منصرف شدن NahamSec از ریکان، اشتباه‌های بزرگ توسعه‌دهندگان Web3 و کلینیک Docker

منصرف شدن NahamSec از ریکان، اشتباه‌های بزرگ توسعه‌دهندگان Web3 و کلینیک Docker

منصرف شدن NahamSec از ریکان، اشتباه‌های بزرگ توسعه‌دهندگان Web3 و کلینیک Docker

اخبار دورهمی درگوشی این هفته!

🐝اخبار دست اول  

  1.     NahamSec  از ریکان کردن دست کشید و 10.000$ بانتی پاداش گرفت. او خودش را با استفاده نکردن از اتومیشن و ریکان به چالش کشید. (اطلاعات بیشتر: ویدیو)
  2.     تصاحب زیردامنه: چگونه یک ابررکورد DNS با پیکربندی نادرست باعث به وجود آمدن یک حمله زنجیره‌ای بزرگ به منابع می‌شود. در این مقاله درباره کشف آسیب‌پذیری‌ای که به بازیگران شرور اجازه دسترسی به زیردامنه assets.npmjs.com می‌داد، پرداخته شده است، که به احتمال زیاد بااستفاده از این آسیب‌پذیری یک حمله زنجیره‌ای منابع هم برنامه ریزی شده است. (اطلاعات بیشتر: مقاله)
  3.     6 اشتباه بزرگ توسعه دهندگان Web3 (و راه‌های جلوگیری از آنها). (اطلاعات بیشتر: ویدیو)
  4.     CorePlague: آسیب پذیری های با شدت بیشتر در سرور Jenkins که منجر به RCE شد. محققان Aqua Nautilus زنجیره‌ای از آسیب‌پذیری‌ها کشف کردند که باعث دوبرابر شدن اثر CorePlugue در سرورهای پراستفاده و مرکز به روزرسانی Jenkins (CVE-2023-27898, CVE-2023-27905).( اطلاعات بیشتر: مقاله)
  5.     پرسرعت تر از Rust  و C++: جدول منحصربفرد hash. (اطلاعات بیشتر: ویدیو)

 

✅ گزارش تغییرات

  1.     Interactsh v1.1.0 – یک سرور جمع‌آوری تعاملی OOB و کتابخانه کلاینت. (اطلاعات بیشتر: رشته توییت | گیت‌هاب)
  2.     Go 1.20.2  و 1.19.7 منتشر شد. امنیت: شامل یک اصلاح امنیتی برای Crypto/elliptic (CVE-2023-24532). (اطلاعات بیشتر: رشته توییت)
  3.     انتشار SecLists 2031.1، Seclists یک دستیار برای تسترهای امنیتی است. مجموعه ای از انواع لیست‌های استفاده شده در طول ارزیابی‌های امنیتی که یکجا جمع شده است. (اطلاعات بیشتر : گیت‌هاب)

📅 رویدادها

  1.     nikhil(niks) در رویداد جهانی GISEC (14-16 مارس) در صحنه تاریک سخنرانی خواهد کرد. (اطلاعات بیشتر: رشته توییت)
  2.     Katie سخنران اصلی رویداد APISecure که درباره “بدهی فنی شما پاداش بانتی من است – داستان های بامزه از محققان امنیتی و آینده تست نفوذ API” صحبت خواهد کرد.(14 و 15 مارس). (اطلاعات بیشتر: رشته توییت | ثبت نام )
  3.     حضور Jason Haddix و BuddoBot در رویداد HackSpaceCon که در مرکز Kennedy Space فلوریدا برگزار خواهدشد. (13 ام تا 15ام آپریل). (اطلاعات بیشتر: رشته توییت)
  4.     آموزش Red Team توسط Charles Hamilton  “Mr.Un1k0d3r ” بازهم در رویداد HackSpaceCon. این دوره آموزشی از 5 بخش تشکیل شده است: جای پای آغازین، دسترسی گرفتن، کدنویسی تهاجمی، ریکان داخلی و حرکت بعدی. (اطلاعات بیشتر: مقاله)

🎉تبریکات

  1.     به برندگان رویداد تست نفوذ زنده Yogosha در rooted con تبریک می‌گوییم. (اطلاعات بیشتر: رشته توییت)
  2.     Alethe یک روز تمام وقت خود را صرف ساخت یک آموزش فشرده 20 دقیقه‌ای در زمینه مسیرهای شغلی امنیت سایبری برای دانش‌آموزان مدارس ابتدایی کرده است. حرکت دوست داشتنی بود.(اطلاعات بیشتر: رشته توییت)
  3.     بن صادقی‌پور و Jason Haddix از اینکه امسال در BSidesSF میزبان دهکده باگ بانتی هستند بسیار هیجان‌زده هستند. (اطلاعات بیشتر: رشته توییت )

💰 حرفه و شغل

  1.     Clint Gibler منابع موردنیاز برای شروع بکار در این زمینه یا ارتقاء درجه شغلی را با شما به اشتراک می‌گذارد. (اطلاعات بیشتر : رشته توییت)
  2.     BusesCanFly پذیرای شما برای کارآموزی یا فرصت‌های شغلی دیگر است. این گروه عاشق تست نفوذ سخت‌افزار و تحقیقات امنیتی تهاجمی کلی هستند، و دوست دارند از تحقیقات خودشان استفاده کنند و به نفع دیگران مشکل آفرینی کنند. (اطلاعات بیشتر: رشته توییت)
  3.     مشاغل در OSINT یک سری رایگان و عمومی از مصاحبه‌های ویدیویی است که باهدف برجسته‌سازی تعدادکثیری از شغل‌ها که درآنها می‌توانید از مهارت‌های OSINT خودتان استفاده کنید، ساخته شده‌اند. (اطلاعات بیشتر: ویدیو)

⚡️ کامیونیتی

  1.     Ambassador Spotlight: samux کسی است که درحال ایجاد یک مکان برای محققان امنیتی تازه کار برای پیدا کردن کامیونیتی در شیلی است. (اطلاعات بیشتر: هکروان)
  2.     بن از طراحی طرح‌های خودش مثل بندانگشتی‌ها، کارت‌های اجتماعی و چراکه‌نه‌ها لذت می‌برد. (اطلاعات بیشتر: رشته‌توییت)
  3.     Osirys در حال نقل مکان به Brisbane است و به دنبال ملاقات کردن با محققان امنیتی است. (اطلاعات بیشتر : رشته توییت)
  4.     Katie Paxton-Fear  به یک خبر بزرگ اشاره می‌کند. امکان لو رفتن داستان: ویدیوها، لایو استریم‌های جدید که به شما مهارت‌های  واقعی و کاربردی‌ای که شما برای تست نفوذ و کارهای دیگر نیاز دارید را آموزش می‌دهند. (اطلاعات بیشتر : رشته توییت)
  5.     Researcher Spotlight: bl3ep. روزجهانی بانوان تنها یک روز برای تقدیر و تشکر از مقام زنان نیست، بلکه روزیست برای حمایت از برابری جنسیتی است. (اطلاعات بیشتر: باگ‌کراود)

📰 بخوانید

  1.     پیدا شدن دو آسیب‌پذیری رفع شده (Patched) در مفسر PostScript در پرینترهای  Lexmark، که توسط گروه تحقیقاتی و تکنولوژی NCC کشف شدند. (اطلاعات بیشتر: رشته توییت | CVE-2023-26063 | CVE-2023-26066)
  2.     GitHub Security Lab ، DataHub که یک پلتفرم فراداده متن باز است را مورد بررسی قرار داد، و چند آسیب‌پذیری در بخش احرازهویت و ماژول‌های تایید هویت این پلتفرم کشف کرد. این آسیب‌پذیری‌ها به مهاجم این امکان را می‌دهند تا مرحله احراز هویت را دور بزنند و به اطلاعات حساس ذخیره شده در این پلتفرم دسترسی پیدا کنند. (اطلاعات بیشتر: گیت‌هاب)
  3.     دسترسی احراز هویت نشده به اسرار Codespace در GitHub. این آسیب‌پذیری نشان می‌دهد که به صورت پیش‌فرض، برخی از کنترل‌های دسترسی اضافه شده روی این نوع از فورک پیاده سازی شده‌است، به این دلیل که این اطلاعات بسیار حساس هستند.(اطلاعات بیشتر: مقاله)
  4.     API ابزار ChatGPT یک امکان عالی و ارزان است، این ابزار جایگزین بسیاری از تولیدکنندگان متن AI شده است. (اطلاعات بیشتر: مقاله)
  5.     DFWORKS از پیتزایی که سفارش داده‌اید باخبراست!  Glympse یک اپلیکیشن برای به اشتراک گذاشتن ماجراجویی‌ها و ردیابی موقعیت است که به هم کاربران و هم شرکای دلیوری‌ها و سایر افراد کمک می‌کند. (اطلاعات بیشتر: مقاله)

📚منابع

  1.     کلکسیون بزرگ Godfather Orwa از زیردامنه‌های برنامه‌های باگ بانتی. (اطلاعات بیشتر: گیت‌هاب)
  2.     پیشنهاد کتاب برای آنهایی‌که قصد ورود به دنیای امنیت سایبری یا تست نفوذ از صفر هستند. (اطلاعات بیشتر: رشته توییت)
  3.     قالب‌های cipher387/juicyinfo-nuclei-templates، شامل قالب‌های مناسب برای استخراج اطلاعات از صفحات وب. (اطلاعات بیشتر: گیت‌هاب)
  4.     Jason Haddix در stealth هست وبااستفاده از Axiom توسط pry0cc و 0xtavian  درحال سوپرشارژ تست‌های امنیتی تهاجمی شماست. (اطلاعات بیشتر: رشته توییت )
  5.     harsh-bothra/SecurityStories: 52 هفته، 52 داستان. یک روش ابتکاری برای به اشتراک گذاشتن داستان‌های افراد حرفه‌ای در زمینه امنیت سایبری است که در سراسر دنیا منشتر می‌شود تا به افراد علاقمند درسراسر دنیا داستان شروع کار خودشان را تعریف کنند، موانع مسیر سفرشان چه چیزهایی بود، قبلا کجا بودند و اکنون کجا قرار دارند. (اطلاعات بیشتر: گیت‌هاب)

🎥  تماشا کنید

  1.     پادکست BBRD – اتومیشن‌سازی باگ بانتی و مقیاس پذیری روز صفرها با Michael Ness. (اطلاعات بیشتر: ویدیو )
  2.     WebSockets را بساز، خراب کن و روی آنها تست نفوذ انجام بده. (اطلاعات بیشتر: ویدیو)
  3.     کنترل دسترسی آسیب دیده- آزمایشگاه شماره 7 شناسه کاربر کنترل شده توسط پارامتر درخواست. این آزمایشگاه شامل یک آسیب‌پذیری است  که میزان مجوز دسترسی آن در صفحه حاب کاربری به صورت افقی بالا می‌رود. (اطلاعات بیشتر: ویدیو)
  4.     Docker Clinic، قسمت 2. شامل ویدیوهای بازبینی تمام چیزهایی که شما نیاز دارید تا با محفظه‌ها (Cotainer) شروع به کار کنید. (اطلاعات بیشتر: ویدیو)
  5.     حمله به سرور زبانی JSON RPC. هنگام بررسی یک افزونه VSCode به علوه سرور زبانی LiveOverflow متوجه چیز جالبی شدند. (اطلاعات بیشتر: ویدیو)

🎵 گوش کنید

  1.     پادکست شماره 194 Binary Exploitation – تست نفوذ DSi و چند نکته کاربردی خفن. (اطلاعات بیشتر: ویدیو)
  2.     پادکست شماره 193 باگ بانتی – ImageMagick، Cracking SmartLocks و Broken OAuth. این قسمت از پادکست دربرگیرنده بخش های زیادی است، از جریان OAuth گرفته (Booking.com) تا تزریق دیوانه‌وار JSON و ورود به سیستم fail-open (DataHub) و تست نفوذ قفل‌های هوشمند بلوتوث (Megafeis-palm). (اطلاعات بیشتر: ویدیو)
  3.     What the Shell? اپیزود 029 – باگ بانتی هانتینگ و پخش زنده با NahamSec. (اطلاعات بیشتر: اسپاتیفای)
  4.     تفکر انتقادی – پادکست باگ بانتی فصل 01 قسمت 10: زندگی باگ بانتی هانترهای تمام وقت + اخبار باگ بانتی + گزارش‌های Mentees. (اطلاعات بیشتر: پادکست)

🧰  ابزارها

  1.     ConvertDateTime به کمک coding با انواع فرمت‌های خروحی برای رنج تاریخ تعیین شده. قابل استفاده برای ایجاد لیست کلمات. (اطلاعات بیشتر : گیت هاب)
  2.     trickest/dsieve لیستی از زیردامنه ها را براساس سطح آنها فیلتر و تقویت می‌کند.(اطلاعات بیشتر: گیت‌هاب)
  3.     Shell-Company/QRExfil یک ابزار خط فرمان است که به شما اجازه می‌دهد تا هر فایل باینری را به یک فایل Gif، QRcode تبدیل کنید. دراینصورت داده ها می‌توانند به صورت بصری دوباره چیده شوند و امکان استخراج داده ها در سیستم‌های دارای شکاف هوا را فراهم می‌کند. (اطلاعات بیشتر: گیت‌هاب)
  4.     tess-ss/recon-ninja ارائه دهنده یک روش کاربردی و تاثیرگذار برای جمع‌آوری و ذخیره سازی داده های ریکان است، به صورتیکه عملیات جستجو و پیمایش دربین داده‌های جمع‌آوری شده به کمک یک رابط کاربری کاربرپسند به آسانی صورت می‌گیرد. (اطلاعات بیشتر: SecWithMoh)
  5.     PatrikFehrenbach/aws_secret_finder یک افزونه  Burp برای پیدا کردن اسرار AWS است. (اطلاعات بیشتر: گیت‌هاب)

💡نکات کاربردی

  1.     نکته ارائه شده توسط Godfather درباره مقیاس پذیری به وسیله یک قالب Nuclei برای هر باگی که پیدا می‌کنید. (اطلاعات بیشتر: رشته توییت)
  2.     نکته ارائه شده توسط اپلیکیشن چارچوب Masonhck357 Spring: “برای تشخیص سطوح حمله بالقوه، روی جستجوی متن قوانین اپلیکیشن تمرکز کنید…” (اطلاعات بیشتر : رشته توییت)
  3.     اطلاعات اساسی موردنیاز افرادمبتدی برای بهتر شدن در امنیت اطلاعات. (اطلاعات بیشتر: رشته توییت)
  4.     نکته دیگر ارائه شده توسطMasonhck357، این دفعه برای پوشش دهی پیاده سازی های SAML. (اطلاعات بیشتر: رشته توییت)
  5.     افراد در مورد ” نکات منفی” Golang چه می‌گویند.(اطلاعات بیشتر: reddit)

🍯  دنبال کنید

  1.     mortenjust ا|  Morten در حساب توییتر خود فقط به انتشار تجربیاتی می‌پردازد که می تواند برای شما مفید و کاربردی باشد و همچنین درباره تولید محصولات نیز صحبت می‌کند. آخرین مطلب درباره : Android/Google بود.
  2.     SebMorin1 ا| Sébastien Morin ا| باگ بانتی هانتر، پن تستر و محقق امنیتی.
  3.     0dayCTF ا| Ryan M. Montgomery ا| پن تستر| کارآفرین سریالی / بازاریاب اینترنتی
  4.     Infosec_Taylor ا| Ashley – دانشمند امنیتی جدیی
  5.     SecurityMB ا| بهبود دهنده امنیت جهانی در گوگل.

🚀بهره‌وری

  1.     نکته کاربردی برای بازنگاری سریع CapsLock به یک کلید ” Hyper” توسط Wes Bos. (اطلاعات بیشتر: ویدیو)
  2.     epwalsh/obsidian.nvim مناسب افرادیست که عاشق مفهوم Obsidian هستند و درکنار آن برای نوشتن کاراکترها به فرم هرچیز دیگری، عاشق Neovim هستند. یک اپلیکیشن ساده و مبتنی‌بر یادداشت برداری. (اطالعات بیشتر: گیت‌هاب)
  3.     چگونه به یک دانشجوی سربه راه تبدیل شویم توسط Cal Newport- 5 ایده عالی متحرک سازی شده. (اطلاعات بیشتر: ویدیو)
  4.     مدل‌های ذهنی خودتان را بسازید. تفکر انتقادی هرروز بیشتر از قبل برای گرفتن تصمیمات بهتر دراین دنیای پرهرج و مرج نیاز است، اکثر محتواهای تولید شده برای مغز مضر هستند. (اطلاعات بیشتر: مقاله)
  5.     مستندسازی چقدر برای بهره‌وری شما می‌تواند مفید باشد. (اطلاعات بیشتر: مقاله)

🌐فناوری

  1.     بدون یادگرفتن توسعه اپلیکیشن موبایل یک اپلیکیشن داخلی بسازید. Kevin Whinnery به شما یاد می‌دهد تا چگونه بدون نیاز به دانش توسعه اپلیکیشن موبایل، بااستفاده از Retool یک اپلیکیشن داخلی سفارشی بسیازید. (اطلاعات بیشتر: ویدیو)
  2.     بااستفاده از مجموعه ویدیوهای Liam زبان برنامه نویسی Go را یادبگیرید. (اطلاعات بیشتر: ویدیو)
  3.     بااستفاده از این سازنده readme فوق‌العاده، پروفایل گیت‌هاب تان را زیباتر کنید. (اطلاعات بیشتر: گیت‌هاب)
  4.     از ChatGPT برای نوشتن AppleScript استفاده کنید. Simon نزدیک به 20 سال است که دربرابر یادگرفتن AppleScript مقاومت می‌کند. اما به لطف ChatGPT او میتواند به این مقاومت خود ادامه دهد، اما از ChatGPT می تواند برای نوشتن AppleScript کمک بگیرد. (اطلاعات بیشتر: وب‌سایت)

🧠دانش و آگاهی

  1.     Danny Thompson درباره نترسیدن از امتحان چیزهای جدید و تحت فشار قرار دادن خودتان میگوید: “شکست بخور، تلاش کن،رشد کن…” (اطلاعات بیشتر: رشته توییت)
  2.     bashbunni درباره تولیدکننده محتوای تکنولوژی شدن صحبت می‌کند: “… من هیچ وقت نخواستم از شکست دربرابر مردم بترسم، چراکه درانصورت ممکن بود از من به عنوان توسعه دهنده بد یاد کنند…” (اطلاعات بیشتر: رشته توییت )

💛  تبادل اطلاعات

  1.     چرا مستقل بودن تااین حد ارزشمند است. (اطلاعات بیشتر: ویدیو )
  2.     Sonic Pi یک ابزار تولید و ارائه موزیک مبتنی بر کد است. (اطلاعات بیشتر : وب سایت)
  3.     مهربون باش رفیق، در دقیقه یک پیام مهربانی منتشر می‌کند. (اطلاعات بیشتر: وب سایت)
  4.     بهترین مقاله برای کاهش وزن در اینترنت لعنتی. (اطلاعات بیشتر: وب‌سایت )

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *