Forwarded from از نگاه احسان
✅ ۱۰ آسیب پذیری رایج وب سایت ها
#۱: تزریق / Injection
مشکلات Injection از شکست در فیلتر کردن ورودی های نامعتبر نشات میگیرد و وقتی رخ می دهد که شما داده های فیلتر نشده را به سرویس دهنده ای بفرستید. مثلا اگر این داده ها را به SQL بفرستید ( در این حالت می گوییم SQL Injection )
#۲ : تایید هویت شکسته شده / Broken Authentication
همه می خواهند سیستم تایید هویت خودشان را بنویسند ، پیشنهاد ما بر عکس این است ! این بسیار سخت هست که شما بتوانید از مشکلات متعددی که می تواند در سیستم تایید هویتتان باشد
#۳ : اسکریپت نویسی فراوبگاهی / Cross Site Scripting
در این نوع حملات ، حمله کننده کد های جاوا اسکریپتی را به عنوان ورودی می دهد و وب سایت شما آن را بدون تمیز کردن به کاربر بر می گرداند و در نتیجه روی مرورگر کاربر اجرا می شود
#۴ : ارجاع های ناامن به شیء ها / Insecure Direct Object References
این مشکل امنیتی وقتی رخ می دهد که ما به ورودی کاربر ، کاملا اعتماد بکنیم ! Direct Object Reference به این معنی هست که کلید های یک شیء را به کاربر نشان دهیم یا کاربر به نوعی بتواند آن ها را حدس بزند
#۵ : پیکربندی امنیتی اشتباه / Security Misconfiguration
تجربه ثابت کرده که سرور و وب سرور هایی که اشتباه کانفیگ شدن به مراتب آسیب پذیر تر از آن هایی بودند که با دقت پیکربندی شدند. شاید این امر به خاطر این باشد که راه های میانبر برای حمله کننده ها بسته می شود
#۶ : افشا داده های حساس / Sensitive Data Exposure
این آسیب پذیری برنامه های تحت وب مربوط به رمزگذاری و محافظت از منابع است. داده های حساس همیشه باید رمزگذاری بشوند ، چه در حال ارسال و چه زمانی که جایی ذخیره شده اند. بدون هیچ استثنا !
#۷ : عدم کنترل دسترسی به عملکرد ها / Missing Function Level Access Control
این مشکل به طور ساده شکست در Authorization هست ! این یعنی یک عملیات سمت سرور انجام شود بدون اینکه Authorization وجود داشته باشد
#۸ : جعل در خواست / Cross Site Request Forgery
توی این آسیب پذیری حمله کننده از یک اکانت Authorize شده و در یک سایت دیگر برای انجام خواسته های خودش استفاده می کند ! برای مثال کاربر سایت pentesterschool.ir را باز می کند اما پسورد وی در secret.com به pentester:pentester تغییر پیدا می کند.
#۹ : استفاده از کتابخانه های آسیب پذیر / Using Components with Known Vulnerabilities
یکی از آسیب پذیری های بسیار مهم و خطرناک که مربوط به بخش نگهداری و استقرار Web Application می باشد. قبل از اینکه کد ها را ترکیب کنید ، باید دقت داشته باشید اگر کدی را از گیت هاب بر میدارید یا از فروم ها کپی می کنید به این معنی نیست که ۱۰۰% ایمن است و می تواند انواع آسیب پذیری هارا داشته باشد.
#۱۰ :تغییر مسیر های نامعتبر / Unvalidated Redirects and Forwards
یک بار دیگر مشکل از فیلترینگ نادرست ورودی ها نشات میگیرد. فرض کنید که شما صفحه ای دارید به نام redirect.php که پارامتر url ای را دریافت می کند و کاربر را به آن URL هدایت می کند.
#owasp_top_10
@PentesterSchool
#۱: تزریق / Injection
مشکلات Injection از شکست در فیلتر کردن ورودی های نامعتبر نشات میگیرد و وقتی رخ می دهد که شما داده های فیلتر نشده را به سرویس دهنده ای بفرستید. مثلا اگر این داده ها را به SQL بفرستید ( در این حالت می گوییم SQL Injection )
#۲ : تایید هویت شکسته شده / Broken Authentication
همه می خواهند سیستم تایید هویت خودشان را بنویسند ، پیشنهاد ما بر عکس این است ! این بسیار سخت هست که شما بتوانید از مشکلات متعددی که می تواند در سیستم تایید هویتتان باشد
#۳ : اسکریپت نویسی فراوبگاهی / Cross Site Scripting
در این نوع حملات ، حمله کننده کد های جاوا اسکریپتی را به عنوان ورودی می دهد و وب سایت شما آن را بدون تمیز کردن به کاربر بر می گرداند و در نتیجه روی مرورگر کاربر اجرا می شود
#۴ : ارجاع های ناامن به شیء ها / Insecure Direct Object References
این مشکل امنیتی وقتی رخ می دهد که ما به ورودی کاربر ، کاملا اعتماد بکنیم ! Direct Object Reference به این معنی هست که کلید های یک شیء را به کاربر نشان دهیم یا کاربر به نوعی بتواند آن ها را حدس بزند
#۵ : پیکربندی امنیتی اشتباه / Security Misconfiguration
تجربه ثابت کرده که سرور و وب سرور هایی که اشتباه کانفیگ شدن به مراتب آسیب پذیر تر از آن هایی بودند که با دقت پیکربندی شدند. شاید این امر به خاطر این باشد که راه های میانبر برای حمله کننده ها بسته می شود
#۶ : افشا داده های حساس / Sensitive Data Exposure
این آسیب پذیری برنامه های تحت وب مربوط به رمزگذاری و محافظت از منابع است. داده های حساس همیشه باید رمزگذاری بشوند ، چه در حال ارسال و چه زمانی که جایی ذخیره شده اند. بدون هیچ استثنا !
#۷ : عدم کنترل دسترسی به عملکرد ها / Missing Function Level Access Control
این مشکل به طور ساده شکست در Authorization هست ! این یعنی یک عملیات سمت سرور انجام شود بدون اینکه Authorization وجود داشته باشد
#۸ : جعل در خواست / Cross Site Request Forgery
توی این آسیب پذیری حمله کننده از یک اکانت Authorize شده و در یک سایت دیگر برای انجام خواسته های خودش استفاده می کند ! برای مثال کاربر سایت pentesterschool.ir را باز می کند اما پسورد وی در secret.com به pentester:pentester تغییر پیدا می کند.
#۹ : استفاده از کتابخانه های آسیب پذیر / Using Components with Known Vulnerabilities
یکی از آسیب پذیری های بسیار مهم و خطرناک که مربوط به بخش نگهداری و استقرار Web Application می باشد. قبل از اینکه کد ها را ترکیب کنید ، باید دقت داشته باشید اگر کدی را از گیت هاب بر میدارید یا از فروم ها کپی می کنید به این معنی نیست که ۱۰۰% ایمن است و می تواند انواع آسیب پذیری هارا داشته باشد.
#۱۰ :تغییر مسیر های نامعتبر / Unvalidated Redirects and Forwards
یک بار دیگر مشکل از فیلترینگ نادرست ورودی ها نشات میگیرد. فرض کنید که شما صفحه ای دارید به نام redirect.php که پارامتر url ای را دریافت می کند و کاربر را به آن URL هدایت می کند.
#owasp_top_10
@PentesterSchool
Forwarded from Lambda (Kamal)
با این ابزار کارهایی که در حین کار با کامپیوتر خود می کنید را ثبت کنید و بفهمید که چطور زمان خود را پشت کامپیوتر گذراندید:
https://github.com/ActivityWatch/activitywatch
@lambda_cs
https://github.com/ActivityWatch/activitywatch
@lambda_cs
GitHub
GitHub - ActivityWatch/activitywatch: The best free and open-source automated time tracker. Cross-platform, extensible, privacy…
The best free and open-source automated time tracker. Cross-platform, extensible, privacy-focused. - ActivityWatch/activitywatch
There are better ways to address these few real needs. And there are very good reasons why a central hub is a very bad idea.
https://www.infoworld.com/article/2834560/internet-of-things/your-mobile-device-internet-of-things-gateway.html
https://www.infoworld.com/article/2834560/internet-of-things/your-mobile-device-internet-of-things-gateway.html
InfoWorld
Skip the hub; your mobile device is your IoT gateway
Central hubs will entrap users, device makers, and developers alike, when IoT control is already in their hands
Forwarded from Tech C**P (Alireza Hos.)
http://www.wispiapp.com/
Wispi is a free cross-platform mobile communications app that allows users to combine voice calls, individual chats as well as group messaging through 3G, 4G or Wi-Fi connection. Our aim is to connect and promote communication between Wispi users FREE where possible and offer users excellent alternatives to the current phone / communication operator.
#wispi #chat #free_call #messaging_app
Wispi is a free cross-platform mobile communications app that allows users to combine voice calls, individual chats as well as group messaging through 3G, 4G or Wi-Fi connection. Our aim is to connect and promote communication between Wispi users FREE where possible and offer users excellent alternatives to the current phone / communication operator.
#wispi #chat #free_call #messaging_app
However, what is killing your battery is the "trickle charge." What happens during an overnight charge is your charger turns off when your phone reaches 100%, but the charger tops off the charge during the night--this is called the "trickle charge." So overnight, your phone is constantly switching between 100 percent, a little less, and the "trickle charge."
http://www.tlc.com/tlcme/the-shocking-reason-why-you-need-to-stop-charging-your-phone-overnight/?utm_source=zergnet.com&utm_medium=referral&utm_campaign=zergnet_2152008
http://www.tlc.com/tlcme/the-shocking-reason-why-you-need-to-stop-charging-your-phone-overnight/?utm_source=zergnet.com&utm_medium=referral&utm_campaign=zergnet_2152008
TLC
The Shocking Reason Why You Need to Stop Charging Your Phone Overnight
Most people charge their phones while the sleep, but are we damaging our phones?
The AI weapons systems are, as the researchers put it, “weapons of mass destruction” that must be banned outright before they can do any serious damage.
https://nypost.com/2017/11/09/one-rogue-programmer-could-end-the-human-race/?utm_source=zergnet.com&utm_medium=referral&utm_campaign=zergnet_2226281
https://nypost.com/2017/11/09/one-rogue-programmer-could-end-the-human-race/?utm_source=zergnet.com&utm_medium=referral&utm_campaign=zergnet_2226281
New York Post
One rogue programmer could end the human race
The idea of small groups of humans having control over some of the most powerful weapons ever to be built is scary, but it’s the reality we live in. In the not-so-distant future, that incredible
Forwarded from Anytime Show (Pouya Kary ☂️)
YouTube
Adaptive Fluid Simulations | Two Minute Papers #10
There are computer programs that can simulate the behavior of fluids, such as water, milk, honey and many others. However, creating detailed simulations takes a really long time, up to days even for a few seconds of video footage. Adaptive algorithms are…
The easiest way to create a React app with server-side rendering thanks to Next.js
https://github.com/segmentio/create-next-app
https://github.com/segmentio/create-next-app
GitHub
zeit/create-next-app
Create Next.js apps in one command. Contribute to zeit/create-next-app development by creating an account on GitHub.