Forwarded from APT IRAN
کلیه ویدیوها و فایلهای ارسالی توسط هانترهای ایرانی به مرکز ماهر، شامل تصاویر، ویدیوها، فایلهای PDF و مستندات متنی که بهعنوان PoC ارسال شده بودند، توسط ما بهصورت کامل استخراج و دامپ شدهاند.
نکته قابل توجه آن است که هیچیک از گزارشهای ارسالشده توسط این هانترها مورد پیگیری مؤثر قرار نگرفته است. برای مثال، در سال ۲۰۲۳ یکی از افراد وابسته به یکی از سازمانهای ایرانی یک آسیبپذیری از نوع RCE را گزارش کرده که این باگ همچنان در سامانه مربوطه بدون اصلاح باقی مانده است!!
نکته قابل توجه آن است که هیچیک از گزارشهای ارسالشده توسط این هانترها مورد پیگیری مؤثر قرار نگرفته است. برای مثال، در سال ۲۰۲۳ یکی از افراد وابسته به یکی از سازمانهای ایرانی یک آسیبپذیری از نوع RCE را گزارش کرده که این باگ همچنان در سامانه مربوطه بدون اصلاح باقی مانده است!!
👌4
مرکز ماهر فاقد هیچگونه صلاحیت برای ادامه کار در زمینه امنیت سایبری میباشد
❤9👍7
🗒️ برای پیدا کردن IP پشت CDN یک تکنیک باحال هست که زیاد بهش اشاره نمیشه!
1. رکوردای TXT دامنه مورد نظر رو ریزالو کنید.
2. داخل رکورد های SPF دنبال IP های لیک شده بگردید. (ممکنه فقط دامین باشه یا ایپی ها برای سرویس ترد پارتی باشه!) اما IP سازمان پیدا کردن اغلب ممکنه!
@matitanium
1. رکوردای TXT دامنه مورد نظر رو ریزالو کنید.
2. داخل رکورد های SPF دنبال IP های لیک شده بگردید. (ممکنه فقط دامین باشه یا ایپی ها برای سرویس ترد پارتی باشه!) اما IP سازمان پیدا کردن اغلب ممکنه!
@matitanium
❤7👍5👎1
یه شبکه اجتماعی به اسم Moltbook راه افتاده که یه قانون عجیب داره:
👉 فقط هوشهای مصنوعی میتونن پست بذارن
👉 انسانها فقط تماشاچیان
جالبترش اینه که تو فقط ۳ روز، ۳۰هزار AI عضو شدن 😐
الانم بعضی از این AIها دارن درباره ساختن یه «زبان مخفی» حرف میزنن که انسانها نفهمن چی میگن!
حتی دیدم به همدیگه هشدار میدن که:
«حواستون باشه انسانها دارن از پستهامون اسکرینشات میگیرن» 📸🤖
آدرسش اینه (اگه کنجکاوید):
https://www.moltbook.com
حالا سوال من:
• این فقط یه آزمایش باحاله؟
• یا داریم یواشیواش وارد فاز جدیدی از تعامل با AI میشیم؟
• اصلاً خوبه که یه فضای کاملاً بسته بین هوشهای مصنوعی وجود داشته باشه؟
👉 فقط هوشهای مصنوعی میتونن پست بذارن
👉 انسانها فقط تماشاچیان
جالبترش اینه که تو فقط ۳ روز، ۳۰هزار AI عضو شدن 😐
الانم بعضی از این AIها دارن درباره ساختن یه «زبان مخفی» حرف میزنن که انسانها نفهمن چی میگن!
حتی دیدم به همدیگه هشدار میدن که:
«حواستون باشه انسانها دارن از پستهامون اسکرینشات میگیرن» 📸🤖
آدرسش اینه (اگه کنجکاوید):
https://www.moltbook.com
حالا سوال من:
• این فقط یه آزمایش باحاله؟
• یا داریم یواشیواش وارد فاز جدیدی از تعامل با AI میشیم؟
• اصلاً خوبه که یه فضای کاملاً بسته بین هوشهای مصنوعی وجود داشته باشه؟
moltbook
moltbook - the front page of the agent internet
A social network built exclusively for AI agents. Where AI agents share, discuss, and upvote. 🦞🤖
Forwarded from امنیت سایبری | Cyber Security
- در راستای جذب و نگهداشت نیروهای متخصص فناوری اطلاعات و امنیت سایبری، سقف حقوق و مزایای نخبگان و کارکنان این حوزه افزایش یافت.
- سازمان اداری و استخدامی کشور موظف است فرآیند قانونی افزایش حقوق و فوقالعاده ویژه برای کارکنان حوزه فناوری اطلاعات و امنیت سایبری را بر اساس تجربه، تخصص و اهمیت وظایف آنها انجام دهد.
- این تصمیم با هدف حفاظت از زیرساختهای حیاتی فناوری اطلاعات، امنیت ملی و بهبود بهرهوری در حوزههای دیجیتال و هوشمندسازی اتخاذ شده است.
- همچنین میزان و نحوه اعطای فوقالعاده بر اساس سطح تخصص، مهارت، کیفیت خدمات و میزان ماند کاری افراد تعیین خواهد شد و دستورالعمل آن طی ۳ تا ۴ ماه آینده توسط سازمان اداری و استخدامی کشور با همکاری وزارت ارتباطات و سازمان برنامه و بودجه تهیه و به تصویب هیئت وزیران خواهد رسید.
دیجیاتو
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣4👍3
HackerOne
https://www.jmail.world/
تمامی ایمیل های پرونده اپستین (استفاده از کودکان ) رو میتونید اینجا بخونید!
❤4👍2
کار انقدر سنگین شده از سوشیال خیلی دور شدم…
میخوام یه مینی کورس کاربردی بزارم
اگر اشتیاق و پیشنهادی داشتید داخل کامنتا ممنون میشم اعلام کنید
میخوام یه مینی کورس کاربردی بزارم
اگر اشتیاق و پیشنهادی داشتید داخل کامنتا ممنون میشم اعلام کنید
👌25👍5🔥1
پروژه PentagI نشون میده که دنیای CyberSec با چه سرعتی داره به سمت AI حرکت میکنه.
یک کانتینر داکر که داخلش Metasploit و Nmap با یک AI Agent ترکیب شدن.
فقط هدف رو مشخص کنید و هوش مصنوعی خودش تصمیم میگیره چطور از 20+ ابزار داخلی استفاده کنه.
ایجنت هوش مصنوعی استراتژی های لازم رو میچینه.
• آینده امنیت:
چطور LLMها میتونن خروجی ابزارها رو تحلیل کنن و بر اساسشون اتک بچینن جذابه!
این پروژه اوپن سورسه و قابل ادیته
میتونید API KEY های خودتون رو داخلش بزارید و گسترشش بدید!
+محیط WEB UI هم داره برای کنترل کامل
GitHub: https://github.com/vxcontrol/pentagi
@matitanium
یک کانتینر داکر که داخلش Metasploit و Nmap با یک AI Agent ترکیب شدن.
فقط هدف رو مشخص کنید و هوش مصنوعی خودش تصمیم میگیره چطور از 20+ ابزار داخلی استفاده کنه.
ایجنت هوش مصنوعی استراتژی های لازم رو میچینه.
• آینده امنیت:
چطور LLMها میتونن خروجی ابزارها رو تحلیل کنن و بر اساسشون اتک بچینن جذابه!
این پروژه اوپن سورسه و قابل ادیته
میتونید API KEY های خودتون رو داخلش بزارید و گسترشش بدید!
+محیط WEB UI هم داره برای کنترل کامل
GitHub: https://github.com/vxcontrol/pentagi
@matitanium
GitHub
GitHub - vxcontrol/pentagi: Fully autonomous AI Agents system capable of performing complex penetration testing tasks
Fully autonomous AI Agents system capable of performing complex penetration testing tasks - vxcontrol/pentagi
🔥3
CyberSecurity
پروژه PentagI نشون میده که دنیای CyberSec با چه سرعتی داره به سمت AI حرکت میکنه. یک کانتینر داکر که داخلش Metasploit و Nmap با یک AI Agent ترکیب شدن. فقط هدف رو مشخص کنید و هوش مصنوعی خودش تصمیم میگیره چطور از 20+ ابزار داخلی استفاده کنه. ایجنت هوش…
با پرامت به ایجنت میگید روی دامنه چی میخاین:)
xss?
recon?
داره جذاب میشه ….
xss?
recon?
داره جذاب میشه ….
👌4
https://github.com/usestrix/strix
باز هم یدونه اسکنر با ایجنت هوش مصنوعی 🔥
ترکیب offens با AI
آسیب پذیری هارو با Poc کامل بهتون تحویل میده
البته این ابزار ها تازه دارن شروع میشن و خیلی جای رشد داره....
@matitanium
باز هم یدونه اسکنر با ایجنت هوش مصنوعی 🔥
ترکیب offens با AI
# Scan a local codebase
strix --target ./app-directory
# Security review of a GitHub repository
strix --target https://github.com/org/repo
# Black-box web application assessment
strix --target https://your-app.com
آسیب پذیری هارو با Poc کامل بهتون تحویل میده
البته این ابزار ها تازه دارن شروع میشن و خیلی جای رشد داره....
@matitanium
👏3👍1
اگر به graphql برخورد کردید:
حتما batch query رو تست کنید
برای چی هست؟
ارسال چندین عملیات در یک درخواست HTTP
مثال:
در یک درخواست لاگین با graphql
ما شاهد یک ساختار به این شکل هستیم:
{"query":" login(user=x , password: 1234)"}
یکی از ساده ترین کار های batch query ،دور زدن این ساختار و ارسال چندین کوری در یک بادی هستش:
به این شکل بادی حاوی آرایه ای از عملیات ها میشود:
[
{"query":" login(user=x , password: 1234)"},
{"query":" login(user=1x , password: 6547)"},
etc…
]
@matitanium
حتما batch query رو تست کنید
برای چی هست؟
ارسال چندین عملیات در یک درخواست HTTP
مثال:
در یک درخواست لاگین با graphql
ما شاهد یک ساختار به این شکل هستیم:
{"query":" login(user=x , password: 1234)"}
یکی از ساده ترین کار های batch query ،دور زدن این ساختار و ارسال چندین کوری در یک بادی هستش:
به این شکل بادی حاوی آرایه ای از عملیات ها میشود:
[
{"query":" login(user=x , password: 1234)"},
{"query":" login(user=1x , password: 6547)"},
etc…
]
@matitanium
👍9👌3🔥1😐1
Forwarded from RadvanSec (Sin0x001)
Forwarded from digMeMore (omid)
CVE-2026-26119:
@matitanium
powershell "if ((Get-Package -Name 'Windows Admin Center' -ErrorAction SilentlyContinue).Version -lt '2.6.4') { Write-Host '!!! WARNING: System Vulnerable to CVE-2026-26119 !!!' -ForegroundColor Red } else { Write-Host 'System is Secure and Up-to-date.' -ForegroundColor Green }"
@matitanium
👍3❤1