#web
#Level2

آسیب پذیری Unauthenticated RCE
در سرویس REST دروپال با شناسه ی CVE-2019-6340 که بدلیل عدم اعتبار سنجی node_id ، این امکان رو برای هکر فراهم میکنه تا به صورت unauthenticated ( یک دسته ی دیگه authenticated هستش که نیاز به یک سشن معتبر از سمت هکر برای اجرای موفق این حمله هستش )، از راه دور کد مخرب تزریق کنه.
نحوه ی تست این اکسپلویت روی وبسایت های مبتنی بر Drupal 8.6.9 :

python Exploit.py TARGET Command

https://www.exploit-db.com/exploits/46459

🆔 @Sagheb

اگر یک سؤال باشد
که من از آن وحشت داشته باشم،
سؤالی که هرگز نتوانسته باشم
به آن جواب رضایت‌بخشی بدهم،

آن سؤال این است که:
دارم چه می‌کنم!؟

بگذريم:
طهران - ايران - ٧ آذر ٩٨ - بامداد
https://beeptunes.com/album/555459950/%D8%A8%DB%8C-%D9%86%D8%A7%D9%85
- صرفا شستشوي شهر از غبار!


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.07

علاقه مندان به حوزه نفوذ و هك قانونمند:
نفوذ به ویندوز 7 در 25 ثانیه با نرم افزار easySploit در کالی لینوکس این نرم افزار به صورت اتوماتیک
با اکسپلویت های که روش باندل است، سیستم عامل رو اکسپلویت میکنه خیلی راحت و شيك، این آموزش با آسیب پذیری ms17-010-eternalbue مي باشد.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.07

مقاله ای با عنوان (محاسبه بازده شخصیت) توسط HBR منتشر شده که یکی از نتایج آن قابل توجه است.

این تحقیق نشان داده سازمان‌‌هایی که در آن‌ها،‌ کارکنان احساس می‌کنند دارای مدیرانی خیرخواه 😃هستند، یعنی مدیرانی که امتیاز بالایی در ۴ ویژگی: صداقت، دلسوزی (Compassion)، بخشندگی (Forgiveness) و مسئولیت‌(Responsibility) دارند، به‌طور محسوسی عملکرد بهتری نسبت به سازمان‌هایی دارند که مدیران آن‌ها از دید کارکنان فردی 😁خودخواه به شمار می‌رود.
نکته جالب اینجاست که معمولاً این گونه مدیران از این ضعف شخصیتی خود آگاهی ندارند!
يكي از راهكار ها، مديريت مشاركتي است👌🏽
اندیشه و رفتار خود را بعنوان یک مدیر همواره پایش کنید.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.07

سر رسيد ٢٠٠٧
١٣ سال پيش
وزارت نفت
ادمين شبكه
يادش بخير
آيزا ٢٠٠٣😃
ثبت ريز فعاليت ها

- در شبكه بك آپ از نون شب واجب تر بايد مي بود!

پ ن :
دست خط خوبم هنريه كه من بي بهره بودم و هستم😅


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.07

کانال آموزشی اولترا پنتست🔐

💠 مرجع آموزش های تخصصی رایگان و کمیاب در زمینه هک و امنیت و ترفند

❗️همه ی آموزش ها کاملا اختصاصی کانال اولترا پنست می باشد

🔅با ما، به راحتی تبدیل به یک هکر و مهندس کامپیوتر شو...!


👉 https://t.me/joinchat/AAAAAEnR6sOPYHMzyElyKQ

با متدهای به روز و تضمینی 💯

گزارشات مركز ماهر - پروژه هاني پات ملي!
٩ سال پيش
😁


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.07

https://www.udemy.com/cissp-practice-exams-all-domains-2019/?couponCode=CISSP2019

نمونه سوالات همراه با پاسخ هاي شفاف/ ٢٠١٩


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.08

تست سناريو براي تحليل كنترل هاي اثر بخش امنيتي بر مبناي بلوغ عملياتي مراكز عمليات امنيت و مراكز پاسخگويي به حوادث سايبري



- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.08

https://jobinja.ir/231955

https://jobinja.ir/231939

https://jobinja.ir/231955

براي كارشناسان اين مركز عمليات بدون داشتن سابقه تخصصي
صرفا مسلط به مفاهيم و دوره هاي مرتبط اين حوزه
رنج حقوق ٥-٦ ميليون ت


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.08

تبليغات هوشمند و حرفه اي برند هاي موفق در صنعت خودروسازي!
چرا تو حوزه فناورانه و خدمات امنيت هنوز بروز نيستيم!


بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.08

گزارش جالبي كه تحليل زيادي رو ميطلبه هم از منظر سطوح ريسك و هم پايداري كسب و كارها!


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.09

كتاب چابك و نابي براي مديران مياني و ارشد سازماني👌🏽


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.09

MineMeld Threat Intelligence Sharing
يك قالب بر پايه محصول متن باز براي
به اشتراك گذاري هوش تهديد و
جمع آوري
iOCs
ها مرتبط با تهديدات پايش شده از اينترفيس
هاي مختلف دولتي، خصوصي و ...

https://live.paloaltonetworks.com/t5/MineMeld/ct-p/MineMeld

MineMeld simplifies the collection and
correlation of intelligence across:
-Commercial threat intelligence feeds
-Open-source intelligence (OSINT) providers
-Threat intelligence platforms
-ISACs
-CERTs
-Other MineMeld users

https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.09

می گویند میزِ شادی ِ جهان
چهار پایه دارد:
دو تای آن را مولانا 👍🏽به ما نشان داده
دو تای دیگر را حافظ 👌🏽

دو تایی که مولانا معرفی کرده
"مرنج !" و " مرنجان !"
مانند باران باشید که پلیدیها را می شوید و
دوباره به آسمان می رود ، پاک می شود وبه
زمین برمی گردد.

و حافظ گفته :
"بنوش !" و " بنوشان!"
هر نعمتی که خدا به شما داده
از "مال" یا "سلامتی "؛
از "معرفت " و " آگاهی"
با دیگران تقسیم کنید و دیگران را در این سهیم کنید.

چون همه اینها امانتی ست که
به ما داده شده وباید آن را منتقل کنیم.
پس بیایید همه باهم "مرنجیم"و"مرنجانیم" و
"بنوشیم " و"بنوشانیم" ؛

و دراین خاک ؛در این مزرعه پاک ؛ بجز "مهر!" ؛بجز"عشق!"؛دگر تخم نکاریم .


- صرفا آي هوپ!


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.09

براي ورود به هر رشته و تخصصي، بهتر است و ميبايست
بر اسس اصول و نياز حركت كنيم😀
حوزه شبكه هاي كامپيوتري با نگاه امنيت
١٤ سال پيش با دوره زبان تخصصي حوزه شروع
و در ميانه بعد از ٤-٥ سال در سال ٢٠١٠ دوره cissp
و امروز در آستانه سال ٢٠٢٠ هنوز در حال بروز
رساني دانش و ...


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.09

حملات جدید شبکه‌های 4G LTE به هکرها امکان جاسوسی، ردیابی و جعل را می‌دهد. محققان امنیتی، مجموعه‌ای از آسیب‌پذیری‌های شدید در پروتکل 4G LTE را کشف کرده‌اند که می‌تواند برای جاسوسی تماس‌های تلفنی، پیام‌های متنی، ارسال هشدارهای جعلی، جعل موقعیت دستگاه و حتی خاموش کردن دستگاه، مورد سوءاستفاده قرار گیرد.

اخیرا تحقیقی توسط چندین محقق امنیتی در رابطه با حملات سایبری علیه تکنولوژی ارتباطات بیسیم 4G LTE برای دستگاه‌های موبایلی، و پایانه‌های داده انجام شده است. این حملات از طراحی ضعیف در روند سه پروتکل کلیدی شبکه 4G LTE بهره‌برداری می‌کنند.

برخلاف همه‌ی تحقیقات قبلی، این‌ها، فقط حملات تئوری و نظری نیستند. محققان یک روش تست مبتنی بر مدل اصولی را به‌کار گرفته‌اند، که آن را LTEInspector نامیده‌اند و قادر به تست 8 حمه از 10 حمله در یک محیط تست واقعی با استفاده از سیمکارت‌ها شده‌اند.

Authentication Synchronization Failure Attack

Traceability Attack

Numb Attack

Authentication Relay Attack

Detach/Downgrade Attack

Paging Channel Hijacking Attack

Stealthy Kicking-off Attack

Panic Attack

Energy Depletion Attack

Linkability Attack

در میان حملات لیست‌شده در بالا، محققان حمله‌ی بازپخش احراز اصالت (Authentication relay) را نگران‌کننده می‌دانند، چراکه به مهاجمان امکان اتصال به یک شبکه‌ی 4G LTE بااستفاده از جعل هویت شماره موبایل قربانی بدون هیچ مجوز قانونی را می‌دهد.

این حمله نه تنها به هکر امکان دردست گرفتن شبکه‌ی سلولی برای خواندن پیام‌های ورودی و خروجی را می‌دهد، بلکه شواهد و مجوزهای جعلی‌ای را در طول انجام جرم به‌جا می‌گذارد.

دیگر حملات قابل توجه گزارش شده توسط محققان، هکرها را قادر به به‌دست آوردن اطلاعات موقعیت قربانی می‌کند (linkability attack) و حملات منع دسترسی (DoS) را علیه دستگاه راه‌اندازی کرده و آن را از خط خارج می‌کنند. (detach attack)

با استفاده از حمله‌ی وحشت (panic attack)، مهاجمان می‌توانند هرج‌ومرج‌های مصنوعی‌ای را با استفاده از همه‌پخشی پیام‌های اضطراری جعلی در مورد حملات تهدید‌کننده‌ زندگی ایجاد کنند.

نکته‌ای که در مورد این حملات جالب توجه است این است که، بسیاری از این حملات می‌توانند با 1000 تا 4000 دلار و با استفاده از دستگاه‌های USRP نسبتا کم‌هزینه‌ی موجود در بازار، انجام شوند.

محققان برنامه‌ای برای منتشر کردن کد اثبات مفهوم برای این حملات تا زمانی که آسیب‌پذیری‌ها رفع شوند، ندارند.

اگرچه دفاع‌هایی در برابر این حملات مشاهده‌شده، وجود دارد، اما محققان از بحث در این مورد خودداری کرده‌اند.

لازم‌به‌ذکر است که آسیب‌پذیری‌ها نگران‌کننده‌ترین موارد هستند چراکه اهمیت امنیت استانداردهای سلولی در دنیای واقعی را بالا برده و به‌صورت بالقوه تاثیرات گسترده‌ای در صنعت دارند.


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.10

بررسی اثرات جنگ سایبری بین ایران و امریکا بر جامعه جهانی

https://www.cpomagazine.com/cyber-security/cyber-war-between-iran-and-united-states-could-have-far-reaching-implications/


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.10

ويديوي قابل تامل و شايد هم تاثير گذار!

https://www.instagram.com/tv/B6qvY5kJVbZ/?igshid=1xiu642kaspbx


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.10

كارشناسsoc
شرح وظایف:
١-بهینه سازی و توسعه SIEM
٢-ارائه گزارشات و داشبورد های کارآمد جهت تحلیل رخدادهای امنیتی
 ٣-تحلیل لاگ ها و ارائه روش های رفع False Positive ها
٤-تدوین و پیاده سازی روال های امنیتی در مواجهه با رخدادها (Incident Handling)
مهارت‌های مورد نیاز
١-آشنا با انواع لاگ ها و توانایی تحلیل لاگ ها
٢-مسلط به سیستمهای تحلیل وقایع امنیتی (SIEM)
٣-آشنا با مفاهیم و روال های Incident Handling
٤-آشنایی با محصولات امنیتی مثل فایروال WAF,، DLP, IPS/IDS و...

براي يك شركت مطرح و شناخته شده حوزه بانكي

رنج حقوق توافقي
همراه با كارانه

لطفا ارسال رزومه بروز و مرتبط به آي دي
@Alirezaghahrood
همراه با متن آگهي


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.10

كارشناس امنيت شبكه
شرح وظایف:
١-نظارت بر توپولوژی شبکه و حصول اطمینان از اعمال سیاست های امنیتی(در محیط های عملیاتی شرکت و مشتریان)
٢-ارائه راهکار امنیتی در ارتباطات شبکه ای و همکاری با تیم شبکه در صورت لزوم
٣-سیاست گذاری در تعریف سطوح دسترسی راهبران و بروز رسانی سیاست ها
٤-تست نفوذ تجهیزات شبکه به منظور بررسی و شناسایی ریسک های امنیتی موجود در بستر شبکه
٥-پیگیری و رفع آسیب پذیری های شناسایی شده
مهارت‌های مورد نیاز:
١-تسلط کامل بر مفاهیم شبکه ، امنیت و راهکارهای امن سازی شبکه
٢-تسلط کامل بر انواع حملات شبکه بر اساس سرفصل های تعریف شده در SANS
٣-تسلط کامل بر ابزارهای ارزیابی امنیتی و تست نفوذ شبکه شامل سیستم عامل، اپلیکیشن ها
٤-آشنایی با یکی از زبان های اسکریپت نویسی مانند Python یا Perl ،...
٥-آشنایی کامل با سرفصل های شبکه مایکروسافت MCSA و Cisco شامل ,CCNA CCNA Security

لطفا ارسال رزومه بروز و مرتبط به آي دي
@Alirezaghahrood
همراه با متن آگهي


- بروز باشيد -


آگاهي رساني امنيت سايبري

@CisoasaService

98.10.10