فایل .env چی هست و چه کمکی به ما میکنه؟
در سایت هایی که به زبان های
node JS (Express - React - Next JS - …) ,
PHP (Laravel - Symfony - ..)
Go
Ruby Rails
نوشته شدند معمولا ما یک فایل رو همیشه در سورس کد مشاهده میکنیم :
.env
این فایل از حساسیت بالایی برخوردار هستش
برنامه نویس ها برای ذخیره کلید ها و متغیر های بشدت حساس
مانند کلید های Azure - AWS - یا توکن های دیگر استفاده میکنند.
چرا این فایل؟ فریمورک هایی مثل لاراول با تابع های خاص مقادیر تعریف شده در این فایل رو راحت میفهمند و در داکیومنت ها و آموزش هاشون توصیه شده کلید های حساس رو داخل این فایل که معمولا در فولدر روت پروژه هست ذخیره کنند.
اما اما گاهی این فایل یا با فرمت های بکاپش:
.env.old
.env.bak
.env.lock
.env.xyz
در مسیر های متفاوت یک سایت در دسترس هستش
بخصوص در قسمت هایی از سایت که یک فولدر خاص رو باز میکنید و UI سایت عوض میشه
مشخصا یک ریورز پراکسی اون پشت ، دایرکتوری blog رو مثلا:
http://target.com/blog
به لاراول فروارد میکنه
با دانلودش میتونید به کلید ها دسترسی داشته باشید
@matitanium
در سایت هایی که به زبان های
node JS (Express - React - Next JS - …) ,
PHP (Laravel - Symfony - ..)
Go
Ruby Rails
نوشته شدند معمولا ما یک فایل رو همیشه در سورس کد مشاهده میکنیم :
.env
این فایل از حساسیت بالایی برخوردار هستش
برنامه نویس ها برای ذخیره کلید ها و متغیر های بشدت حساس
مانند کلید های Azure - AWS - یا توکن های دیگر استفاده میکنند.
چرا این فایل؟ فریمورک هایی مثل لاراول با تابع های خاص مقادیر تعریف شده در این فایل رو راحت میفهمند و در داکیومنت ها و آموزش هاشون توصیه شده کلید های حساس رو داخل این فایل که معمولا در فولدر روت پروژه هست ذخیره کنند.
اما اما گاهی این فایل یا با فرمت های بکاپش:
.env.old
.env.bak
.env.lock
.env.xyz
در مسیر های متفاوت یک سایت در دسترس هستش
بخصوص در قسمت هایی از سایت که یک فولدر خاص رو باز میکنید و UI سایت عوض میشه
مشخصا یک ریورز پراکسی اون پشت ، دایرکتوری blog رو مثلا:
http://target.com/blog
به لاراول فروارد میکنه
با دانلودش میتونید به کلید ها دسترسی داشته باشید
@matitanium
❤5🔥1
Forwarded from Code Review
درود دوستان ، بالاخره بعد از چندین ماه محرومیت از دنیای آزاد همه دارن کم کم به اینترنت وصل میشن.
حالا باید بشینیم ببینیم چقدر از دنیا عقب افتادیم ((:
توی این مدت یه اکستنشن برپ نوشتم به اسم Endpoint To Request که امیدوارم خوشتون بیاد .
حالا به چه دردی میخوره؟ دیگه نیاز نیست وقتتونو تلف کدهای فشرده جاوااسکریپت کنید تا ببینید چه Endpoint هایی تو JS وجود داره و ازشون بی خبرین.
افزونه E2R واسه برپسویت طراحی شده و با هوش مصنوعی (مثل Ollama لوکال، Groq یا Gemini) کل جاوااسکریپت رو تحلیل میکنه و خودش براتون درخواست خام HTTP (با پارامترها و بدنه فرضی معتبر) میسازه و میفرسته به Repeater.
امکانات کلیدی: 🔸 استخراج خودکار اندپوینتها، Secrets و پارامترها 🔸 کشف آسیبپذیریهای DOM XSS 🔸 زیباسازی کدهای فشرده در لحظه
اگر خوشتون اومد Start یادتون نره
حتما قبلش داکیومنتشو رو بخونین.
🔗 https://github.com/maverick0o0/E2R.git
حالا باید بشینیم ببینیم چقدر از دنیا عقب افتادیم ((:
توی این مدت یه اکستنشن برپ نوشتم به اسم Endpoint To Request که امیدوارم خوشتون بیاد .
حالا به چه دردی میخوره؟ دیگه نیاز نیست وقتتونو تلف کدهای فشرده جاوااسکریپت کنید تا ببینید چه Endpoint هایی تو JS وجود داره و ازشون بی خبرین.
افزونه E2R واسه برپسویت طراحی شده و با هوش مصنوعی (مثل Ollama لوکال، Groq یا Gemini) کل جاوااسکریپت رو تحلیل میکنه و خودش براتون درخواست خام HTTP (با پارامترها و بدنه فرضی معتبر) میسازه و میفرسته به Repeater.
امکانات کلیدی: 🔸 استخراج خودکار اندپوینتها، Secrets و پارامترها 🔸 کشف آسیبپذیریهای DOM XSS 🔸 زیباسازی کدهای فشرده در لحظه
اگر خوشتون اومد Start یادتون نره
حتما قبلش داکیومنتشو رو بخونین.
🔗 https://github.com/maverick0o0/E2R.git
❤7
هشدار مهم به تمامی مدیران سازمان های داخلی
لطفا هرچه سریعتر تمامی تجهیزات و نرم افزار های خودتون رو به آخرین ورژن ریلیز شده آپدیت کنید!
در تایمی که اینترنت نبوده کلی پچ های امنیتی اومده که ممکنه نود های سازمان شما به علت نبود اینترنت، آنهارا دریافت نکرده باشند!
و همچنین هشدار به تمامی کاربران :
تمامی سیستم عامل ها و نرم افزار های خودتون رو به اخرین ورژن آپدیت بزنید!
لطفا هرچه سریعتر تمامی تجهیزات و نرم افزار های خودتون رو به آخرین ورژن ریلیز شده آپدیت کنید!
در تایمی که اینترنت نبوده کلی پچ های امنیتی اومده که ممکنه نود های سازمان شما به علت نبود اینترنت، آنهارا دریافت نکرده باشند!
و همچنین هشدار به تمامی کاربران :
تمامی سیستم عامل ها و نرم افزار های خودتون رو به اخرین ورژن آپدیت بزنید!
❤2
Forwarded from کالی بویز | ترفند | تکنولوژی (YOUSEF)
✔️ اطلاعات بیش از ۱۷ میلیون کاربر اینستاگرام فاش شد؛ رمزهایتان را سریعاً عوض کنید!
اطلاعات بیش از ۱۷.۵ میلیون کاربر اینستاگرام، شامل نام، نام کاربری، ایمیل، شماره تلفن و حتی موقعیت مکانی، در یک نشت داده بزرگ در دارک وب فاش شد. این دادهها توسط هکری با نام مستعار «سولونیک» عرضه شده و خطر فیشینگ هدفمند و سرقت سیمکارت را به شدت بالا برده است. با اینکه رمز عبور کاربران فاش نشده، ترکیب ایمیل و شماره تلفن دست کلاهبرداران را باز میگذارد. بررسیها نشان میدهد که حداقل ۲۱ هزار کاربر ایرانی نیز تحت تاثیر قرار گرفتهاند.
متخصصان امنیت سایبری هشدار میدهند فوراً رمز عبور خود را تغییر دهید و احراز هویت دومرحلهای را از پیامک به اپلیکیشنهای تأیید هویت منتقل کنید. با ایمیلهای بازیابی رمز مشکوک با احتیاط برخورد کنید و هرگز روی لینکهای ناشناس کلیک نکنید تا از دسترسی غیرمجاز در امان بمانید.
@kaliboys | کالی بویز
اطلاعات بیش از ۱۷.۵ میلیون کاربر اینستاگرام، شامل نام، نام کاربری، ایمیل، شماره تلفن و حتی موقعیت مکانی، در یک نشت داده بزرگ در دارک وب فاش شد. این دادهها توسط هکری با نام مستعار «سولونیک» عرضه شده و خطر فیشینگ هدفمند و سرقت سیمکارت را به شدت بالا برده است. با اینکه رمز عبور کاربران فاش نشده، ترکیب ایمیل و شماره تلفن دست کلاهبرداران را باز میگذارد. بررسیها نشان میدهد که حداقل ۲۱ هزار کاربر ایرانی نیز تحت تاثیر قرار گرفتهاند.
متخصصان امنیت سایبری هشدار میدهند فوراً رمز عبور خود را تغییر دهید و احراز هویت دومرحلهای را از پیامک به اپلیکیشنهای تأیید هویت منتقل کنید. با ایمیلهای بازیابی رمز مشکوک با احتیاط برخورد کنید و هرگز روی لینکهای ناشناس کلیک نکنید تا از دسترسی غیرمجاز در امان بمانید.
@kaliboys | کالی بویز
👍5
Forwarded from امنیت سایبری | Cyber Security
- پژوهشهای جدید نشان میدهد که سازمانهای اطلاعاتی و انتظامی در سراسر جهان، از جمله چندین آژانس فدرال آمریکا، از یک سامانه جاسوسی مبتنی بر دادههای تبلیغات موبایلی برای ردیابی موقعیت مکانی صدها میلیون نفر بدون حکم قضایی استفاده میکنند.
- این سامانه که «وبلاک» نام دارد، توسط یک شرکت اسرائیلی توسعه یافته و اکنون از طریق شرکتی آمریکایی به دولتها فروخته میشود.
- وبلاک یک سامانه نظارت مکانی پیشرفته است که از دادههای جمعآوریشده از اپلیکیشنهای موبایل و تبلیغات دیجیتال تغذیه میکند. کاربر معمولی تصور میکند دادههای موقعیت مکانی او فقط در اختیار همان اپلیکیشنهایی است که به آنها اجازه دسترسی داده است؛ اما واقعیت بسیار پیچیدهتر و نگرانکنندهتر است.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from امنیت سایبری | Cyber Security
- شورای هماهنگی بانکهای دولتی: به آگاهی هموطنان ارجمند میرساند،
پیرو اختلال پیشآمده در سامانههای چهار بانک ملی، تجارت، صادرات و توسعه صادرات، تیمهای فنی بلافاصله پس از شناسایی نشانههای غیرعادی، اقدامات پیشگیرانه و حفاظتی لازم را برای صیانت از دادههای مشتریان و زیرساختهای بانکی کشور به اجرا گذاشتند.
- بررسیهای دقیق فنی حاکی از آن است که این اختلال ناشی از یک حمله سایبری محدود به این چهار بانک بوده و خوشبختانه هیچگونه دسترسی غیرمجاز به اطلاعات مشتریان رخ نداده و نشت اطلاعاتی اتفاق نیفتاده است.
- در حال حاضر تمام زیرساختها تحت کنترل کامل کارشناسان فنی قرار دارد و عملیات ایمنسازی و بازیابی سامانهها با سرعت در حال انجام است.
- اولویت اصلی ما، حفظ امنیت و حریم خصوصی مشتریان شبکه بانکی کشور است. تمام تلاش بخش فنی پشتیبان بر آن است که خدمات بانکی در کوتاهترین زمان ممکن و با بالاترین سطح امنیت به حالت عادی بازگرداند.
- از تمام مشتریان گرامی تقاضا داریم اخبار و اطلاعات تکمیلی را صرفاً از طریق کانالهای رسمی پیگیری کنند.
#اختلال #حمله
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
Forwarded from APT IRAN مرکز تحقیقاتی
یک عده رسانه پلشت میگن این گروهی که حمله سایبری انجام داده به بلوغ نرسیده
از همینجا یه بادمجون بزرگ تو روح انواتت باشه ؟ آفرین با تشکر
یه جور زدن 48 ساعت کامله یک کشور تو خاموشیه نفهم بیناموس به بلوغ نرسیده است ؟ اره تو با سیمکارت سفیدت به بلوغ رسیدی تخم حروم ولد زنا
از همینجا یه بادمجون بزرگ تو روح انواتت باشه ؟ آفرین با تشکر
یه جور زدن 48 ساعت کامله یک کشور تو خاموشیه نفهم بیناموس به بلوغ نرسیده است ؟ اره تو با سیمکارت سفیدت به بلوغ رسیدی تخم حروم ولد زنا
🔥2👏1🗿1
Forwarded from APT IRAN مرکز تحقیقاتی
APT IRAN مرکز تحقیقاتی
یک عده رسانه پلشت میگن این گروهی که حمله سایبری انجام داده به بلوغ نرسیده از همینجا یه بادمجون بزرگ تو روح انواتت باشه ؟ آفرین با تشکر یه جور زدن 48 ساعت کامله یک کشور تو خاموشیه نفهم بیناموس به بلوغ نرسیده است ؟ اره تو با سیمکارت سفیدت به بلوغ رسیدی تخم…
همین گنده گوز ها یک کشور رو بیچاره کردن هیچی ندارن زر مفت هم میزنن خب میتونی جلوش رو بگیر دیگه مگه نمیگی سطح پایین هست کار اون گروه رو کوچیک جلوه میدی ؟ بیا جلوشو بگیر که برای بار صدم داره میرینه تو قبر پدر پدرسگت
🔥1🤣1
Forwarded from APT IRAN مرکز تحقیقاتی
این گروه تا عمیق ترین لایه های بخش های مالی و پرداختی کشور نفوذ کرده با شدت چند برابر قبل! بعد یک عده گوساله مثل این الکی پر و بال میدن به این سازمان ها و از اون طرف هم خودشون رو حامی ایران جلوه میدن
شازده کوچولو رو یادتونه ؟ همه اطرافیاش میگفتن که نقاشیت خیلی قشنگه بهش پر و بال الکی میدادن
الانم این بیناموس عالم پر و بال میده به یک عده که نباید بده به بهانه دفاع از کشور و نظام و این چیزا
چه اتفاقی میوفته ؟ این میشه که میبینید
دوست تو کسی هست که عیب تورو میگه ... دوست تو خبرنگار خط سفید حروم لقمه کچل نیست اشاره خاصی نمیکنیم از اول هم ما با این تخم سگ مشکل داشتیم.
شازده کوچولو رو یادتونه ؟ همه اطرافیاش میگفتن که نقاشیت خیلی قشنگه بهش پر و بال الکی میدادن
الانم این بیناموس عالم پر و بال میده به یک عده که نباید بده به بهانه دفاع از کشور و نظام و این چیزا
چه اتفاقی میوفته ؟ این میشه که میبینید
دوست تو کسی هست که عیب تورو میگه ... دوست تو خبرنگار خط سفید حروم لقمه کچل نیست اشاره خاصی نمیکنیم از اول هم ما با این تخم سگ مشکل داشتیم.
🔥3🤣2
Forwarded from امنیت سایبری | Cyber Security
اختلال ۴ بانک رفع شد
مدیر روابط عمومی شرکت خدمات انفورماتیک:
- با پیگیریهای انجام شده و تلاش گروه فنی، در حال حاضر، خدمات پایه مبتنی بر کارت هر چهار بانک، شامل خرید، انتقال وجه و ماندهگیری فعال شد و به حالت عادی برگشت.
- همچنین سقف انتقال پایا در داخل شعبه به میزان ۲۰ میلیارد ریال افزایش یافت و علاوه بر آن، سقف تراکنشهای روزانه انتقال کارتی از مبدا این بانکها تا یک میلیارد و ۵۰۰ میلیون ریال تعیین شده که مشتریان میتوانند این انتقال را طی یک روز در ۱۰ تراکنش ۱۵۰ میلیون ریالی انجام دهند.
✅ @IntSec
مدیر روابط عمومی شرکت خدمات انفورماتیک:
- با پیگیریهای انجام شده و تلاش گروه فنی، در حال حاضر، خدمات پایه مبتنی بر کارت هر چهار بانک، شامل خرید، انتقال وجه و ماندهگیری فعال شد و به حالت عادی برگشت.
- همچنین سقف انتقال پایا در داخل شعبه به میزان ۲۰ میلیارد ریال افزایش یافت و علاوه بر آن، سقف تراکنشهای روزانه انتقال کارتی از مبدا این بانکها تا یک میلیارد و ۵۰۰ میلیون ریال تعیین شده که مشتریان میتوانند این انتقال را طی یک روز در ۱۰ تراکنش ۱۵۰ میلیون ریالی انجام دهند.
Please open Telegram to view this post
VIEW IN TELEGRAM
👎2