security98 | امنیت 98
532 subscribers
92 photos
2 videos
2 files
90 links
🌐 وب سایت :

https://security98.com

بسته های آموزشی تست نفوذ و جرم شناسی SANS

معرفی پروژه جهت ورود کاربران به بازار کار پر
درآمد تست نفوذ

جهت همکاری در فروش و کسب درآمد به پشتیبانی پیام بدین

🔹پشتیبانی : @secure98_support1
Download Telegram
🛑جریمه 90 هزار یورویی ابر شرکت آمریکایی به دلیل ارسال ایمیل های اسپم

دفتر کمیساری اطلاعات انگلستان، شرکت آمریکایی امریکن اکسپرس را به دلیل ارسال بیش از 4 میلیون هرزنامه الکترونیکی به مشتریان خود در طول یک سال، محکوم به پرداخت جریمه کرد.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
This media is not supported in your browser
VIEW IN TELEGRAM
یه ترفند عجیب برای دیدن پشت نوار سیاه

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
به زودی امکان انتقال تاریخچه گفتگو در واتس اپ فراهم می‌شود

یکی از مشکلاتی که برخی کاربران در WhatsApp با آن مواجه هستند، عدم انتقال تاریخچه گفتگو است. قرار است، به زودی امکان انتقال تاریخچه گفتگو در واتس اپ فراهم شود. همگام سازی تاریخچه چت‌ها در WhatsApp کاربر را بسیار محدود می‌کند چرا که به جای یک اکانت، تنها از یک شماره تلفن پشتیبانی می‌کند.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
قطع مکرر برق اپراتورها را در ارائه سرویس‌دهی با مشکل مواجه کرد

اپراتورها می‌گویند تکرار قطع برق در بازه‌های زمانی کوتاه، سرویس‌دهی را مختل می‌کند و به تجهیزات‌شان نیز آسیب می‌زند.

قطع برق در روزهای اخیر باعث عدم دسترسی به اینترنت تلفن همراه و اختلال در آنتن‌دهی شبکه شده است. از آنجا که باتری اضطراری سایت‌های BTS اپراتورها تنها برای چند ساعت محدود شارژ دارد و قطع برق به‌صورت مکرر و در فواصل زمانی کوتاه رخ داده، امکان شارژ مجدد آن‌ها فراهم نشده است.

روز گذشته مدیر روابط عمومی وزارت ارتباطات، خبر از خاموشی بیش از 2000 دکل مخابراتی دراثر قطع برق داد.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
شما چه سرویس یا برندی میشناسید که بر خلاف آنچه به نظر می‌رسد سال‌های زیادی از تولدش نمی‌گذرد؟

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
یک باگ امنیتی در سایت‌های وردپرس وجود دارد که باعث نشت اطلاعات حساس می‌شود.


افزونه WP Statistics که در بیش از 600 هزار وب‌سایت وردپرس نصب‌شده است، دارای یک آسیب‌پذیری امنیتی تزریق SQL است که می‌تواند به بازدیدکنندگان سایت اجازه دهد به انواع اطلاعات حساس پایگاه‌های وب، ازجمله ایمیل‌ها، داده‌های کارت اعتباری، رمزهای عبور و غیره دسترسی داشته باشند

درحالی‌که بخش صفحات فقط برای مدیران در نظر گرفته‌ شده بود و اطلاعاتی را برای کاربران غیر مدیر نمایش نمی‌داد اما می‌توان با ارسال درخواست به wp-admin / admin.php بارگذاری سازنده این صفحه را با پارامتر صفحه تنظیم‌شده به wps_pages_page شروع کرد. ازآنجاکه درخواست SQL در قسمت صفحات Pages اجرا می‌شود، این بدان معنی است که هر فرد بازدیدکننده سایت حتی افراد لاگین نکرده می‌توانند باعث اجرای این درخواست SQL شوند. درنتیجه یک هکر می‌تواند مقادیر مخربی را در قسمت‌های شناسه یا نوع به دست آورد.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
بایدن به قربانیان حمله هکری سولار ویندز ۷۵۰ میلیون دلار اختصاص می دهد

جوبایدن رئیس جمهور آمریکا پیشنهاد کرده بودجه‌ای ۷۵۰ میلیون دلاری به سازمان‌های دولتی تخصیص یابد که قربانی حمله هکری سولار ویندز شده‌اند تا به این ترتیب آنها اقداماتی برای ارتقای امنیت سایبری و جلوگیری از حملات مشابه انجام دهند.

علاوه بر بودجه گفته شده مبلغ ۵۰۰ میلیون دلار نیز جهت امنیت سایبری فدرال در نظر گرفته شده است. در حال حاضر دولت آمریکا مشغول احیای سیستم‌های خود پس از حمله سایبری به ۹ سازمان خود از جمله وزارت امورخارجه و خزانه داری است.

طی این حمله سایبری که دسامبر ۲۰۲۰ میلادی آشکار شد، هکرها با سواستفاده از شکافی در محصولات شرکت سولار ویندز به هزاران شرکت و سازمان دولتی دسترسی یافتند.

از سوی دیگر طی روزهای گذشته مایکروسافت هشدار داد هکرهای سولارویندز اکنون گروه جدیدی از سازمان‌های دولتی، اندیشکده ها و سازمان‌های غیردولتی را هدف گرفته‌اند.

ایالات متحده آمریکا و انگلیس سازمان اطلاعات روسیه را مقصر حمله سایبری سولار ویندز می‌دانند.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
انتشار اطلاعات کاربران شرکت Mobikwik در دارک وب

یک محقق امنیتی مدعی شد پایگاه داده‌ 8.2 ترابایتی از داده‌های میلیون‌ها کاربر شرکت پرداخت دیجیتال و ارائه‌دهنده خدمات مالی موبی ویک هند (Mobikwik) را در وب تاریک شناسایی کرده است.

پایگاه داده شامل نام، شماره تلفن، آدرس ایمیل، آدرس محل سکونت، داده‌های GPS، پسوردهای هش شده، لیست برنامه‌های نصب‌شده، گزارش تراکنش‌ها، شماره‌حساب‌های بانکی و بخش‌هایی از شماره کارت‌های پرداخت 40،000،000 کاربر بوده است. فروشنده، پایگاه داده را 1.2 بیت کوین (حدودا معادل 70،000 دلار) قیمت‌گذاری کرده است.

پایگاه داده مشتمل بر داده‌های KYC بیش از 3 میلیون کاربر و کپی کارت‌های اطلاعاتی بوده که از سوی آژانس احراز هویت ویژه هند (UIDAI) به شهروندان کشور تعلق می‌گیرد.

کاربری که داده‌ها را به فروش گذاشته یک پورتال جستجو راه‌اندازی کرده تا کاربران از طریق آن از لو رفتن یا نرفتن اطلاعاتشان با خبر شوند.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
حملات سایبری به کشتی های آمریکا

شرکت خدمات مسافرت دریایی ماساچوست که خود را بزرگترین شرکت ارائه‌دهنده خدمات روزانه تفریحی-باری معرفی می‌کنداعلام کرد حمله سایبری موجب اختلال و تاخیر در کار آن‌ها شده است.

این جدیدترین حمله سایبری به زیرساخت‌های آمریکا است که ارائه خدمات لوجستیکی در این کشور را تحت تأثیر قرار داده است.

حملات باج‌افزاری از ویروس‌هایی استفاده می‌کنند که اسناد موجود در یک دستگاه یا شبکه را رمزگردانی کرده و فعالیت آن را مختل می‌کنند. عاملان این نوع حملات سایبری سپس اقدام به باج‌خواهی در ازای ارائه داده‌ها می‌کنند.

این شرکت در توییتر اعلام کرد که در نتیجه حملات سایبری مشتریانی که امروز با ما سفر می کنند ممکن است با تأخیر مواجه شوند، در حال حاضر تیمی از متخصصان فناوری اطلاعات در حال ارزیابی تأثیر حمله هستند و با تکمیل ارزیابی اولیه اطلاعات بیشتری را در اختیار شما قرار می دهند.

همچنین این شرکت از مسافران خواست به جای استفاده از کارت های اعتباری برای پرداخت های مربوط به این سفر از پول نقد استفاده کنند.


📌دوره های آموزشی تست نفوذ و امنیت

🔹https://security98.com
هک یکی دیگر از شرکت‌های توزیع سوخت در آمریکا به نام لاین استار

یک گروه هکری که خود را Xing Team معرفی کرده ماه گذشته مجموعه‌ای از پرونده‌های به سرقت رفته از شرکت لاین استار LineStar (یک شرکت مستقر در هوستون که به مشتریان خط لوله خدمات حسابرسی، انطباق، نگهداری و فناوری ارائه می‌دهد) را در سایت خود در فضای وب تاریک منتشر کرده است.

این داده‌ها که برای اولین بار توسط گروه DDoSecrets به‌صورت آنلاین شناسایی شد، شامل 73،500 ایمیل، پرونده‌های حسابداری، قراردادها و سایر اسناد تجاری، حدود 19 گیگابایت کد نرم‌افزار و داده‌ها و 10 گیگابایت پرونده منابع انسانی بود که شامل اسکن گواهینامه رانندگی کارمندان و کارت‌های تأمین اجتماعی آن‌ها می‌شد.


📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
روسیه فیس بوک و تلگرام را جریمه کرد

مقامات روسیه به دلیل عدم حذف محتوای ممنوع به فیس بوک و تلگرام دستور دادند جریمه‌ای کلان بپردازند.

به طور دقیق‌تر دادگاهی در مسکو جریمه‌ای ١٧ میلیون روبلی (معادل ۲۳۶ هزار دلار) برای فیس بوک و ١٠ میلیون روبلی (معادل ١٣٩ هزار دلار) برای تلگرام تعیین کرد. البته هنوز مشخص نیست این دو شبکه اجتماعی چه نوع محتوای ممنوعی را از پلتفرم هایشان حذف نکرده‌اند.

این دومین بار در این اواخر است که روسیه این دو شرکت را جریمه می‌کند. در ۲۵ می به فیس بوک دستور داده شد به دلیل عدم حذف محتوای غیرقانونی به پرداخت جریمه‌ای ۲۶ میلیون روبلی بپردازد. یک ماه قبل نیز تلگرام به دلیل عدم حذف محتوای تشویق به تظاهرات در این کشور به پرداخت جریمه‌ای ۵ میلیون روبلی محکوم شد.

این در حالی است که سازمان ناظر بر ارتباطات روسیه سعی دارد شبکه‌های اجتماعی و شرکت‌های فناوری را به پیروی از قوانین کشور وادار کند. در همین راستا پهنای باند توئیتر نیز به دلیل عدم حذف محتوای غیرقانونی محدود شد.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
هفته پیش بیلدی از ویندوز ۱۱ در سطح اینترنت منتشر شد تا کاربران بالاخره بتوانند نسخه بعدی سیستم عامل مایکروسافت را امتحان کنند. حالا یکی از شعب مایکروسافت به خاطر نقض کپی رایت درخواست حذف سایتی را به گوگل ارائه کرده که لینک دانلود این بیلد را فراهم کرده بود. با این کار به نظر می‌رسد که بیلد موجود از ویندوز ۱۱ واقعی و درست بوده است.

با وجود اینکه خیلی‌ها بیلد لو رفته از ویندوز ۱۱ را نصب و آن را امتحان کردند، ولی هنوز عده‌ای معتقد بودند که این بیلد تقلبی یا نادرست است.

این درخواست از گوگل می‌خواهد که صفحه دانلود وب‌سایت هندی Beebom را از نتایج حذف کند. در بخش علت این درخواست ذکر شده که وب‌سایت Beebom در حال توزیع نسخه‌ای از ویندوز ۱۱ (کپی رایت‌شده توسط مایکروسافت) است. این بیلد در واقع نسخه‌ای انتشارنیافته از ویندوز ۱۱ به حساب می‌آید. با این حساب، مایکروسافت تایید کرده که بیلد افشایی نسخه‌ای واقعی از ویندوز ۱۱ است.

گوگل با اجابت درخواست مایکروسافت این صفحه را از نتایج جستجوی خود حذف کرده است.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
آژیر خطر برای حداقل 30 میلیون دستگاه دِل در دنیا

شرکت امنیتی Eclypsium مدعی است که 4 باگ امنیتی ( با نمره شدت 8.4 از 10) توانسته اند 129 مدل از کامپیوترهای شرکت دِل را تحت الشعاع قرار دهند.

این آسیب پذیری ها، امکان اجرای از راه دور کد دلخواه در محیط Pre-boot را برای مهاجمین مهیا می کنند. این نوع کدها می توانند حالت اولیه سیستم عملکردی را تغییر دهند و کنترل های امنیتی سطح سیستم عملکردی را بشکنند.

این آسیب پذیری ها قابلیت BIOSConnect را تحت تاثیر می دهد. ( BIOS به صورت پیش فرض در لپ تاپ ها و کامپیوتر های شرکت دِل تعبیه شده است.) قابلیت مذکور، امکان به روز رسانی فریمور و ریکاوری از راه دور سیستم را به کاربران می دهد.

در سناریوی این حمله، مهاجمین بایستی مسیر ترافیک قربانی را تغییر دهند. به خطر افتادن BIOS دستگاه، این امکان را به مهاجم می دهد تا کنترل دستگاه را تا حد زیادی در دست بگیرد.

مهاجم زین پس خواهد توانست کنترل لود شدن سیستم عامل را به دست بگیرد و با هدف پنهان ماندن، قابلیت های محافظتی دستگاه را غیرفعال کند.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
سیستم آموزشی آمریکا دوباره مغلوب هکرها شد

در جدیدترین مورد حملات سایبری در آمریکا، دانشگاه وایومینگ شرقی Eastern Wyoming College هم هدف حمله سایبری قرار گرفت.

به گفته کارکنان این دانشگاه این حمله سایبری سه‌شنبه هفته گذشته رخ داد و موجب خاموشی شبکه دانشگاه شد. رایانه‌ها، ایمیل‌ها، ابزارهای ارتباطی و تلفن‌های کارکنان این دانشگاه تحت تأثیر این حمله قرارگرفته‌اند.

دانشجویان این دانشگاه برای ادامه روند آموزشی مجبورند به دانشگاه مراجعه کرده و در این دوران همه‌گیری کرونا به‌صورت رودررو با اساتید خود ملاقات کنند یا با شماره اصلی دانشگاه تماس بگیرند. کارکنان این دانشگاه نیز دربه‌در دنبال یک راه چاره می‌گردند.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
گوشی هوشمند FBI؛ دلیل دستگیری بیش از 100 خلافکار

پلیس FBI یک شرکت واقعی ایجاد کرد که تلفن‌های هوشمند اندرویدی فوق‌العاده ایمن را به کسانی که حریم خصوصی برایشان مهم است می‌فروخت؛ البته این افراد بیشتر مجرمان بودند.

در این تلفن‌ها اپلیکیشنی به نام آنوم (Anom) وجود داشت که از ویژگی‌های اصلی «شرکت» FBI تلقی می‌شد. درواقع آنوم اپ پیام‌رسانی مخفی بود که FBI آن را به‌عنوان محیطی امن و خصوصی برای کاربران خود معرفی می‌کرد. البته جنایتکارانی که این گوشی‌های هوشمند را خریداری کرده بودند از آنوم برای هماهنگی فعالیت‌های جنایی خود استفاده می‌کردند. مسئله اصلی این بود که آنوم اپلیکیشنی خصوصی نبود و FBI به تک‌تک کلمات ردوبدل شده در آن دسترسی داشت.

در ادامه پس از به دست آوردن شواهد بسیار زیاد، صدها خلاف‌کار دستگیر شدند. اقدام اخیر FBI اکنون به‌عنوان یکی از موفق‌ترین عملیات چند سال اخیر تبدیل شده است.


📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
مایکروسافت در دو سال 13.6 میلیون دلار به محققان امنیتی پرداخت کرده است

از اول جولای ۲۰۲۰ (۱۱ تیر ۹۹) تا ۳۰ ژوئن ۲۰۲۱‌ (۹ تیر ۱۴۰۰)، مایکروسافت به محققانی که آسیب‌پذیری‌های امنیتی را در نرم‌افزارها و محصولات این شرکت کشف کردند، مبلغ ۱۳٫۶ میلیون دلار پرداخت کرده است. بزرگ‌ترین پاداش پرداخت‌شده تنها به یک گزارش باگ (از مجموع ۱۲۶۱ گزارش واجد شرایط) ۲۰۰ هزار دلار و تحت برنامه Hyper-V Bounty بود.

اگر بتوانید باگی در ایکس باکس لایو پیدا کنید، مایکروسافت به‌عنوان پاداش به شما تا ۲۰ هزار دلار پرداخت خواهد کرد. البته اگر جزو کارمندان مایکروسافت باشید و تصمیم بگیرید باگ کشف‌شده را گزارش ندهید، ممکن است بتوانید مثل والدمیر کاواشاک از طریق گیفت کارت ایکس باکس تا ۱۰ میلیون دلار به جیب بزنید!

اگر قصد دارید به جمع این محققان باگ بپیوندید و از دست‌ودلبازی مایکروسافت بهره‌مند شوید، می‌توانید به صفحه Bug Bounty این شرکت مراجعه و گزارش آسیب‌های امنیتی کشف‌شده را در آن ثبت کنید.

📌دوره های آموزشی تست نفوذ و امنیت
📌وب سایت امنیت 98

https://security98.com
حمله باج‌افزاری به خزانه‌داری ملی برزیل

دولت برزیل با انتشار بیانیه‌ای اعلام کرد که خزانه‌داری ملی این کشور مورد حمله باج‌افزاری قرار گرفته است.

براساس بیانیه وزارت اقتصاد برزیل، اقدامات اولیه برای مهار تأثیر حمله سایبری بلافاصله انجام شده است؛ اولین ارزیابی‌ها تاکنون نشان می‌دهند که هیچ گونه آسیبی به سیستم‌های ساختاردهی خزانه‌داری ملی مانند پلتفرم‌های مربوط به مدیریت بدهی عمومی وارد نشده است.

تأثیرات حمله باج‌افزاری به‌وسیله متخصصان امنیتی خزانه‌داری ملی و دبیرخانه دولت دیجیتال (DGS) برزیل مورد تجزیه و تحلیل قرار گرفته و به پلیس فدرال نیز اطلاع داده شده است. این وزارتخانه ادعا کرد که اطلاعات جدید درباره حادثه سایبری به موقع و با شفافیت مناسب افشا خواهد شد.

طبق بیانیه دیگر منتشر شده با بورس اوراق بهادار برزیل، این حمله به هیچ وجه بر عملیات تسورو دیرِتو (Tesouro Direto)، برنامه‌ای که خرید سهام دولتی برزیل از سوی افراد را امکان‌پذیر می‌کند، تأثیر نگذاشته است.

این حادثه باج‌افزاری در خزانه داری ملی برزیل به دنبال حمله سایبری بزرگی است که در ماه نوامبر سال گذشته علیه دادگاه عالی انتخاباتی این کشور رخ داد.
جایزه 5 میلیون تومانی برای نوشتن یک اسکریپت پایتون

"یک برنامه بنویسید که متن یک کامنت را از کاربر به عنوان ورودی دریافت کرده و در بخش نظرات وب سایت امنیت 98 درج کند."

بخش نظرات در قسمت پایین توضیحات هر محصول وجود دارد.

برای نمونه در لینک زیر به بخش پایین بروید :

https://security98.com/packages/sans542

📌زبان برنامه نویسی : پایتون

📌ماژول های مجاز : urllib و requests (از هیچ «ماژول» ، «کلاس» و «تابع» آماده دیگری چه برای ارسال request ها و چه موارد دیگر نمی توانید استفاده کنید)

📌برنامه در محیط Command-Line باشد

📌 در هیچ بخشی از وب سایت امنیت 98 از کد کپچا استفاده نشده و این مورد کار شما را راحت تر خواهد کرد

از کجا بفهمیم سایت واقعا داده های کامنت را ارسال می کند؟

برای این منظور می توانید بخش های دیگر سایت مثل «جست و جو سایت» و موارد دیگر را بررسی کنید. بخش «جست و جو» بصورت لایو با توجه به داده های ارسالی شما در request، اطلاعاتی را از دیتابیس استخراج کرده و در response ارسال می کند.

اگر در ارسال data ها شک و تردید دارید حتما ویدیو زیر را مشاهده کنید (این ویدیو‌ شما را راهنمایی خواهد کرد) :

https://aparat.com/v/2tbzw


نمونه کد پایتون برای ارسال کامنت (سایت امنیت 98) در لینک زیر هست، این اسکریپت را بررسی کنید :

https://www.onlinegdb.com/HyG8pUUzd

اسکریپت خود را بعد از نوشتن برای پشتیبانی امنیت 98 ارسال کنید :

@secure98_support1

📌شما می توانید از دیگر افراد کمک بگیرید ولی در این مورد راهنمایی از طرف ما انجام نمی شود.

@secure98 - امنیت 98