از اخبار دو راهی هوش مصنوعی تا معرفی منابع کاربردی

از اخبار دو راهی هوش مصنوعی تا معرفی منابع کاربردی

 سلامی گرم خدمت همراهان سایت امنیت سایبری با محمد!

خب بدون هیچ گونه وقت تلف کردن، بریم سراغ سری جدید تازه های دنیای امنیت سایبری:

🐝 اخبار دست اول:

  1. دوراهی و وضعیت دشوار هوش مصنوعی – نهم مارس، 2023. Tristan Harris و Aza Raskin در مورد دو راهی هوش مصنوعی صحبت می کنند. اینکه چگونه قابلیت های هوش مصنوعی در حال حاضر خطرات فاجعه باری را برای یک جامعه کارآمد ایجاد می کنند؛ چگونه شرکت های هوش مصنوعی در رقابتی گیر کرده اند که می بایست در آن بدون اقدامات ایمنی کافی در سریع ترین زمان ممکن استقرار یابند؛ و این که ارتقای موسساتمان به post-AI به چه معناست. (لینک ویدیو یوتیوب)
  2. SAMLjacking یک مستاجر مسموم. یک دمو از ترکیب دو تکنیک حملۀ SaaS جدید به منظور ایجاد یک زنجیره حملۀ ساده اما موثر. (وبلاگ PushSecurity)
  3. چگونه Daniel Miessler سرش را به کار خود گرم کرد و از FTE 350هزار دلاری به 700هزار دلاری رسید. شما هم می توانید. (کسب اطلاعات بیشتر)
  4. گفتگوهای DEFCON 31 Recon Village حاضر و آماده برای استفادۀ شما هستند. (لینک ویدیو یوتیوب)
  5. Zero Touch Pwn: سو استفاده از Zero Touch Provisioning برای حملات از راه دور بر روی تلفن های رومیزی. (SYSS)

✅ گزارش تغییرات:

  1. Noir v0.4.0اکنون از تحلیل Swagger پشتیبانی می کند. هنگامی که اسناد Swagger در سورس کد تارگت شناسایی گردد، این ابزار، فایل های مذکور را به منظور شناسایی و استخراج اندپوینت ها تحلیل می نماید. (لینک GITHUB)

🚨 اخبار:

  1. فازینگ قدرت گرفته از هوش مصنوعی: شکستن سد باگ هانتینگ! استفاده از مدل های زبانی بزرگ روش امیدوارکنندۀ جدیدی برای حذف موانع پروژه های آتی اتخاذکنندۀ فازینگ بوده و همچنین روشی موثر برای افزایش مقیاس بهبودهای امنیتی در بیش از 1000 پروژه ای است که در حال حاضر توسط OSS-Fuzz فاز شده اند. (GOOGLEBLOG)
  2. یک محقق می گوید در کنفرانس DEFCON پشت پاپ آپ های آیفون بوده است. (TECHCRUNCH)

🎉 جشن ها و تبریک ها:

  1. Vortex نقش خود را در Bugcrowd به مدیر تست نفوذ فنی تغییر می دهد. تبریک! (رشته توییت)
  2. Lupin و Holmes وب سایت جدید خود را راه اندازی کردند. عالی به نظر میاد! (رشته توییت)
  3. enleak سه هفته است که به عنوان تحلیلگر SOC مشغول به کار است. ایول بهش! (رشته توییت)

💰 شغلی:

  1. The Pivot با جین فرنکلند: زنان در فضای مجازی و جنبش امنیت. جین یک کارآفرین فناوری، نویسندۀ کتاب، سخنران بین المللی و نمایندۀ پرشور تغییر زنان است. (لینک ویدیو یوتیوب)
  2. نقشۀ راه سال 2023 به سمت اولین شغل امنیت سایبریتان. (لینک ویدیو یوتیوب)
  3. از متوسط تا ارشد: مدیریت زمان و اولویت دهی. بالا رفتن از نردبان به عنوان یک توسعه دهندۀ سطح متوسط به یک نقش ارشد می تواند مانند ورود به یک جهان کاملاً جدید باشد. (IVANNOVAK)
  4. هشدار رزومه ای بسیار مهم استخدام کنندۀ سابق گوگل: «احتمال حرکت شما به سمت جلو صفر است.». نبایدهای مختلفی را باید به ذهن بسپارید: کلمات را با املای غلط ننویسید. بیشتر از دو صفحه ننویسید. لیستی از مهارت های مبهم را بدون ارائه مدرکی مستند که واقعاً آنها را اخذ کرده اید ننویسید. (CNBC)

⚡کامیونیتی:

  1. تقویت ایده: یک مرد هیجان انگیز برای دوستانتان باشید. Rez0 در خصوص مزایای به هیجان آوردن ایده های دوستانتان صحبت می کند. (REZ0)
  2. پادکست تفکر انتقادی به دنبال موضوعات موردعلاقۀ شما برای قسمت های بعدی این پادکست می‌گردد. اگر ایده ای دارید به آن ها اطلاع دهید. (رشته توییت)
  3. موضوعات غیرمرتبط با فناوری که هکرها در مورد آن ها هیجان زده هستند. موضوعات موردعلاقۀ Hakluke در این خصوص: کوله پشتی ها، چراغ قوه ها، سبک موسیقی جاز، ترومپت، سبک مینیمالیسم و کمپینگ. (رشته توییت)
  4. BugBountyHQ یک سال بزرگتر شده است. تولدش با تاخیر مبارک! (رشته توییت)
  5. Rodolfoاز مشکلات شدید مربوط به سلامت روان رنج می برد. او با به اشتراک گذاری کار و ابزارش، KNOXSS، درخواست پشتیبانی دارد. (رشته توییت)

📰 مطالب خواندنی:

  1. Spring WebFlux – PoC و رایت آپ CVE-2023-34034. نسخه های جدید انتشار یافتۀ Spring Security حاوی یک راه حل برای آسیب پذیری کنترل دسترسی شکسته است. (JFROG)
  2. ضربه زدن روی درب ورودی (حملۀ غیرهمگام سازی سمت کلاینت روی Azure CDN). چند ماه قبل، Jeti در محدوده یک برنامه خصوصی که از طریق پلتفرم Intigriti در دسترس است، اقدام به جستجوی اشکالات امنیتی کرد. (JETI)
  3. Michael برخی از موفقیت ها و تله های اتومیشن در باگ بانتی را به اشتراک می گذارد. (رشته توییت)
  4. چگونه Nagli موفق شد از لینک های حساسی که از طریق ایمیل ارسال شده بودند و بدون هیچ گونه تعامل کاربری افشا شده بودند، بانتی های 5 رقمی کسب نماید. (رشته توییت)
  5. Justin توضیح می دهد که چگونه هانترهای ماهر با بهره گیری از زنجیرۀ گجت ها، آسیب پذیری های پیچیده و خلاقانه می یابند. (رشته توییت)

💡نکات کاربردی:

  1. Random Robbie در خصوص بهره گیری از افزونۀ مرورگر wayback machine سخن می گوید. (رشته توییت)
  2. هانترها موارد کوچک و ارزشمندی را که در طول مسیر حرکت خود یاد گرفته اند، به اشتراک می گذارند. (رشته توییت)
  3. درباره این دستورات TruffleHog بیشتر بدانید: Git در مقابل FileSystemا. (TRUFFLESECURITY)
  4. با Louis در معرفی توانایی تمرینات رومیزی و میزگرد در بهبود امنیت اپلیکیشن و پویایی تیمتان همراه شوید. (لینک ویدیو یوتیوب)

🍯دنبال کنید:

اکانت های توییتر پیشنهادی این سری:

  1. @DfirDiva ا| DFIR Diva ا| تحلیلگر Jr IR که سعی دارد همه چیز را یاد بگیرد – بلاگ DFIR برای مبتدیان – موسس @GetYourStart
  2. @i_bo0om ا| Bo0oM ا| محقق امنیت وب اپلیکیشن در @sploitus_com
  3. @sobedominik ا| Dominik Sobe ا| هکر مستقل و توییت کننده دربارۀ راه اندازی SaaS. درس هایم را به اشتراک می گذارم. در حال حاضر در حال تبدیل مستندات Notion به راهنمای حرفه ای در @HelpkitHQ هستم.
  4. @Rhynorater ا| Justin Gardnerا| مسیحی | باگ بانتی هانتر تمام وقت | 2x HackerOne MVH ا| میزبان @ctbbpodcast ا| انگلیسی، 日本語 ا| ♥️ @mariahchan_ ♥️.
  5. @flaviocopes ا| flavio

🚀 بهره وری:

  1. چطور به خودتان زمانی برای تفکر اختصاص دهید. هر شخصی نیاز به اختصاص زمانی برای تفکر دارد، خواه چند ساعت، خواه چند روز، خواه یک هفتۀ کامل. (BESIDE)
  2. دربارۀ آنچه که یاد می گیرید، بنویسید. این مسئله شما را وادار می کند تا مباحث را بهتر درک نمایید. (ADDYOSMANI)
  3. Adam در خصوص ارزش بالای checkin در متمرکز نگه داشتن یک شرکت (یا شخص) و کار کردن روی چیزهای صحیح سخن می گوید. (رشته توییت)
  4. من امروز فهمیدم که اگر دکمۀ CTRL را در ویندوز فشار داده و نگه دارید، لیست پروسس ها در تسک منیجر فریز شده و ثابت می ماند و از این رو می توانید بدون هیچ گونه پرش و… به سادگی سطرهای موردنظر خود را انتخاب نمایید. (رشته توییت)
  5. ترکیب‌پذیری قالب‌های Obsidian گردش کار شما را سرعت می‌بخشد. ( رشته توییت)

🌐 تکنولوژی:

  1. آموزش Makefile با مثال. دلیلی که Chase این راهنما را ساخت این بود که من نمی توانستم Makefiles را درک کنم. (MAKEFILETUTORIAL)
  2. dnakov/little-rat یک افزونۀ سادۀ کروم برای نظارت بر فراخوانی های شبکۀ سایر افزونه ها محسوب می گردد. (GITHUB)
  3. dillionverma/llm.report یک پلتفرم تحلیلی و لاگ گیری برای معرفی OpenAI محسوب می گردد. (GITHUB)
  4. چرا زنان بیشتری در STEM نیستند. Alexandra به عنوان متخصص Comms و اینفلوئنسر STEM/Space، داستان خود را به اشتراک می گذارد. (REDDIT)
  5. مشکل با نکات فنی Linus: دقت، اخلاق و مسئولیت پذیری. این ویدیو نگرانی های جدی ما را در خصوص صحت دادۀ گروه رسانه ای Linus از جمله نکات فنی Linus، ShortCircuit و TechQuickie پوشش می دهد. (لینک ویدیو یوتیوب)

🧠دانش و آگاهی:

  1. Justin تصویر بزرگ را یاد ما می اندازد: «وقتی در حال یادگیری باگ بانتی هستید، شکست چندان مهم نیست.» – موافقم و این مسئله را به تمام حوزه های زندگی اعمال می کنم. (رشته توییت)
  2. Steph در خصوص خلق کردن: «وقتی اعتقاد دارید که چیزی باید در دنیا وجود داشته باشد، اجازه ندهید صداهای زیاد این دیدگاه را کمرنگ نماید.» (رشته توییت)
  3. یاد گرفتن اینکه با انجام ندادن باگ بانتی تمام وقت مشکلی نداشته باشید چیزی است که Jason باید یاد می گرفت. (رشته توییت)

💛صحبت ها و مصاحبه های متقابل:

  1. باغی به مساحت 800 فوت مربع در Mission District سانفرانسیسکو. برنامه ریزی از سال 2015 شروع شد و در نهایت در ژانویه 2017 کاشت کردیم. (ZACHKLEIN)
  2. RetroFlixپروژه ای است که فیلم ها، برنامه های تلویزیونی و کارتون های دامنه عمومی را آرشیو می کند. (RETROFLIX)
  3. Halli در Kinference نیویورک با وسواس در مورد دلیلی که خلق می کند، صحبت می نماید. (رشته توییت)
  4. Danny Postma به عنوان یک کارآفرین پرکار، درس هایی را که در طی سال ها یاد گرفته است، به اشتراک می گذارد – من این یکی رو دوست داشتم: «ایجاد یک کسب و کار موفق، 95 درصد به بازاریابی ربط دارد و 5 درصد به چیزهای دیگر.» (رشته توییت)

🧰ابزار:

  1. wssheldon/osintui از سرویس های موردعلاقه شما با استفاده از یک رابط کاربری ترمینال کاربرپسند، برایتان OSINT ارائه می دهد. – ادغام هایی برای Virustotal، Shodan و Censysا. (GITHUB)
  2. mschwager/route-detect در مسیرهای اپلیکیشن وب، آسیب پذیری های امنیتی مربوط به احراز هویت (authn) و اعطای مجوز (authz) را می یابد. (GITHUB)
  3. redhuntlabs/BucketLoot ابزاری است که می تواند باکت های مستقر بر روی سرویس های وب آمازون (AWS)، ذخیره ساز ابری گوگل (GCS)، فضاهای DigitalOcean و حتی دامنه ها/URLهای سفارشی که قابلیت اتصال به این پلتفرم ها را دارند را اسکن نماید. (GITHUB)
  4. utkusen/promptmap به طور خودکار حملات prompt injection را بر روی واسط های ChatGPT تست می نماید. (GITHUB)
  5. stolenusername/cowitness یک ابزار قدرتمند برای تست وب اپلیکیشن است که صحت و کارایی تلاش های شما برای تست کردن را بهبود می بخشد. (GITHUB)

📚منابع:

  1. jakabakos/CVE-2023-36664-Ghostscript-command-injectionجزئیات مربوط به آسیب پذیری افشا شده در نسخه های ماقبل 10.01.2 ابزار Ghostscript را که منجر به اجرای کد می گردد را افشا می نماید (CVSS درجه 9.8) (GITHUB)
  2. emadshanab/BChecks-Collection همانطور که از نام آن نیز پیدا است، یک کلکسیون BChecks برای Burp Suite Professional است. (GITHUB)
  3. g0ldencybersec/sus_params، تحقیقات sus_params جدید Jhaddix و G0LDEN_infosec را که در کنفرانس Defcon ارائه کردند، مورد توجه قرار داده است. (GITHUB)
  4. SecLists 2023.3، همراه تست کنندۀ امنیت است. این مورد مجموعه ای از چندین نوع لیست است که در طی ارزیابی های امنیتی استفاده شده و در یک جا متمرکز شده است. (GITHUB)
  5. Escape-Technologies/graphql-wordlist تنها وردلیست های qraphql هستند که همیشه به آن ها نیاز خواهید داشت که با بهره گیری از بیش از60 هزار طرح مجزای GraphQL ساخته شده اند. (GITHUB)

🎥 تماشایی ها:

  1. HackTheBox – بررسی Mailroom توسط ippsec. (لینک ویدیو یوتیوب)
  2. آسیب پذیری های احراز هویت – آزمایشگاه شماره 7، پیمایش نام کاربری از طریق قفل اکانت. (لینک ویدیو یوتیوب)
  3. سه ترفند برقر جستجوی گوگل برای محققان. بخشی از مجموعه OSINT At Home توسط Bendobrown. (لینک ویدیو یوتیوب)
  4. ویدیوهایی از DEFCON که حتما باید آن ها را تماشا کنید! (رشته توییت)
  5. کشف Zenbleed ft. Tavis Ormandy. چگونه Tavis Ormandy به منظور کشف Zenbleed، CPUها را فاز می‌کند؟ (لینک ویدیو یوتیوب)

🎵شنیدنی ها:

  1. کسب و کار پر از ریسک قسمت 717. (RISKY BUSINESS)
  2. جنگ های چت هوش مصنوعی و رمزعبورهای هکر افشا شد – چت بات های هوش مصنوعی در لاس وگاس تحت حمله هستند، اسرار رمز عبور هکرها زیر ذره بین قرار می گیرد و گراهام (احتمالا) بزرگترین برنامه تلویزیونی تمام دوران را فاش می کند. (SMASHINGSECURITY)
  3. تفکر انتقادی – پادکست باگ بانتی اپیزود 32: حقایق رایت آپ عالی. (RSS)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *