Vɪᴘ_Sᴇᴄᴜʀɪᴛʏ™

📌 #کتاب HTTP: The Definitive Guide


🇺🇸 زبان : انگلیسی
👨‍💻 نویسندگان: David Gourley, Brian Totty, Marjorie Sayer, Anshu Aggarwal, Sailu Reddy

این کتاب به وضوح پروتکل HTTP و این فناوری‌های هسته‌ای مرتبط به هم را در بیست و یک فصل سازمان‌دهی شده منطقی، که با صدها تصویر و مثال دقیق و ضمیمه‌های مرجع مناسب پشتیبان شده است، توضیح می‌دهد.

🔥 این کتاب به شدت برای برنامه نویسان وب و پنتستر/هانترای وب پیشنهاد میشه

⬇️ دانلود در پست بعدی ⬇️

📣 @Vip_Security
🌐 www.VipSecurity.zone

📌 10 تکنیک برتر وب هکینگ در سال 2024 منتشر شد !

🙂 بچه ها مقاله امید هم رتبه ۸ ام رو تونست کسب کنه خیلی خوشحالیم براش و تبریک میگیم بهش و آرزوی موفقیت های بیشتری رو براش داریم ❤️ حتما مقالش بخونید :

- OAuth Non-Happy Path to ATO 🔥

برای مشاهده جزئیات کامل این لیست، حتماً به لینک زیر سر بزنید:
📎 https://portswigger.net/research/top-10-web-hacking-techniques-of-2024

📣 @Vip_Security
🌐 www.VipSecurity.zone

#خبر #اخبار
🔴 حفره امنیتی در DeepSeek AI باعث افشای پایگاه داده شد: بیش از 1 میلیون لاین لاگ و api key های و کلی اطلاعات دیگر

📌 استارت‌آپ هوش مصنوعی چینی (AI) DeepSeek که در روزهای اخیر محبوبیت زیادی داشته است، یکی از پایگاه‌های داده خود را در اینترنت در معرض دید قرار داد که می‌توانست به عوامل مخرب اجازه دهد به داده‌های حساس دسترسی پیدا کنند.

📌 گال ناگلی (Gal Nagli)، محقق امنیتی شرکت Wiz، گفت: پایگاه داده ClickHouse "به کنترل کامل عملیات پایگاه داده، از جمله امکان دسترسی به داده های داخلی اجازه می دهد."

❗️ این قرارگیری همچنین شامل بیش از یک میلیون خط جریان گزارش شامل تاریخچه چت، کلیدهای مخفی، جزئیات سمت بک اند و سایر اطلاعات بسیار حساس، مانند کلید های مخفی API و متا دیتا های عملیاتی است.

⚠️ گفته می شود که پایگاه داده، میزبانی شده در oauth2callback.deepseek.com:9000 و dev.deepseek.com:9000، دسترسی غیرمجاز به طیف وسیعی از اطلاعات را فعال کرده است. Wiz خاطرنشان کرد که قرار گرفتن در معرض، امکان کنترل کامل پایگاه داده و افزایش امتیازات احتمالی را در محیط DeepSeek بدون نیاز به هیچ گونه احراز هویت فراهم می کند. این شامل استفاده از رابط HTTP ClickHouse برای اجرای درخواست های SQL دلخواه مستقیماً از طریق مرورگر وب بود. در حال حاضر مشخص نیست که آیا سایر عوامل مخرب از این فرصت برای دسترسی یا دانلود داده ها استفاده کرده اند یا خیر.

🛡 درحال حاضر این حفره امنیتی رفع شده است

ℹ️ بلاگ/رایتاپ کامل این موضوع را میتوانید از لینک زیر مشاهده کنید :
📎 https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

📣 @Vip_Security
🌐 www.VipSecurity.zone

📌 #کتاب Metasploit: The Penetration Tester’s Guide second edition

راهنمای تست نفوذ برای بیش از یک دهه منبع ارزیابی امنیتی قطعی بوده است. فریمورک Metasploit کشف، اکسپلویت و اشتراک گذاری آسیب پذیری ها را سریع و نسبتاً بدون دردسر می کند، اما استفاده از آن برای تازه واردان می تواند چالش برانگیز باشد.

👨‍💻 نویسندگان: David Kennedy, Mati Aharoni, Devon Kearns, Jim O’Gorman, and Daniel Graham
🇺🇸 زبان: انگلیسی

⬇️دانلود در پست بعدی⬇️

📣 @Vip_Security
🌐 www.VipSecurity.zone

#اخبار #خبر
‼️ هوش مصنوعی در باگ بانتی !

اخیرا یک مدل هوش مصنوعی به نام XBOW به مدت ۳ ماه بر روی تارگت های واقعی در پلتفرم‌باگ بانتی هکروان فعالیت کرده است که توانسته در ranking/leader board هانتر های کشور آمریکا رتبه 11 را کسب کند !

طبق عکس هایی که خود تیم xbow در X منتشر کردند میتوانید خطرات آسیب پذیری های گزارش شده را در تصاویر مشاهده کنید که خیلی خوب است.

💬 بنظرتون هوش مصنوعی چه تغییراتی قراره در فیلد امنیت سایبری ایجاد کنه ؟ آیا قراره کلا تصاحب کنه و یا آیا قراره فیلد های امنیت جدید یا آسیب پذیری های جدیدی کشف بشوند ؟!

📎 https://x.com/Xbow/status/1869053482642362846?t=XedEGqEMkvOBlum3YLzVhg&s=19

📣 @Vip_Security
🌐 www.VipSecurity.zone

#جنگ_سایبری #کنفرانس
#CYBERWARCON

📌 ویدیوهای کنفرانس CYBERWARCON 2024 در یوتیوب منتشر شده.

این کنفرانس با هدف شناسایی و کشف تهدیدات (تخریب، اختلال، نفوذ مخرب) برگزار میشه. عمدتا به تهدیدات سایبری ایران، چین، روسیه و کره شمالی میپردازن.

امسال از فعالیتهای ایران، ارائه ی "Unity of Hacktivist Fronts: Iranian Cyber-Enabled IO Targeting Israel" رو داشتن و از روسیه موارد مختلف بود از جمله حمله ی همسایه نزدیک.


📎 https://www.youtube.com/playlist?list=PLahrNM6FV_q3BhYSUY1fZLAnn95noyxSv

🌐 www.VipSecurity.zone
📣 @Vip_Security

#اخبار #خبر
⚠️ یک آسیب پذیری با شدت بحرانی و امتیاز 9.9 و با شناسه CVE-2024-42327 در Zabbix اصلاح شده. این آسیب پذیری از نوع SQLi هستش و امکان افزایش امتیاز و کنترل Zabbix رو به مهاجم میده.

📌 آسیب پذیری در نقطه پایانی user.get API هستش. بصورت دقیتر در کلاس CUser در تابع addRelatedObjects رخ میده، این تابع توسط تابع CUser.get فراخوانی میشه.

برای اکسپلویت نیاز به یک کاربر با دسترسی به API هستش. مهم نیست ادمین باشه یا نه. این مورد بستگی به پیکربندی Zabbix متفاوته. مثلا بصورت پیش فرض رول User این دسترسی رو داره.

نسخه های آسیب پذیر و اصلاح شده:
6.0.0 - 6.0.31 / 6.0.32rc1
6.4.0 - 6.4.16 / 6.4.17rc1
7.0.0 / 7.0.1rc1

⚠️ زبیکس یک نرم‌افزار قدرتمند و متن‌باز برای نظارت بر شبکه‌ها، سرورها و سایر دستگاه‌های فناوری اطلاعات هستش.

🌐 www.VipSecurity.zone
📣 @Vip_Security

#اخبار #خبر
آسیب پذیری در Okta یا در کتابخوانه های bcrypt زبان های برنامه نویسی ⁉️

📌 به تازگی بعد از ارائه بروزرسانی جدید از سمت تیم okta یک آسیب پذیری توسط تیم داخلی شرکت okta شناسایی شده که به نفوذگر امکان دور زدن احراز هویت Okta AD/LDAP را میداد که کافی بود حساب با نام کاربری بالای 52 کارکتر باشد ⚠️

📌 درواقع اشتباه در پیاده سازی روند hash کردن داده های username و password بوده که تیم okta از کتابخوانه bcrypt node js استفاده میکرد که این الگوریتم محدودیت در ورودی (input) که میگیرد دارد و فقط ۷۲ کارکتر را قبول میکند و در سمت برنامه نویسی تیم okta برای ذخیره کردن داده یوزر در دیتابیس ۳ مقدار زیر را concat میکردند و به عنوان ورودی به تابع bcrypt داده میشد :

Bcrypt(user uuid + username + password)

که اگر یوزرنیم مقدارش بیش از ۵۲ کارکتر یا ۵۲ کارکتر میشد خروجی تابع bcrypt همیشه یکی میشد چرا که این تابع در node js فقط تا ۷۲ کارکتر مقدار ورودی را میخواند ‼️

و نفوذگر فقط با دادن یوزرنیم و پسورد اشتباه وارد حساب قربانی میشد ❗️

📌 اما نکته مهم این است که بعضی از کتابخوانه های مربوط به bcrypt در دیگر زبان ها مثل زبان Golang اگر مقدار ورودی بیش از ۷۲ کارکتر باشد یک اروری میدهند و برنامه نویس را مطلع میکنند و جلوی این مشکل گرفته میشود

🌐 www.VipSecurity.zone
📣 @Vip_Security

#کتاب
📌 کتاب Practical Cloud Security


ℹ️ پلتفرم‌های ابری با معماری به سرعت در حال تغییر و اتوماسیون مبتنی بر API، چالش‌ها و فرصت‌های امنیتی منحصربه‌فردی دارند. این کتاب عملی ، شما را از طریق بهترین شیوه‌های امنیتی برای محیط‌های ابری چند فروشنده راهنمایی می‌کند، چه شرکت شما قصد دارد پروژه‌های قدیمی در محل را به ابر منتقل کند یا یک زیرساخت جدید از ابتدا بسازد.

توسعه‌دهندگان، معماران فناوری اطلاعات و متخصصان امنیت، تکنیک‌های مخصوص ابر را برای ایمن‌سازی پلتفرم‌های ابری محبوب مانند خدمات وب آمازون، مایکروسافت آژور و IBM Cloud یاد خواهند گرفت.

⬇️ دانلود در پست بعدی ⬇️

🌐 www.VipSecurity.zone
📣 @Vip_Security

#اخبار #خبر
⚠️ سایت آرشیو اینترنت مجدداً هک شد؛ این بار از طریق توکن‌های دسترسی

📌 سایت آرشیو اینترنت که چندی قبل هک شده بود و اطلاعات بیش از ۳۲ میلیون کاربر آن به بیرون درز کرده بود، دوباره هدف حمله هکرها قرار گرفته است. این بار حمله از طریق دسترسی به پلتفرم پشتیبانی ایمیل Zendesk انجام شده است.

📌 وب‌سایت BleepingComputer در گزارش خود توضیح داده است که پیام‌های متعددی از کاربران سایت آرشیو اینترنت دریافت کرده است. کاربران گفته‌اند در پاسخ به درخواست‌ حذف اطلاعات، پیام‌هایی با این مضمون دریافت کرده‌اند که به علت تغییرنکردن توکن‌های احراز هویت، اطلاعات سایت آرشیو اینترنت مجدد در اختیار هکرها قرار گرفته است

🌐 www.VipSecurity.zone
📣 @Vip_Security