از اخبار باگ بانتی تا معرفی شغل و حرف های دم گوشی

سلامی گرم خدمت همراهان سایت امنیت سایبری با محمد!

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

 

🐝 اخبار دست اول:

  1. Pipe Dreams: زندگی و طول عمر Yahoo Pipes. «Pipes» از مفهوم pipeline در Unix نشات گرفته، که در آن یک نوع از برنامه مستقیماً میتوانست تغذیه شود، یا با یک | پایپ گردد و خروجی آن به دستور بعدی انتقال یابد و… (کسب اطلاعات بیشتر)
  2. Rick Rubinنحوه برخورد خود با بلاک خلاقانه یا نویسندگان را به اشتراک می گذارد. او با کار خود همچون یک دفترچۀ خاطرات رفتار می کند – من وقتی این موضوع را شنیدم به نظرم فوق العاده آمد. من نیز این طرز فکر را پرورش خواهم داد. (کسب اطلاعات بیشتر: توییتر | پادکست)
  3. در این چالش 28 روزۀ «استخدام شوید»، Alyssa یک موضوع از کتاب خود تحت عنوان راهنمای شغل امنیت سایبری را دنبال می نماید. (کسب اطلاعات بیشتر)
  4. عملیات مثلث سازی: آخرین راز (سخت افزاری): «… این قطعا پیچیده ترین زنجیرۀ حمله ای است که تا کنون دیده ایم.». (کسب اطلاعات بیشتر)
  5. RCE در جستجوی npm؟ تزریق توالی گریز (Escape Sequence Injection). چند تا برنامه نویس لازم است تا 36 کاراکتر را فیلتر نماید؟ ممکن است فکر کنید این مقدمۀ یک جوک است، اما اینطور نیست. (کسب اطلاعات بیشتر)

 

✅گزارش تغییرات:

  1. jsqzl 2023.4.7 حاوی یک descriptor type جدید است: رفتار کلاینت! این نسخه شامل کوکی ها، ذخیره ساز محلی/سشن، پیام ها است. (کسب اطلاعات بیشتر)

 

🎉 جشن ها و تبریک ها:

  1. Monke بردهای 2023 خود را به اشتراک می گذارد: 40K بانتی، پیوستن به رویدادهای هک زنده، انتشار نوشته ها و تمام کردن دانشگاه. فوق العاده است! (کسب اطلاعات بیشتر)
  2. Pentester Land پس از یک استراحت برنامه ریزی نشده 2 ماهه بازگشته است. خوش برگشتی! (کسب اطلاعات بیشتر)
  3. امسال Davin یک مرکز ورزشی، گیمینگ و آموزش فناوری/فضای مجازی راه اندازی کرده است. عالیه! (کسب اطلاعات بیشتر)
  4. Lilly در سال 2023 صد کتاب را تمام کرده است. فوق العاده است! (کسب اطلاعات بیشتر)
  5. Arthur سال 2023 را به عنوان نفر دوم در رده بندی برزیل، نفر 17ام در رتبه بندی جهانی 2023 به پایان رساند و وارد تابلوی امتیازات همیشگی شد. بزن بریم! (کسب اطلاعات بیشتر)

 

💰  حرفه:

  1. دستمزد برابر برای کار برابر، یک لیست از سازمان هایی است که به کارکنان بدون توجه به محل آن ها، دستمزد برابر پرداخت می نماید. به عنوان نمونه می توان به Basecamp، ConvertKit و DuckDuckGo اشاره کرد. (کسب اطلاعات بیشتر)
  2. چگونه در سال 2024 به عنوان دولوپر استخدام شویم. با تماشای این ویدیو می توانید در خصوص این که چگونه می توانید به خود مزیت دهید، پتانسیل خود را به مدیران استخدام کننده نشان دهید و تبدیل به دولوپری شوید که پیشنهاد های کاری دریافت می کند، پیشنهادهایی دریافت نمایید. (کسب اطلاعات بیشتر)
  3. با Raquese Harris به دنیای یک مدیر پروژه فنی امنیت سایبری در AWS قدم بگذارید. (کسب اطلاعات بیشتر)
  4. Matt و همسرش، 100 ساعت از یک McDonalds PlayPlace کار کردند. وقتی سه فرزند دارید، می بایست منعطف باشید و بداهه بسازید. (کسب اطلاعات بیشتر)

 

⚡️  کامیونیتی:

  1. Justinاز پلتفرم ها و برنامه ها درخواست می کند با یکدیگر کار کنند تا راهی پیدا کنند که به باگ هانترها اجازه می دهد ارزیابی های source assisted انجام دهند. (کسب اطلاعات بیشتر)
  2. برق مایکل از کریسمس پس از یک گردباد همراه با موج گرما قطع شده است. مراقبت کن! (کسب اطلاعات بیشتر)
  3. Ali به دنبال اسپانسر برای یک پارتی فوق العاده در شهر نیویورک در مارس است. آن ها در انتظار بیش از 200 متخصص امنیت اطلاعات و هانتر شناخته شده است. (کسب اطلاعات بیشتر)
  4. Charlieیک وب سایت جدید برای مطابقت با سال جدید دارد. من عاشق استفاده از رنگ زرد هستم. (کسب اطلاعات بیشتر)

📰 مطالب خواندنی:

  1. SSH ProxyCommand == اجرای کد غیرمنتظره (CVE-2023-51385). (کسب اطلاعات بیشتر)
  2. به چشم های خودت اعتماد نکن: یک آسیب پذیری Clickjacking در واتس اپ. تصور کنید یک پیام واتس اپی حاوی لینکی به instagram.com دریافت کرده اید. فکر می کنید این لینک شما را به کجا هدایت می کند؟ (کسب اطلاعات بیشتر)
  3. LuemmelSec اولین آسیب پذیری عمومی گزارش شدۀ خود را به اشتراک می گذارد: بایپس Amazon Cognito Ratelimit. (کسب اطلاعات بیشتر)
  4. Prince با الهام از پست Daniel Miessler تحت عنوان «من چکاری می کنیم و کارم چطور پیش میره»، در رابطه با معضل شغلی می نویسد. وی می خواهد این نکته را به یادتان آورد که در سفر عدم قطعیت و اطمینان، تنها نیستید. (کسب اطلاعات بیشتر)

 

💡نکات:

  1. Justin امسال یک سوم از درآمد باگ بانتی خود را از این سه گزارش کسب کرده است: دو گزارش مربوط به Epic Games و یک گزارش Spotify. «دنبال بانتی های بزرگ برید – نتیجه میده.» (کسب اطلاعات بیشتر)
  2. Amanda به ما یادآوری می کند که رشد در سطح کلان رخ می دهد، نه سطح کوچک: «اجازه نده 31 روز بعدی، تعیین کنندۀ کل سال تو باشد» (کسب اطلاعات بیشتر)
  3. اگر به وردلیست عمومی «مسیر (path)» به زبان های مختلف نیاز دارید، packetstorm (پیشنهاد Jason) را بررسی کنید. (کسب اطلاعات بیشتر)
  4. هنگام اسکرین شات گرفتن با استفاده از یک headless browser، این کار را نیز انجام دهید. (کسب اطلاعات بیشتر)

 

🍯 دنبال کنید:

اکانت های توییتر پیشنهادی این سری:

  1. @avlidienbrunn ا– ­Mathias Karlsson – کمانچه نواز امنیت وب. حرامزادۀ باگ بانتی
  2. @vinodsparrow ا– Vinoth Kumar – هم بنیانگذار و CEO در @zerogatehq
  3. @katherinecodes ا- Katherine Oelsner – مهندس نرم افزار سنیور در @github
  4. @ustayready ا- Pew– دوست امنیت وب 18 ساله، که با @Water_PaddlerBlackhat، ctf بازی می کند – محقق امنیت/آسیب پذیری در @assetnote، بلاکچین و @osec_io
  5. @timurguvenkaya ا– Mike Felch (آماده باشید) – عضو رد تیم / محقق امنیت – عنوان قبلی: CrowdStrike – در چنگال مسیح – در حال انجام تست نفوذ از سال 1997 – تمرکز در حوزۀ امنیت: Cloud

 

🚀  بهره وری:

  1. Stirling-PDF متعلق به Frooodle یک وب اپلیکیشن با هاست محلی است که به شما اجازه می دهد عملیات مختلفی را بر روی فایل های PDF انجام دهید، از جمله تقسیم و اضافه کردن تصاویر – من تا به امروز درگیر کشتی گرفتن با فایل های PDF هستم؛ دفعۀ بعدی این ابزار می تواند کارساز باشد. (کسب اطلاعات بیشتر)
  2. نکات بهره‌وری نیل برای سال 2024: فهرست کارهای خود را شب قبل بنویسید، هرگز در همان روز به آن چیزی اضافه نکنید و هنگامی که تمام شد، باید کار را به طور کامل متوقف کنید. (کسب اطلاعات بیشتر)
  3. چارچوب تعیین اهداف نیک: 1. آنچه را می‌خواهید شناسایی کنید، 2. از کوچک فکر کردن دست بردارید، 3. طرح ایجاد کنید، 4. یک حلقه بازخورد ایجاد کنید. (کسب اطلاعات بیشتر)
  4. نمودار اهداف سالانه نوح، اهداف را به چهار حوزه تقسیم می‌کند. به منظور سادگی هر حوزه به چهار هدف یا کمتر محدود شده است. (کسب اطلاعات بیشتر)
  5. اهمیت نه گفتن، به صورت تصویری. (کسب اطلاعات بیشتر)

 

🌐 فناوری:

  1. mithril-securityمتعلق به BlindChat یک یک راه حل حفظ حریم خصوصی کاملاً درون مرورگری است تا Conversational AI را با حریم خصوصی سازگار کند. (کسب اطلاعات بیشتر)
  2. Aaron نوزاد خود را برای عبارت جستجو “شادترین کودک جهان” رتبه بندی کرد. انجام این کار یک سال طول کشید. (کسب اطلاعات بیشتر)
  3. با بهره گیری از قابلیت بازتعریف مشکلات سخت به مشکلات ساده، بهره وری برنامه نویسی خود را افزایش دهید. به این منظور، DHH کتاب “آیا چراغ های شما روشن است؟” اثر جرالد ام. واینبرگ را توصیه می کند. (کسب اطلاعات بیشتر)
  4. نیک بیش از 5000 دلار برای ماوس هزینه کرد و بیش از 25 نوع را تست کرد تا بهترین مورد را انتخاب نماید. ماوس انتخابی MX Ergonomic Advanced Wireless Trackball است، که اتفاقاً ماوس من نیز از همین مدل است. (کسب اطلاعات بیشتر)

 

🧠دانش و آگاهی:

  1. Trung هشت گنجینه از قرار دادن تاریخ های تاریخی در طرز فکر را به اشتراک می گذارد. یکی از آن ها به این شکل است: فردی که واقعاً خوب سفر کرده، احتمالا این قابلیت را داشته که با سقراط (470-399 قبل از میلاد) ، کنفوسیوس (551-479 قبل از میلاد) و بودا (563-483 قبل از میلاد) ملاقات کند. (کسب اطلاعات بیشتر)
  2. Dax این نکته را یادآوری می کند که می بایست راه هایی پیدا کنیم تا همراه با بقیه بر در یک شرکت نکوبیم. این نکته در پاسخ به Cloudflareگفته شده که آمار درخواست شغل خود را به اشتراک گذاشت که به کمتر از 0.1 درصد کاهش یافته بود. (کسب اطلاعات بیشتر)
  3. علی بر این باور است که «به تأخیر انداختن» یک مشکل عاطفی است: «دلیل به تاخیر انداختن کارها توسط شما، تنبل بودن، بی انگیزه بودن یا بی انضباطی نیست.» (کسب اطلاعات بیشتر)
  4. انتخاب یک هدف: «ویکتور فرانکل کتاب جستجوی انسان برای معنی را بعد از زنده ماندن از یک اردوگاه کار اجباری در طول جنگ جهانی دوم نوشت. او شاهد پرتگاهی بود که وقتی افراد دلیلی برای زندگی نداشتند، برایشان اتفاق می افتاد.» (کسب اطلاعات بیشتر)

 

 

💛صحبت ها و مصاحبه های متقابل:

  1. Gokul، صفحه گستردۀ (spreadsheet) خود را به اشتراک می گذارد. (کسب اطلاعات بیشتر: توییتر |قالب )
  2. بسیاری از ما درک بسیار ضعیفی از تاریخ داریم. دانش ما ناقص بوده و شکاف های بزرگی در همۀ بخش ها دارد. برای مثال، شما می دانستید که Martin Luther King و Anne Frank در سال یکسانی متولد شده بودند؟ (کسب اطلاعات بیشتر)
  3. NHers پست های وبلاگی (نرم افزاری) خود از سال 2023 را به اشتراک می گذارد. از جمله این گنجینه تحت عنوان Bicycle (کسب اطلاعات بیشتر)

 

🧰  ابزار:

  1. ngocok متعلق به dwisiswant0، یک ngrok Collaborator Link است و همچنین جایگزین رایگان دیگری برای Burp Collaborator محسوب میگردد. (کسب اطلاعات بیشتر)
  2. بازی با paololazzari، یک زمین بازی TUI برای تست و بررسی برنامه های موردعلاقه تان نظیر grep، sed، awk، jq و yq است. (کسب اطلاعات بیشتر)
  3. JS-Tap متعلق به hoodoer یک پیلود جاوا اسکریپتی عمومی و نرم افزار پشتیبان است که به رد تیم ها کمک می کند به اپلیکیشن های وب حمله نمایند. (کسب اطلاعات بیشتر)
  4. Back In Time یک ابزار سادۀ بک اپ گیری برای لینوکس است که از «پروژۀ flyback» الهام گرفته است. (کسب اطلاعات بیشتر)

 

📚  منابع:

  1. cipher387 یک تقویم هکری راه اندازی کرده است. آنها به دنبال مشارکت و کمک هستند. (کسب اطلاعات بیشتر)
  2. j3ssie مجموعه ای جامع از قوانین موثر Semgrep را که توسط کامیونیتی ارائه شده و مورد بررسی قرار گرفته را تنظیم کرده است. (کسب اطلاعات بیشتر)
  3. Internal All The Things حاوی اکتیو دایرکتوری و چیت شیت تست نفوذ داخلی توسط swisskyrepo است. (کسب اطلاعات بیشتر)

 

🎥 تماشایی ها:

  1. مواجهه با تارگت های بزرگ مقیاس بدون احساس غرق شدگی. در این ویدیو، Katie دربارۀ این صحبت می کند که چگونه مبتدیان می توانند تارگت هایی با اسکوپ بالا را در باگ بانتی هانتینگ دنبال کنند. (کسب اطلاعات بیشتر)
  2. NahamSec در مورد اینکه چگونه یک هکر میلیون دلاری شد صحبت می کند. در کنار مسائل دیگر، باور به خود، عمیق شدت و همکاری بسیار کمک کننده بوده است. (کسب اطلاعات بیشتر)
  3. Katie در مورد OWASP API Top 10 توضیح می دهد. با این ویدیو بفهمید که چگونه می توان این باگ ها را مطالعه و پیدا کرد. (کسب اطلاعات بیشتر)
  4. اهداف Hacker Stats 2023 & 2024. در این اپیزود از پادکست باگ بانتی تفکر انتقادی، در مورد برخی از اخبار ارزشمند نظیر Hacker One Crit، به روزرسانی های Caido و تعدادی Blind CSS صحبت می کنند. (کسب اطلاعات بیشتر)
  5. اخبار 2023 هانت Nintendo: 2008 – به اتمام رساندن Nintendo DSi. در طول سال ها، صحبت های زیادی در مورد console jailbreakها در CCC ارائه شده است. با این حال یک کنسول نادیده گرفته شده است: the Nintendo DSi (کسب اطلاعات بیشتر)

 

🎵  شنیدنی ها:

  1. Tetragrammaton با Rick Rubin: Kenny Beats. (کسب اطلاعات بیشتر)
  2. پادکست Lex Fridman اپیزود 405 – Jeff Bezos: Amazon و Blue Origin. (کسب اطلاعات بیشتر)

 

تا بخش بعدی اخبار، مراقب خود و همدیگر باشید 🙂

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *