خودتان انتخاب کنید! g0lden درباره چرایی یافتن متدولوژی و محیط تست مخصوص به خودتان که باعث افزایش شانس موفقیت و حال خوب تان می‌شود، صحبت می‌کند. (برای اطلاعات بیشتر: یوتیوب)
  5. یک محقق امنیتی با TJ_Null مصحبه می‌کند. (برای اطلاعات بیشتر: یوتیوب)

🎵 مطالب شنیدنی

  1. Devaslife تولیدکننده محتوای پربار، موزیک پشت پرده ویدیوهای آموزشی کدنویسی خودش را به اشتراک گذاشته. (برای اطلاعات بیشتر : یوتیوب)
  2. پادکست 198 بهره برداری باینری (Binary Exploitation)- TOCTOU ها در SMM اینتل و باگ های پایه ای Shannon. آن‌ها این هفته یک Bypass بررسی root/super-use بسیار خوب در XNU و نوعی مشکل واکشی مضاعف در SMM اینتل که منجر به افزایش امتیاز احتمالی در سیستم مدیریت می‌شود، بدست آوردند. (برای اطلاعات بیشتر : یوتیوب)
  3. پادکست 197ام باگ بانتی – ظهور سرویس‌های وب Azure و باگ‌های پیکربندی آپولو. بازیابی داده ها از یک تصویر برش خورده (به لطف تغییر API غیرمستند)، دور زدن بررسی مبدا با یک ایموجی، و دور زدن فیلتر SSRF بی اهمیت در پادکست باگ بانتی این هفته. (برای اطلاعات بیشتر : یوتیوب)
  4. نمایش 292 حریم شخصی، امنیت و OSINT – اخبار حیاتی و به روز رسانی ها. VitThis این هفته چندین به‌روزرسانی مهم از جمله آسیب‌پذیری‌های اندروید، خرید Mint Mobile، ناپدید شدن BreachForums و بسیاری از ابزارهای جدید OSINT را معرفی می‌کند. (برای اطلاعات بیشتر : soundcloud)
  5. تفکر انتقادی – پادکست باگ بانتی قسمت 12: JHaddix در حال تست نفوذ -> محقق امنیتی CISO ، تکنیک های تست نفوذ OG و گزارش های دیوانه کننده. (برای اطلاعات بیشتر : پادکست)

🧰 ابزار

  1. Codingo یک ابزار سریع برای kymb0 به منظور تولید “keyboard walk ” بااستفاده از ورودی های خاص ساخته است. این ابزار به میزان قابل توجهی برای تولید وردلیست رمزعبور بسیار کاربردی است.(برای اطلاعات بیشتر : گیت‌هاب)
  2. CristiVlad25/gpt-cli به شما اجازه می‌دهد تا به مستقیم از طریق ترمینال به GPT3، ChatGPT و GPT4 دسترسی پیدا کنید. (برای اطلاعات بیشتر : گیت‌هاب)
  3. scrapeghost یک کتابخانه تجربی برای کاوش سطحی وب سایت ها با استفاده از GPT، OpenAI است. این کتابخانه ابزاری برای حذف داده های ساختار یافته از HTML بدون نوشتن کدهای مخصوص-صفحه فراهم می کند. (برای اطلاعات بیشتر : گیت‌هاب)
  4. cisagov/untitledgoosetool یک ابزار قدرتمند و منعطف شکار و رویارویی با اشکالات احتمالی است که روش‌های جدید احراز هویت و جمع‌آوری داده‌ها را اضافه می‌کند تا تحقیقات کاملی را علیه محیط‌های Azure Active Directory (AzureAD)، Azure و M365 مشتری انجام دهد. (برای اطلاعات بیشتر : گیت‌هاب)
  5. akto-api-security/akto امنیت API منبع باز، سریعی را فراهم می‌کند. کشف API، تست منطقی کسب و کار اتومیشن سازی شده و تشخیص زمان اجرا از قابلیت های این ابزار است. (برای اطلاعات بیشتر : گیت‌هاب)

💡 نکات کاربردی

  1. Justin Gardner به شما می‌گوید که وقتی درحال گشتن در تاریخچه Burp هستید، صفحه ای را که اکنون برای آن در مرورگر درخواست ارسال کرده بودید را گم کردید، چکار باید انجام دهید. (برای اطلاعات بیشتر : رشته توییت)
  2. Corben Leo درباره کارهایی که در زمان تقلا برای شمارش سرویس های داخلی برای SSRF ها انجام می‌دهد، صحبت می‌کند. (برای اطلاعات بیشتر : رشته توییت)
  3. XNL -н4cĸ3r درمورد بررسی اسرار در زمان استفاده از waymore نکاتی را به ما یاد می‌دهد.(برای اطلاعات بیشتر : رشته توییت)
  4. اگر ابزار Nuclei شما همیشه قبل از رد کردن 10% فرایند از کار می‌افتد؛ بهتر است بررسی کنید تا ببینید که آیا پروتکلی وجود دارد که مانع کار شما می‌شود یا نه – توسط Gwendal و CJ. (برای اطلاعات بیشتر : رشته توییت)
  5. Ryan درباره اینکه چگونه یک فایل را بدون cURL یا wget دانلود کنیم به ما می‌گوید. این نکات برای محیط های داکری یا ماشین آلات بدون ابزار استاندارد بسیار کاربردی است. (برای اطلاعات بیشتر : رشته توییت)

🍯  اکانت های توییتر پیشنهادی برای دنبال کردن

  1. zer0pwn ا| Dominik Pennerا| مشاور امنیتی ارشد، سابقا با گروه NCC همکاری می‌کرد.
  2. akita_zenا | Akitaا | باگ بانتی هانتر | راهب ذن | کیمیاگر.
  3. spencer_5centا | Jon Nicholsا| باگ بانتی هانتر. اکنون درتایوان به تدریس زبان انگلیسی مشغول است. OSCP.
  4. avlidienbrunnا | ­Mathias Karlssonا | ویولون نواز امنیت وب. آدم عوضی باگ بانتی!

🚀  افزایش بهره وری

  1. اینها کارهایی هستند که Codie Sanchez هر یکشنبه انجام می‌دهد؛ که با انجام این کارها بهره‌وری او 10 برابر می‌شود. (برای اطلاعات بیشتر: رشته توییت)
  2. Andrew D. Huberman با مدرک D. درباره ارزش و اهمیت خواندن و نوشتن با دست می‌گوید، نوشتن فیزیکی چیزهایی که می‌خوانیم یا می‌شنویم کار اغراق آمیزی نیست. (برای اطلاعات بیشتر : رشته توییت)
  3. چگونه به ترس از ساختن چیزهای جدید غلبه کنیم. فراموش کردن اینکه انتشار دانش و دانسته های شما در اینترنت چقدر ترسناک است، خیلی آسان است! (برای اطلاعات بیشتر : مقاله)
  4. saulpw/VisiData یک ترمینال صفحه گسترده (spreadsheet) چندابزاره برای کشف و چینش داده‌ها است. (برای اطلاعات بیشتر : گیت‌هاب)
  5. freedmand/textra یک اپلیکیشن خط فرمانی برای تبدیل فایل های تصویری، پی دی اف و صوتی به متن بااستفاده از API های Apple است. (برای اطلاعات بیشتر: گیت‌هاب)

🌐  تکنولوژی

  1. Theo پشته خودش را برای ساختن اپلیکیشن ها منتشر می‌کند: با 0$ هزینه یک پروژه بسازید، ارزان ترین قیسمت ممکن. (برای اطلاعات بیشتر: رشته توییت)
  2. وقتی دوران برنامه نویسی به پایان برسد، آیا به آنچه باقیمانده عادت خواهیم کرد؟ “ابتدا DALL-E  برای هنرمندان به میدان آمد، و ما خندیدیم، چون هنرمندان از نظر ما افراد مهمی نبودند. سپس chatGPT  برای نویسندگان به میدان آمد، و ما بیشتر خندیدیم، چرا که از نظر ما این افراد علاوه براینکه کم ارزش هستند، به میزان قابل توجهی برای جامعه مضر هم هستند…” (برای اطلاعات بیشتر : خبرنامه | مقاله مرتبط: پایانی بر توسعه فرانت اند)
  3. به روزرسانی Docker Hub و Docker Engine v23 (Ep 208). اعضای کلیدی کارمندان Docker به آنها ملحق شدند تا درباره تغییرات اخیر Docker Hub و آخرین به روزرسانی (v23) برای موتور Docker، CLI و Swarm صحبت کنند. (برای اطلاعات بیشتر : ویدیو )
  4. ChatGPT افزونه های ChatGPT را منتشر کرد. اکنون این ابزار می‌تواند: وب را مرور کند، به زبان پایتون بنویسد و اجرا کند و افزونه‌های سوم شخص و … (برای اطلاعات بیشتر: وب سایت | پادکست)
  5. مهندسی Prompt که به نام In-Context Prompting هم شناخته شده است، به متد و روشی برای نحوه برقراری ارتباط با LLM برای هدایت رفتار آنها به سمت خروجی دلخواه بدون نیاز به به‌روزرسانی ورزن‌های مدل، اشاره می‌کند .(برای اطلاعات بیشتر: مقاله | مقاله مرتبط: شکل‌دهی به پاسخ)

🧠 دانش و آگاهی

  1. sw33tLie به ما یادآوری می‌کند که هرچیزی را که (درتوییتر) دیدیم باور نکنیم. (برای اطلاعات بیشتر: رشته توییت)
  2. TESS درباره اینکه جهان کاملا و مطلقا بخشنده است صحبت می‌کند. (برای اطلاعات بیشتر: رشته توییت)
  3. Jason Haddix درباره اهمیت توسعه یک برند و همکاری با کامیونیتی امنیتی صحبت می‌کند. (برای اطلاعات بیشتر: رشته توییت)
  4. دیگر نگران تعامل مخاطب نباشید، و چند توصیه خوب دیگر که Jason به آنها اهمیتی نداده بود. او به عنوان یک تولید کننده محتوا، عادت داشت تا روی چیزهای غلط متمرکز شود. (برای اطلاعات بیشتر: یوتیوب)

💛  صحبت ها و مصاحبه های متقابل

  1. . فهرست اصلی وب سایت های دستور غذا ریپازیتوری GitHub توسط smeckledorfed. (برای اطلاعات بیشتر : گیت‌هاب)
  2. Scott به صورت زنده با قطعاتی از Damian Edwards یک PC میسازد. بااینکه خودم بلدم چگونه یک سیستم کامپیوتری را چگونه مونتاژ کنم، ولیکن این ویدیو با دربرگرفتن مراحل اشکال زدایی و … بسیار جالب است. (برای اطلاعات بیشتر : یوتیوب)
  3. این راهنما به شما می‌گوید که از کدام خودرو و سال باید دوری کنید. (برای اطلاعات بیشتر: reddit)
  4. یک زن سالمند 100 ساله با هیئت مدیره مدرسه در مورد اهمیت کتاب صحبت می کند. (برای اطلاعات بیشتر: reddit)
  5. چالش Vesuvius یک مسابقه یادگیری ماشین و بینایی کامپیوتر برای خواندن نسخه های پاپیروس Herculaneum است. یک کتابخانه باستانی را از خاکستر یک آتشفشان احیا کنید و 1,000,000 دلار برنده شوید. (برای اطلاعات بیشتر : وب سایت)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *