برای همه علاقمندان به حملات فیشینگ
 [ Phishing Made Easy ] 🔱. Simple and beginner friendly automated phishing page creator.
با ۳۰ نوع تم مختلف
فقط جهت آگاهی
لینک :
https://github.com/Akshay-Arjun/69phisher

برای علاقمندان و متخصصان حوزه تیم قرمز

Tools & Interesting Things for RedTeam Ops
لینک:
https://github.com/bigb0sss/RedTeam-OffensiveSecurity

ALL IN ONE Hacking Tool For Hackers
لینک ابزار :
https://github.com/Z4nzu/hackingtool

روز یازدهم از دوره Memory Forensic آماده شد

برای دیدن این جلسه له لینک زیر مراجعه فرمایید

https://aparat.com/v/Ufzj3

#dfir

#mymission

#threatHunting

PSSW100AVB

This is the PSSW100AVB (Powershell Scripts With 100% AV Bypass) Framework.

A list of useful Powershell scripts with 100% AV bypass ratio. (At the time of publication).

#dfir
#pentest
#soc
#threahunting
https://github.com/tihanyin/PSSW100AVB

⛔️ اینقدر اطلاعات شخصی خودتون را در شبکه‌های اجتماعی (حتی در پروفایل‌های پرایوت، گروه‌های خصوصی و کاری، چَت‌ها و دایرکت‌ها و ..) منتشر نکنید!!
از اطلاعات شخصی‌تون در فضای مجازی محافظت کنید تا مورد سوء استفاده قرار نگیره ..

👁 @intsec
#هشدار #حریم_خصوصی #مهندسی_اجتماعی #OSINT

عید بر همه مبارک

Memory Forensics - Day12 در این ویدیو که در روز 12 دوره مموری فارنزیک در خصوص آن بحث میکنیم ابزاری است از شرکت FireEye با نام RedLine. این ابزار چند مزیت بسیار عالی دارد از جمله:1. open source می باشد 2. در درون خود ابزاری تولید میکند که به صورت پرتابل و در سطح تریاژ امکان جمع آوری از روی تارگت های مشکوک را فراهم می کند 3. امکان آنالیز سطح عمیق در لابراتوار را فراهم میکند. 4. برای Memory Forensic نیز با اضافه کردن ایمیج فارنزیکی از روی مموری(Memory Dump) این امکان فراهم است 5. محیط گرافیکی و یکپارچه ای را برای تجزیه و تحلیل ارائه می نماید و قابلیت های متعدد دیگری که در ویدیو به آنها اشاره شده است.

این ویدیو در 48 دقیقه ضبط گردیده است

نحوه بهره برداری از این ابزار در جلسات بعدی که بر اساس یک سناریوی کشف شواهد و ادله دیجیتالی خواهد بود به صورت کاملا عملیاتی توضیح داده خواهد شد.



لینک مشاهده ویدیو:

https://aparat.com/v/QA7BJ

معرفی یک ابزار برای آنالیز سطح مموری

MemProcFS-Analyzer

MemProcFS-Analyzer
Automated Forensic Analysis of Windows Memory Dumps for DFIR

https://github.com/evild3ad/MemProcFS-Analyzer

معرفی یک ابزار جهت تست نفوذ دیتاسنترها
The Infection Monkey is an open source security tool for testing a data center's resiliency to perimeter breaches and internal server infection. The Monkey uses various methods to self propagate across a data center and reports success to a centralized Monkey Island server.

https://hakin9.org/infection-monkey-data-center-security-testing-tool/

🏃‍♂️ آموزش های رایگان امنیت شبکه و تست نفوذ
✅ مقالات حوزه امنیت شبکه و تست نفوذ
🔴 پکیج های آموزشی
🔰 به همراه فیلم های آموزشی رایگان

https://hottg.com/irsecurityworld

قراره در قاب تجربه یک سری ویدیو در خصوص این پلتفرم ضبط کنم و به
اشتراک بذارم
بیشتر در خصوص این محصول خواهیم شنید
https://securityworld.ir

✅ دوره آموزشی OWASP - بررسی هدف واقعی مبتنی بر استاندارد OWASP

✔️ در این فیلم آموزشی بخش های زیر از استاندارد WSTG مورد بررسی قرار داده شده است:

بررسی هدرهای HTTP
بررسی کدهای وضعیت در HTTP
بررسی کوکی ها
بررسی Content Security Policy
بررسی کدهای جاوا اسکریپت
بررسی آسیب پذیری Clickjacking
بررسی آسیب پذیری Broken Access Control
بررسی آسیب پذیری Cross Site Scripting
بررسی آسیب پذیری


🔴 منتظر خبرهای بعدی ما باشید.

🌐 yun.ir/9qlco2

🌐@SecCode

🌐@irsecurityworld

💡با سلام و عرض ادب خدمت کلیه دوستان گرامی

✔️ تست نفوذ وب با توجه به رویکرد شرکت‌ها و سازمان‌های مختلف، یکی از جذاب ترین بخش‌های امنیت به حساب آمده و مسیر شغلی مناسبی را در کشور دنبال می‌کند.

✔️ البته رویکردی که در برخی شرایط نادیده گرفته می‌شود، استفاده از یک استاندارد مناسب جهت انجام فرآیند تست نفوذ وب است. استاندارد یا متدولوژی که به عنوان مرجعی برای تست نفوذگران وب شناخته می‌شود، استاندارد OWASP است که نسخه مربوط به تست نفوذ وب از این استاندارد با نام WSTG یا Web Security Testing Guide می‌باشد.

🔰 در همین راستا تصمیم به برگزاری دوره ای با رویکرد اصلی استاندارد OWASP و WSTG نمودیم که در آن بخش‌های مختلف استاندارد WSTG مورد بررسی قرار می‌گیرد.

✅ مدت زمان دوره: 60 ساعت
✅ مدرس دوره: مهندس میثم منصف
✅ زمان برگزاری دوره: پنج شنبه‌ها از ساعت 9 الی 14 از 24 آذر ماه
✅ به همراه برخی پیش نیاز ها و هدایای دوره

🔴 جهت آگاهی از شرایط و سرفصل های دوره و همچنین ثبت نام، به لینک زیر مراجعه نمایید:

🌐 yun.ir/nh9peg

یک کتاب عالی در حوزه تست نفوذ وب از مهندس درودیان
در ادامه سرفصل های این کتاب با جزئیات ارائه شد
لینک تهیه کتاب:
https://opac.nlai.ir/opac-prod/search/briefListSearch.do?command=FULL_VIEW&id=9080769&pageStatus=1&sortKeyValue1=sortkey_title&sortKeyValue2=sortkey_author
می توانید به آی دی زیر برای تهیه پیام دهید:
@jackson1998

👇👇👇👇👇👇👇

فصل 1: پروتکلهای امنیتی رایج
SOP
نمایش خط مشی مبدا مشابه در گوگل کروم
تعویض مبداها
تغییرات ناگهانی در اینترنت اکسپلورر
پیامرسانی بین حوزه ای
AJAX و خط مشی مبدا مشابه
CORS
سرصفحه CORS
تقاضای قبل از پرواز
تقاضای ساده
رمزگذاری URL- رمزگذاری درصدی
کاراکترهای نامحدود
کاراکترهای محدود
رمزگذاری کاراکترهای نامحدود
رمزگذاری دوگانه
معرفی رمزگذاری دوگانه
اجرای کد پیمایش دایرکتوری (فهرست راهنما) – CVE-2001-0333
استفاده از رمزگذاری دوگانه برای فرار از فیلترهای XSS
رمزگذاری Base64
مجموعه کاراکترهای رمزگذاری Base64
فرایند رمزگذاری
لایی گذاری (پدینگ) در Base64
خلاصه
فصل 2: جمع اوری اطلاعات
تکنیکهای جمع اوری اطلاعات
تکنیکهای فعال
تکنیکهای غیرفعال
شمارش حوزه ها، فایلها و منابع
Fierce
TheHarvester
SubBrute
CeWL
DirBuster
WhatWeb
Maltego
Wolfram Alpha
Shoden
DNSdumpster
جستجوی IP معکوس – YouGetSignal
ابزار ازمایش نفوذ
جستجوی پیشرفته گوگل
خلاصه
فصل 3: سناریونویسی بین سایتی
XSS انعکاسی
نمایش اسیب پذیری XSS انعکاسی
XSS انعکاسی - مطالعه موردی 1
XSS انعکاسی – مطالعه موردی 2
XSS ذخیره شده
نمایش XSS ذخیره شده
XSS ذخیره شده از طریق Markdown
XSS ذخیره شده از طریق APIها
XSS ذخیره شده از طریق ادرس IP جعلی
XSS مبتنی بر فلش – مذاخله خارجی. تماس()
Http و ثابت های نمادین کوکی ایمن
XSS مبتنی بر DOM
اکسپلویت XSS – The BeEF
راه اندازی BeEF
نمایش قلاب BeEF و اجزای ان
اسناد
دستورات
الحاقیه
Xssrays
IPec
شبکه
خلاصه
فصل 4: جعل درخواست بین سایتی
معرفی CSRF
اکسپلویت CSRF مبتنی بر درخواست – POST
چگونه توسعه دهندگان از CSRF جلوگیری میکنند؟
اسیب پذیری CERF پی پال در برابر تغییر شماره تلفن
اکسپلویت CSRF در درخواستهای JSON
استفاده از XSS برای سرقت توکن های ضد CSRF
اکسپلویت توکن های شبه ضد CSRF
فلش به کمک میاید
فلش روزتا
شکست محافظت CSRF مبتنی بر درخواست XMLHTTP
خلاصه
فصل 5: اکسپلویت تزریق SQL
نصب SQLMap تحت لینوکس کالی
مقدمه ای بر SQLMap
تکنیکهای تزریق
تخلیه داده ها – در موردی مبتنی بر خطا
تعامل با جادوگر
تخلیه همه چیز!
بازنویسی SQLMap و URL
افزایش سرعت فرایند!
چند رشته ای
اتصال NULL
اتصالات دایمی HTTP
پیش بینی خروجی
ثابتهای نمادین اصلی بهینه سازی
تخلیه داده ها – سناریوهای در دست ساخت و زمان محور
خواندن و نوشتن فایلها
کنترل امتیازات
خواندن فایلها
نوشتن فایلها
رسیدگی به تزریقات در یک درخواست POST
تزریق SQL در کنار پورتال مبتنی بر ورود
لایه SQL
لایه فرمان
اسناد گریز – مداخله
پیکربندی با پراکسی ها
خلاصه
فصل 6: اسیب پذیری های آپلود (بارگذاری) فایل
معرفی اسیب پذیری آپلود فایل
اجرای کد از راه دور
لایه های وب چند منظوره
لایه معکوس در دسترس Netcat
بازگشت XSS
SWF – فلش
تصاویر SVG
رد خدمات
فایل GPEG مخرب –پیکسل فلود
حوزه zTXT مخرب از فایلهای PNG
عبور از محافظت های آپلود
عبور از کنترل اجرای لیست سیاه حساس به حروف کوچک و بزرگ
عبور از تاییدیه نوع محتوا
ترفند htaccess آپاچی برای اجرای فایلهای بیضرر به عنوان PHP
روش SetHandler
روش AddType
عبور از تایید محتوای تصویر
خلاصه
فصل 7: متاسپولیت و وب
بررسی ماژولهای متاسپولیت
تعامل با Msfconsole
استفاده از ماژولهای کمکی مرتبط با برنامه های کاربردی وب
درک WMAP – برنامه وب متاسپلویت
اسکنر امنیتی
ایجاد پی لود در پشتی با متاسپلویت
خلاصه
فصل 8: حملات XML
XML 101 – مبانی
اجزای XML
مشخصه های XML
XML DTD و نهادها
DTD درونی
DTD خارجی
تشکیلات
اعلان تشکیلات
حمله XXE
مطالعه فایلها
URI تبدیل PHP Base64 به عنوان یک جایگزین
SSRF ازطریق XXE
اجرای کد از راه دور
انکار سرویس ازطریق XXE
انفجار درجه دوم XML
XML billion laughs
انفجار درجه دوم
اسیب پذیری انفجار درجه دوم ووردپرس 3.9 – مطالعه موردی
خلاصه
فصل 9: ظهور بردارهای حمله
جعل درخواست سمت سرور
نمایش SSRF
گرداننده های پروتکل برای SSRF URL
مطالعه موردی – URLهای اسکن پورت MailChimp
پورت باز – بدون خدمات HTTP
پورت باز – با خدمات HTTP
پورت بسته – با خدمات HTTP
مرجع هدف مستقیم ناامن
اصول و مبانی IDOR
مطالعات موردی
IDOR در Flipkart برای حذف ادرسهای خرید ذخیره شده
IDOR در HackerOne برای فاش داده های نمونه پاسخ خصوصی
پاک سازی DOM
مطالعه موردی – شکست سیستم نظرات Gist در GitHub از طریق پاکسازی DOM
بازنویسی مسیر نسبی
کنترل CSS
اینترنت اکسپلورر
اصلاح UI
تزریق PHP Object
تسلسل PHP
توابع جادویی PHP
تزریق Object
خلاصه
فصل : امنیت OAuth 2.0
معرفی مدل OAuth 2.0
نقشهای OAuth 2.0
صاحب منبع
گیرنده
سرور منبع
سرور احراز هویت
کاربردها
تغییر مسیر URI
توکن (رمز) دسترسی
شناسه مشتری
رمز مشتری
دریافت کمک هزینه
اعطای مجوز
کمک هزینه قطعی
اکسپلویت OAuth برای سرگرمی و سود
بازگشایی تغییر مسیر – URL بدفرم

ربایش جریان OAuth – دستکاری با تغییر مسیر URI
ترفندهای پیمایش دایرکتوری
ترفندهای حوزه
ربایش جریان ازطریق تغییرمسیر باز برای گیرنده
نصب اجباری یک برنامه مخرب
خلاصه
فصل 11: روش ازمایش API
درک REST API
مفاهیم REST API
URIها
قالب URI
مدلسازی منبع
ادغام چیزها با هم
REST API و HTTP
روشهای درخواست
کدهای پاسخ
سربرگ ها
تنظیم محیط ازمایش
تحلیل API
احراز هویت HTTP اصلی
توکن دسترسی
کوکی ها
ابزار
Burp Suite
گیرنده های REST API
کاوشگران APIسفارشی
یادگیری API
مستندات توسعه دهنده
درک واکنشها / درخواست ها
دورنمای یادگیری
نقشهای یادگیری
روش پایه برای ازمایش توسعه دهنده های APIها
فهرست نقاط پایانی
استفاده از روشهای درخواست متفاوت
اکسپلویت باگها (اشکالات) API
ازماییش مبتنی بر دورنما
ازمایش مبتنی بر نقش ها
ازمایش منبع Object مستقیم ناایمن

✅ دوره آموزشی ایجاد آزمایشگاه دیجیتال فارنزیک - بخش اول

✔️ یکی از سوالاتی که در هنگام مواجهه با حادثه امنیتی باید از خود بپرسیم، نحوه بررسی شواهد و ارزیابی آن‌ها می‌باشد.

✔️ در پاسخ به این سوال نیاز به ایجاد بخشی در واحد امنیت سازمان است که وظیفه بررسی شواهد امنیتی را به عهده داشته باشد.

✔️ ایجاد و راهبری آزمایشگاه دیجیتال فارنزیک و بررسی شواهد حملات در آن، راهکاری است که اغلب سازمان‌ها به آن نیاز خواهند داشته داشت تا در یک محیط تخصصی با روال های استاندارد به بررسی شواهد بپردازند.

🔴 در بخش اول از مباحث ایجاد آزمایشگاه فارنزیک به تعاریف اولیه آزمایشگاه فارنزیک و ارتباط آن با علم و قوانین پرداخته شده است.

🌐 yun.ir/ejz2df

✅ دوره آنلاین آموزشی Wazuh

✔️ امنیت نقطه پایانی، رویکرد امنیت سایبری برای محافظت از نقاط پایانی – مانند رایانه‌های رومیزی، لپ‌تاپ‌ها و دستگاه‌های تلفن همراه – در برابر فعالیت‌های مخرب است. به گفته گارتنر، پلتفرم حفاظت نقطه پایانی (EPP) راه حلی است که برای «جلوگیری از حملات بدافزار مبتنی بر فایل، شناسایی فعالیت های مخرب و ارائه قابلیت‌های تحقیق و اصلاح مورد نیاز برای پاسخ به حوادث امنیتی پویا و هشدارها» استفاده می‌شود.

✔️ با توجه به دغدغه‌های امنیتی که در مورد نقاط پایانی وجود دارد، یکی از ابزارهای امنیتی برای محافظت از آن ها، Wazuh می باشد که در این دوره آموزشی به معرفی ابعاد مختلف این XDR و نحوه راه اندازه آن می‌پردازیم.

🔴 جهت مشاهده سرفصل های این دوره وهمچنین ثبت نام در آن به لینک زیر مراجعه نمایید:

🌐 yun.ir/0kez1a