CVE-2023-23192:
دور زدن احراز هویت چند عاملی
(MFA) در Userlock.
https://github.com/pinarsadioglu/CVE-2023-23192.
#Hunters #Bug_Bounty #kasraone
دور زدن احراز هویت چند عاملی
(MFA) در Userlock.
https://github.com/pinarsadioglu/CVE-2023-23192.
#Hunters #Bug_Bounty #kasraone
GitHub
GitHub - pinarsadioglu/CVE-2023-23192: CVE-2023-23192
CVE-2023-23192. Contribute to pinarsadioglu/CVE-2023-23192 development by creating an account on GitHub.
🔴CVE
CVE-2022-39346
سرور Nextcloud یک سرور ابر شخصی منبع باز است. نسخههای آسیبدیده سرور nextcloud به درستی نامهای نمایشی کاربر را محدود نکردهاند که میتواند به کاربران مخرب اجازه دهد تا پایگاه داده پشتیبان را بارگذاری کنند و باعث انکار سرویس شوند. توصیه می شود که سرور Nextcloud به 22.2.10، 23.0.7 یا 24.0.3 ارتقا یابد. هیچ راه حل شناخته شده ای برای این مشکل وجود ندارد.
넥스트클라우드 서버는 오픈소스 개인 클라우드 서버입니다. 영향을 받는 nextcloud 서버 버전은 사용자 표시 이름을 적절하게 제한하지 않아 악의적인 사용자가 백업 데이터베이스에 과부하를 일으켜 서비스 거부를 유발할 수 있습니다. Nextcloud Server를 22.2.10, 23.0.7 또는 24.0.3으로 업그레이드하는 것이 좋습니다. 이 문제에 대해 알려진 해결 방법은 없습니다.
CVE-2022-39346
سرور Nextcloud یک سرور ابر شخصی منبع باز است. نسخههای آسیبدیده سرور nextcloud به درستی نامهای نمایشی کاربر را محدود نکردهاند که میتواند به کاربران مخرب اجازه دهد تا پایگاه داده پشتیبان را بارگذاری کنند و باعث انکار سرویس شوند. توصیه می شود که سرور Nextcloud به 22.2.10، 23.0.7 یا 24.0.3 ارتقا یابد. هیچ راه حل شناخته شده ای برای این مشکل وجود ندارد.
넥스트클라우드 서버는 오픈소스 개인 클라우드 서버입니다. 영향을 받는 nextcloud 서버 버전은 사용자 표시 이름을 적절하게 제한하지 않아 악의적인 사용자가 백업 데이터베이스에 과부하를 일으켜 서비스 거부를 유발할 수 있습니다. Nextcloud Server를 22.2.10, 23.0.7 또는 24.0.3으로 업그레이드하는 것이 좋습니다. 이 문제에 대해 알려진 해결 방법은 없습니다.
GitHub
Missing length validation of user displayname allows to generate an SQL error
### Impact
When sending huge amount of data to the display name endpoint a user can potentially denial of service the database.
### Patches
It is recommended that the Nextcloud Server is upgra...
When sending huge amount of data to the display name endpoint a user can potentially denial of service the database.
### Patches
It is recommended that the Nextcloud Server is upgra...
😁1
🔴 CVE
CVE-2021-44228
نسخه های Apache Log4j2 2.0-beta9 تا 2.15.0 (به استثنای نسخه های امنیتی 2.12.2، 2.12.3 و 2.3.1) از قابلیت های JNDI که در پیکربندی، پیام های لاگ و پارامترها استفاده می شوند، در برابر حملات کنترل شده توسط حملات LDAP و سایر نقاط مرتبط با JNDI محافظت نمی کنند.
یک اتکر می تواند پیام ها یا پارامترهای پیام لاگ را کنترل کند، می تواند کد خود را اجرا کند که از سرویس های LDAP بارگذاری شده است زمانی که جایگزینی جستجو در پیام فعال است. از نسخه 2.15.0 log4j، این رفتار به طور پیش فرض غیرفعال شده است. از نسخه 2.16.0 (با همراه داشتن نسخه های 2.12.2، 2.12.3 و 2.3.1)، این قابلیت به طور کامل حذف شده است. توجه داشته باشید که این آسیب پذیری مربوط به log4j-core است و بر روی log4net، log4cxx یا سایر پروژه های خدمات Apache Logging تأثیری ندارد.
CVE-2021-44228
نسخه های Apache Log4j2 2.0-beta9 تا 2.15.0 (به استثنای نسخه های امنیتی 2.12.2، 2.12.3 و 2.3.1) از قابلیت های JNDI که در پیکربندی، پیام های لاگ و پارامترها استفاده می شوند، در برابر حملات کنترل شده توسط حملات LDAP و سایر نقاط مرتبط با JNDI محافظت نمی کنند.
یک اتکر می تواند پیام ها یا پارامترهای پیام لاگ را کنترل کند، می تواند کد خود را اجرا کند که از سرویس های LDAP بارگذاری شده است زمانی که جایگزینی جستجو در پیام فعال است. از نسخه 2.15.0 log4j، این رفتار به طور پیش فرض غیرفعال شده است. از نسخه 2.16.0 (با همراه داشتن نسخه های 2.12.2، 2.12.3 و 2.3.1)، این قابلیت به طور کامل حذف شده است. توجه داشته باشید که این آسیب پذیری مربوط به log4j-core است و بر روی log4net، log4cxx یا سایر پروژه های خدمات Apache Logging تأثیری ندارد.
🔴 CVE
CVE-2023-27384
CVE-2023-27384 یک آسیبپذیری است که در نرمافزار Cybozu Garoon 5.15.0 وجود دارد. این آسیبپذیری به حملات دور زدن محدودیت عملکرد در MultiReport منجر میشود.
با استفاده از این آسیبپذیری، یک حملهکننده با احراز هویت، قادر است دادههای MultiReport را تغییر دهد. به عبارت دیگر، حملهکننده میتواند به صورت دور از محدودیت عملکرد، تغییرات لازم را در گزارشات MultiReport اعمال کند.
این آسیبپذیری باعث مخاطرات جدید برای سامانه Cybozu Garoon 5.15.0 میشود، زیرا حملهکننده با تغییر دادههای MultiReport ممکن است اطلاعات حساس را تغییر داده و به نظام خطر وارد کند.
برای رفع این آسیبپذیری، توصیه میشود که تولید کننده نرمافزار Cybozu Garoon 5.15.0 اقدامات لازم را برای اصلاح این آسیبپذیری در نسخههای بعدی این نرمافزار انجام دهد و کاربران همچنین توصیه میشوند که به سرعت به آخرین نسخه بهروزرسانی شده از نرمافزار مذکور بروند تا خطرات مربوط به این آسیبپذیری را کاهش دهند
CVE-2023-27384
CVE-2023-27384 یک آسیبپذیری است که در نرمافزار Cybozu Garoon 5.15.0 وجود دارد. این آسیبپذیری به حملات دور زدن محدودیت عملکرد در MultiReport منجر میشود.
با استفاده از این آسیبپذیری، یک حملهکننده با احراز هویت، قادر است دادههای MultiReport را تغییر دهد. به عبارت دیگر، حملهکننده میتواند به صورت دور از محدودیت عملکرد، تغییرات لازم را در گزارشات MultiReport اعمال کند.
این آسیبپذیری باعث مخاطرات جدید برای سامانه Cybozu Garoon 5.15.0 میشود، زیرا حملهکننده با تغییر دادههای MultiReport ممکن است اطلاعات حساس را تغییر داده و به نظام خطر وارد کند.
برای رفع این آسیبپذیری، توصیه میشود که تولید کننده نرمافزار Cybozu Garoon 5.15.0 اقدامات لازم را برای اصلاح این آسیبپذیری در نسخههای بعدی این نرمافزار انجام دهد و کاربران همچنین توصیه میشوند که به سرعت به آخرین نسخه بهروزرسانی شده از نرمافزار مذکور بروند تا خطرات مربوط به این آسیبپذیری را کاهش دهند
jvn.jp
JVN#41694426: Multiple vulnerabilities in Cybozu Garoon
Japan Vulnerability Notes
👍3
چند دامنه فارسی به ثبت رسیده است؟
🔹آخرین آمار منتشر شده از میزان ثبت دامنه در مرکز ثبت دامنه کشوری حاکی است که تاکنون یک میلیون و ۵۶۰ هزار و ۶۸۷ دامنه فعال فارسی به ثبت رسیده که پسوند داتآیآر (ir.) بیشترین دامنهی فعال را دارد
🔹آخرین آمار منتشر شده از میزان ثبت دامنه در مرکز ثبت دامنه کشوری حاکی است که تاکنون یک میلیون و ۵۶۰ هزار و ۶۸۷ دامنه فعال فارسی به ثبت رسیده که پسوند داتآیآر (ir.) بیشترین دامنهی فعال را دارد
سلام درود دوستان اگه بشه و موافقت های لازم جمع بشه
میخوایم مسابقه CTF با جایزه حضوری برگزار کنیم و اگه با شرکت های که موافقت بشه مکان و زمان برگزاری اعلام میشه
نضری در این باره دارین و یا سوال:
🆔️ : @academykasraone
میخوایم مسابقه CTF با جایزه حضوری برگزار کنیم و اگه با شرکت های که موافقت بشه مکان و زمان برگزاری اعلام میشه
نضری در این باره دارین و یا سوال:
🆔️ : @academykasraone
⚡3❤1👍1
در بعضی مواقع نمیخواهیددر وب سایت هایی که نمیدانید آیا امنیت دارد یا خیر با جیمیل و رمز خود ثبت نام کنید در این مواقع این وب سایت های ذکر شده خوب هستند
موفق پیروز باشید
Emailondeck (Online)
10MinuteMail (Online)
TempEmail(Chrome Extension)
temp-mail (Online)
temp-mail(Source Code)
tempail (Online)
temp-mail.io (Online)
موفق پیروز باشید
Emailondeck (Online)
10MinuteMail (Online)
TempEmail(Chrome Extension)
temp-mail (Online)
temp-mail(Source Code)
tempail (Online)
temp-mail.io (Online)
emailondeck.com
Disposable, Temporary Emails - EmailOnDeck.com
Free and fast temporary email address in 2 easy steps. Private and secure.
❤2
Forwarded from E N
🏃♂️ آموزش های رایگان امنیت شبکه و تست نفوذ
✅ مقالات حوزه امنیت شبکه و تست نفوذ
🔴 پکیج های آموزشی
🔰 به همراه فیلم های آموزشی رایگان
https://t.me/irsecurityworld
✅ مقالات حوزه امنیت شبکه و تست نفوذ
🔴 پکیج های آموزشی
🔰 به همراه فیلم های آموزشی رایگان
https://t.me/irsecurityworld
🔴 CVE
CVE-2020-21400
آسیبپذیری تزریق SQL در PHPMyWind v.5.6 gaozhifeng به یک حملهکننده از راه دور اجازه میدهد کد دلخواه را از طریق متغیر id در تابع modify اجرا کند.
CVE-2020-21400
آسیبپذیری تزریق SQL در PHPMyWind v.5.6 gaozhifeng به یک حملهکننده از راه دور اجازه میدهد کد دلخواه را از طریق متغیر id در تابع modify اجرا کند.
GitHub
i found admin/admin_save.php in PHPMyWind 5.6 has sql injection. · Issue #11 · gaozhifeng/PHPMyWind
i found a sql injection vulnerability in the backend management system of PHPMyWind 5.6 The relevant source code is as follows: //修改管理员 else if($action == 'update') { //创始人账号不允许更改状态 if($id ...
👍2
خبره مهم 🔴
توجه داشته باشید، همه!. گروه خرابکاره سایبری DEV-1101 از یک کیت فیشینگ AiTM منبع باز برای انجام حملات در مقیاس استفاده میکند. این کیت قادر است به محافظتهای MFA را نادیده بگیرد و رمز عبور و کوکیهای جلسه را دزدید.
برای کسب اطلاعات بیشتر به این لینک مراجعه کنید:
https://thehackernews.com/2023/03/microsoft-warns-of-large-scale-use-of.html.
توجه داشته باشید، همه!. گروه خرابکاره سایبری DEV-1101 از یک کیت فیشینگ AiTM منبع باز برای انجام حملات در مقیاس استفاده میکند. این کیت قادر است به محافظتهای MFA را نادیده بگیرد و رمز عبور و کوکیهای جلسه را دزدید.
برای کسب اطلاعات بیشتر به این لینک مراجعه کنید:
https://thehackernews.com/2023/03/microsoft-warns-of-large-scale-use-of.html.
GoBruteforcer
گوبروتفورسر یک نرم افزار مخرب جدید است که بر پایه زبان برنامه نویسی گولانگ توسعه داده شده است. این نرم افزار از حملات نیروی خام برای هدف گیری از سرورهای وب استفاده می کند که در آنها نرم افزارهای محبوب مانند phpMyAdmin، MySQL، FTP و Postgres در حال اجرا هستند.
براساس گزارشات، گوبروتفورسر قادر به تست کلمات عبور ضعیف و رمز های عبور پیش فرض در سرویس های مذکور است. با استفاده از روش نیروی خام، این نرم افزار تلاش می کند تا با تلاش پشت سر هم بسیار زیاد، به صورت خودکار و با سرعت بالا به حدود 1000 تلاش در ثانیه، رمز عبور صحیح را پیدا کند.
گوبروتفورسر قابلیت های دستکاری شده و پروژه های Open Source را به عنوان منابع خود دارد و می تواند از آنها برای حملات خود استفاده کند. همچنین، این نرم افزار قابلیت تشخیص و جلوگیری از شناسایی توسط سیستم های محافظتی را دارد.
به طور کلی، گوبروتفورسر یک تهدید جدید در عرصه امنیت سایبری است که بر پایه گولانگ توسعه داده شده است و به صورت خودکار و با سرعت بالا به دنبال رمز عبور صحیح در سرویس های محبوب مانند phpMyAdmin، MySQL، FTP و Postgres می گردد.
بیشتر بدانید :
https://thehackernews.com/2023/03/gobruteforcer-new-golang-based-malware.html.
#Bug_Bounty #exploit #kasraone #Hunters
گوبروتفورسر یک نرم افزار مخرب جدید است که بر پایه زبان برنامه نویسی گولانگ توسعه داده شده است. این نرم افزار از حملات نیروی خام برای هدف گیری از سرورهای وب استفاده می کند که در آنها نرم افزارهای محبوب مانند phpMyAdmin، MySQL، FTP و Postgres در حال اجرا هستند.
براساس گزارشات، گوبروتفورسر قادر به تست کلمات عبور ضعیف و رمز های عبور پیش فرض در سرویس های مذکور است. با استفاده از روش نیروی خام، این نرم افزار تلاش می کند تا با تلاش پشت سر هم بسیار زیاد، به صورت خودکار و با سرعت بالا به حدود 1000 تلاش در ثانیه، رمز عبور صحیح را پیدا کند.
گوبروتفورسر قابلیت های دستکاری شده و پروژه های Open Source را به عنوان منابع خود دارد و می تواند از آنها برای حملات خود استفاده کند. همچنین، این نرم افزار قابلیت تشخیص و جلوگیری از شناسایی توسط سیستم های محافظتی را دارد.
به طور کلی، گوبروتفورسر یک تهدید جدید در عرصه امنیت سایبری است که بر پایه گولانگ توسعه داده شده است و به صورت خودکار و با سرعت بالا به دنبال رمز عبور صحیح در سرویس های محبوب مانند phpMyAdmin، MySQL، FTP و Postgres می گردد.
بیشتر بدانید :
https://thehackernews.com/2023/03/gobruteforcer-new-golang-based-malware.html.
#Bug_Bounty #exploit #kasraone #Hunters
❤1👍1
💥 برخی از نوعهای فلش برای استفادهBAD USB ☠ عبارتند از:
1. Rubber Ducky: یک نوع فلش USB است که به صورت یک کیبورد شناخته میشود و قادر است دستورات را به سیستم عامل ارسال کند.
2. Teensy: یک برد توسعه قابل برنامهریزی است که به عنوان یک دستگاه USB شناخته میشود و قادر است دستورات را به سیستم عامل ارسال کند.
3. Bash Bunny: یک دستگاه هوشمند است که به صورت یک فلش USB ظاهر میشود و قادر است دستورات خاص را در سیستم عامل اجرا کند.
4. LAN Turtle: یک دستگاه شبکه است که به صورت یک فلش USB ظاهر میشود و قادر است تحت شبکه با سایر دستگاههای متصل شده تعامل داشته باشد و دستورات را اجرا کند.
5. PoisonTap: یک نوع فلش USB است که با اتصال به سیستم، ترافیک شبکه را مسروقه میکند و دستورات خاص را اجرا میکند
#kasraone #exploit #Bug_Bounty
1. Rubber Ducky: یک نوع فلش USB است که به صورت یک کیبورد شناخته میشود و قادر است دستورات را به سیستم عامل ارسال کند.
2. Teensy: یک برد توسعه قابل برنامهریزی است که به عنوان یک دستگاه USB شناخته میشود و قادر است دستورات را به سیستم عامل ارسال کند.
3. Bash Bunny: یک دستگاه هوشمند است که به صورت یک فلش USB ظاهر میشود و قادر است دستورات خاص را در سیستم عامل اجرا کند.
4. LAN Turtle: یک دستگاه شبکه است که به صورت یک فلش USB ظاهر میشود و قادر است تحت شبکه با سایر دستگاههای متصل شده تعامل داشته باشد و دستورات را اجرا کند.
5. PoisonTap: یک نوع فلش USB است که با اتصال به سیستم، ترافیک شبکه را مسروقه میکند و دستورات خاص را اجرا میکند
#kasraone #exploit #Bug_Bounty
🔴 CVE
CVE-2023-35843
نسخه 0.106.0 (یا 0.109.1) از NocoDB دارای یک آسیبپذیری ناوبری مسیر است که به یک حملهکننده بدون احراز هویت امکان دسترسی به فایلهای دلخواه روی سرور را با تغییر پارامتر مسیر در مسیر /download میدهد. این آسیبپذیری ممکن است به یک حملهکننده اجازه دسترسی به فایلها و دادههای حساس روی سرور را، شامل فایلهای پیکربندی، کد منبع و سایر اطلاعات حساس، بدهد.
CVE-2023-35843
نسخه 0.106.0 (یا 0.109.1) از NocoDB دارای یک آسیبپذیری ناوبری مسیر است که به یک حملهکننده بدون احراز هویت امکان دسترسی به فایلهای دلخواه روی سرور را با تغییر پارامتر مسیر در مسیر /download میدهد. این آسیبپذیری ممکن است به یک حملهکننده اجازه دسترسی به فایلها و دادههای حساس روی سرور را، شامل فایلهای پیکربندی، کد منبع و سایر اطلاعات حساس، بدهد.
dw1’s Advisory
CVE-2023-35843: Arbitrary File Read in NocoDB
The NocoDB application version <= 0.106.1 has a path traversal vulnerability that allows an unauthenticated attacker to access arbitrary files on the server by manipulating…
توجه! شرکت فورتینت پچهای امنیتی برای ۱۵ آسیب جدید، از جمله یک آسیب قابل توجه (CVE-2023-25610) که بر روی فورتآیاس و فورتیپروکسی تأثیر میگذارد و ممکن است به حملات کنندگان اجازه دهد کنترل سامانههای تحت تأثیر را در دست بگیرند.
جزئیات:
https://thehackernews.com/2023/03/new-critical-flaw-in-fortios-and.html
جزئیات:
https://thehackernews.com/2023/03/new-critical-flaw-in-fortios-and.html
🔰 سایت های کاربردی که اگر با آنها آشنا نباشید، ضرر میکنید!...
1⃣ beatoven.ai: یک سایت جالب و منحصر به فرد که شما میتوانید با استفاده از آن موسیقی بسازید، به ویژه برای افرادی که در یوتیوب و اینستاگرام محتوا تولید میکنند یا حتی برای افرادی که پادکست تولید میکنند، این سایت عالی است.
2⃣ stockimg.ai: بهترین سایت در لیست که با وارد شدن به آن، شما میتوانید هرچه را که خواستید را نقاشی کنید با استفاده از هوش مصنوعی. به عبارت دقیقتر، همچین چیز خفن دارد!
3⃣ roomgpt.io: اگر شما یک معمار یا طراح دکوراسیون داخل خانه هستید و چطور خانه خود را طرحبرداري كنيد، این سایت با استفاده از هوش مصنوعی به شما بهترین طرح را پیشنهاد میکند، فقط کافیست عکس محیط خانه خود را به آن بدهید!
4⃣ cutout.pro: یک سایت خفن برای افزایش کیفیت عکس و ویدئو، حذف پسزمینه عکس، تبدیل عکس به انیمیشن و دارای قابلیتهای دیگر است که شما میتوانید از آن استفاده کنید و لذت ببرید.
5⃣ aitoptools.com: هرچه سایتهای هوش مصنوعی را دیدید، کنار بگذارید... این سایت تمام سرویسهای مربوط به هوش مصنوعی را گروهبندی کرده است و فقط کافیست به آن وارد شده و از بین آنها انتخاب کنید چه چيزي را ميخواهيد...
6⃣ musclewiki.com: این سایت برای افراد ورزشکار یا افرادی است که در خانه تمرین ميكنند. کافیست به آن وارد شوید
#kasraone #ai
1⃣ beatoven.ai: یک سایت جالب و منحصر به فرد که شما میتوانید با استفاده از آن موسیقی بسازید، به ویژه برای افرادی که در یوتیوب و اینستاگرام محتوا تولید میکنند یا حتی برای افرادی که پادکست تولید میکنند، این سایت عالی است.
2⃣ stockimg.ai: بهترین سایت در لیست که با وارد شدن به آن، شما میتوانید هرچه را که خواستید را نقاشی کنید با استفاده از هوش مصنوعی. به عبارت دقیقتر، همچین چیز خفن دارد!
3⃣ roomgpt.io: اگر شما یک معمار یا طراح دکوراسیون داخل خانه هستید و چطور خانه خود را طرحبرداري كنيد، این سایت با استفاده از هوش مصنوعی به شما بهترین طرح را پیشنهاد میکند، فقط کافیست عکس محیط خانه خود را به آن بدهید!
4⃣ cutout.pro: یک سایت خفن برای افزایش کیفیت عکس و ویدئو، حذف پسزمینه عکس، تبدیل عکس به انیمیشن و دارای قابلیتهای دیگر است که شما میتوانید از آن استفاده کنید و لذت ببرید.
5⃣ aitoptools.com: هرچه سایتهای هوش مصنوعی را دیدید، کنار بگذارید... این سایت تمام سرویسهای مربوط به هوش مصنوعی را گروهبندی کرده است و فقط کافیست به آن وارد شده و از بین آنها انتخاب کنید چه چيزي را ميخواهيد...
6⃣ musclewiki.com: این سایت برای افراد ورزشکار یا افرادی است که در خانه تمرین ميكنند. کافیست به آن وارد شوید
#kasraone #ai
❤2👍1
❤2