این سایت ها وایت لیست شدن چک کنید.
پیپ تست زدم نیم ساعت پیش کار کرد، صحت بقیه اطلاع ندارم
https://react.dev
http://ubuntu.com
http://Python.org
https://vercel.com/
https://nextjs.org/
https://sourceforge.net/
https://letsencrypt.org/
پیپ تست زدم نیم ساعت پیش کار کرد، صحت بقیه اطلاع ندارم
https://react.dev
http://ubuntu.com
http://Python.org
https://vercel.com/
https://nextjs.org/
https://sourceforge.net/
https://letsencrypt.org/
react.dev
React is the library for web and native user interfaces. Build user interfaces out of individual pieces called components written in JavaScript. React is designed to let you seamlessly combine components written by independent people, teams, and organizations.
👍6❤2👎1
سایت Lets encrypt داخل مرورگر باز میشه، اما امکان تمدید ssl با certbot همچنان مقدور نیست و ارور connection برمیگردونه
❤1👍1
مشخص نیست اختلال هست یا مرحله مرحله قراره حالت عادی برگردیم
آپدیت: اختلال بود و رفع شده
👍4👎1
گیت هاب در دسترس قرار گرفته
اما امکان دانلود Release پروژه ها بدون VPN ندارید.
اما امکان دانلود Release پروژه ها بدون VPN ندارید.
🐳7🤔5🌚3👨💻3👎1👏1🎃1
Forwarded from NetBlocks
📈 Confirmed: Live metrics show a partial restoration to internet connectivity in #Iran on day 88, after 2093 hours of near-total isolation from international networks, the longest nationwide internet shutdown in modern history. It is unclear if the restoration will be sustained.
❤1
💢 پایان بزرگترین خاموشی دیجیتال برای ایرانیان لبخندی تلخ پس از ۸۸ روز تاریکی
➖➖➖➖➖
در واپسین روزهای آن ۸۸ روزِ طاقتفرسا، نفسِ جمعیِ جامعه را میشد در قالبِ اضطرابی خام و پنهان دید، ترس از قطع ارتباط، حس بیاطمینانیِ کسبوکارها و خشمِ فروخوردهای که بهجای گفتگو به بازارِ راهحلهای فردی و پرهزینه سوق داده شد. این پایان، بیش از یک بازگشت تکنیکی به اتصال، فرصتی است برای التیامِ جمعی برای تبدیلِ خشمِ پراکنده به مطالبهای مدنی برای شفافیت و دسترسیِ برابر شهروندان .
در نهایت کاربران ایرانی از طولانیترین تاریکی دیجیتال بیرون آمدند، انتظار به پایان رسید و اکنون با همان فیلترشکن های فعال، تجربهای از اتصال هرچند نه کاملاً آزاد در دسترس است.
نیازی به صرف هزینههای هنگفت برای کانفیگهای اختصاصی نیست؛ امروز راههای معقول تر و مقرون به صرفهتری برای بازیابی دسترسی وجود دارد و خرید بستههای قیمتبر دیگر شرط لازمِ آنلاینشدن نیست ( نیاز به خرید کانفیگ های میلیونی نیست ).
اگرچه نباید ساده انگاشت که خرید سرویسهای پولی یا کانفیگها بیمعناست؛ اما تجربه نشان داد که اتکا به راهحلهای انفرادی و پرهزینه نمیتواند جایگزین تلاش جمعی و فشار عمومی برای بازگرداندن دسترسی عمومی شود. کسانی که از فروش کانفیگ سود میبرند ممکن است از تعجیل در بازگردانی کامل سرویسها منفعت نبرند؛ بنابراین هوشیاری عمومی و مطالبهٔ شفافیت از مسئولان ضروری است.
لبخند، پس از ۸۸ روز خاموشی تلخ است؛ آن روزها خاطرهای از ناامنی، اضطراب و قطعصلح اقتصادی برجای گذاشت که نمیتوان بیتفاوت از کنارش گذشت. من شخصاً در آن دوره سراغ خرید کانفیگ نرفتم؛ معتقدم در شرایطی که دسترسی عمومی مختل است، اولویت باید بازگرداندن سرویس برای همه باشد نه راهحلهای فردی. در عین حال امیدوارم توسعهدهندگان ابزارهایی خلق کنند که ترافیکشان کمتر قابلشناسایی و مقاومتشان در برابر اختلال و قطعی بیشتر باشد.
این ۸۸ روز، در کنار تلخی ها، درسهای مهمی آورد:
آسیبپذیری زیرساختها آشکار شد، کسبوکارهای کوچک و فروشگاههای آنلاین متحمل زیان شدند، پروژهها به تعویق افتاد و فرصتهای اقتصادی از دست رفت.
اضطراب ناشی از قطع ارتباط، احساس بیاطمینانی صاحبان کسبوکار، و فشار روانی کاربرانی که برای حفظ ارتباط به گزینههای پرهزینه روی آوردند همه اینها تصویر روشنی از هزینههای پنهان چنین رخدادهایی ارائه میدهد و به مخاطب یادآوری میکند که راهحلهای جمعی و شفافیت سیستماتیک، تنها راه جلوگیری از تکرار آن است.
کاش روزی برسد که «فیلترینگ» و «کانفیگ» تنها واژههایی تاریخی باشند و دسترسی امن و پایدار به اینترنت، حقی بدیهی برای همه است.
با احترام
کاوه - تیم TryHackBox
#اینترنت
➖➖➖➖➖
در واپسین روزهای آن ۸۸ روزِ طاقتفرسا، نفسِ جمعیِ جامعه را میشد در قالبِ اضطرابی خام و پنهان دید، ترس از قطع ارتباط، حس بیاطمینانیِ کسبوکارها و خشمِ فروخوردهای که بهجای گفتگو به بازارِ راهحلهای فردی و پرهزینه سوق داده شد. این پایان، بیش از یک بازگشت تکنیکی به اتصال، فرصتی است برای التیامِ جمعی برای تبدیلِ خشمِ پراکنده به مطالبهای مدنی برای شفافیت و دسترسیِ برابر شهروندان .
در نهایت کاربران ایرانی از طولانیترین تاریکی دیجیتال بیرون آمدند، انتظار به پایان رسید و اکنون با همان فیلترشکن های فعال، تجربهای از اتصال هرچند نه کاملاً آزاد در دسترس است.
نیازی به صرف هزینههای هنگفت برای کانفیگهای اختصاصی نیست؛ امروز راههای معقول تر و مقرون به صرفهتری برای بازیابی دسترسی وجود دارد و خرید بستههای قیمتبر دیگر شرط لازمِ آنلاینشدن نیست ( نیاز به خرید کانفیگ های میلیونی نیست ).
اگرچه نباید ساده انگاشت که خرید سرویسهای پولی یا کانفیگها بیمعناست؛ اما تجربه نشان داد که اتکا به راهحلهای انفرادی و پرهزینه نمیتواند جایگزین تلاش جمعی و فشار عمومی برای بازگرداندن دسترسی عمومی شود. کسانی که از فروش کانفیگ سود میبرند ممکن است از تعجیل در بازگردانی کامل سرویسها منفعت نبرند؛ بنابراین هوشیاری عمومی و مطالبهٔ شفافیت از مسئولان ضروری است.
لبخند، پس از ۸۸ روز خاموشی تلخ است؛ آن روزها خاطرهای از ناامنی، اضطراب و قطعصلح اقتصادی برجای گذاشت که نمیتوان بیتفاوت از کنارش گذشت. من شخصاً در آن دوره سراغ خرید کانفیگ نرفتم؛ معتقدم در شرایطی که دسترسی عمومی مختل است، اولویت باید بازگرداندن سرویس برای همه باشد نه راهحلهای فردی. در عین حال امیدوارم توسعهدهندگان ابزارهایی خلق کنند که ترافیکشان کمتر قابلشناسایی و مقاومتشان در برابر اختلال و قطعی بیشتر باشد.
این ۸۸ روز، در کنار تلخی ها، درسهای مهمی آورد:
آسیبپذیری زیرساختها آشکار شد، کسبوکارهای کوچک و فروشگاههای آنلاین متحمل زیان شدند، پروژهها به تعویق افتاد و فرصتهای اقتصادی از دست رفت.
اضطراب ناشی از قطع ارتباط، احساس بیاطمینانی صاحبان کسبوکار، و فشار روانی کاربرانی که برای حفظ ارتباط به گزینههای پرهزینه روی آوردند همه اینها تصویر روشنی از هزینههای پنهان چنین رخدادهایی ارائه میدهد و به مخاطب یادآوری میکند که راهحلهای جمعی و شفافیت سیستماتیک، تنها راه جلوگیری از تکرار آن است.
کاش روزی برسد که «فیلترینگ» و «کانفیگ» تنها واژههایی تاریخی باشند و دسترسی امن و پایدار به اینترنت، حقی بدیهی برای همه است.
⭕ با توجه به ۸۸ روز قطعی اینترنت و عدم دسترسی به منابع آنلاین، خطرات و آسیبپذیریهای متعددی برای سازمانها و نهادهای دولتی به وجود آمده است. این مدت زمان طولانی، فرصتی را برای هکرها فراهم کرده تا با اهداف غیرقانونی خود به اطلاعات حساس دسترسی پیدا کنند و آسیبپذیری های موجود را شناسایی کنند.
با بازگشت اینترنت، احتمال حملات سایبری افزایش یافته و سازمان ها باید به شدت مراقب باشند. این حملات میتوانند شامل نفوذ به سیستم ها از طریق تکنیک های فیشینگ، بدافزارها و حملات DDoS باشند که هدف آن ها مختل کردن زیرساختهای حیاتی و سرقت اطلاعات حساس است.
به علاوه، با توجه به اینکه بسیاری از کارمندان در این مدت از راه دور کار کردهاند، احتمال بروز مشکلات امنیتی ناشی از استفاده از شبکههای ناامن و عدم رعایت پروتکل های امنیتی نیز افزایش یافته است. بنابراین، ضروری است که سازمانها و نهادهای دولتی اقدامات امنیتی خود را تقویت کرده و بر روی آموزش کارکنان در زمینه امنیت سایبری تمرکز کنند تا از هرگونه تهدید احتمالی جلوگیری شود.
با احترام
کاوه - تیم TryHackBox
#اینترنت
❤6👍3🌚2
📖 وایرشارک برای ردتیمرها: از پایه تا پیشرفته
📚 عنوان کتاب: وایرشارک برای ردتیمرها (Wireshark for Red Teamers)
این کتاب یک راهنمای جامع و عملی برای یادگیری ابزار قدرتمند Wireshark است، با تمرکز ویژه روی کاربردهای آن در حوزه Red Teaming (تیم قرمز) و امنیت سایبری تهاجمی. کتاب از پایه شروع می کند و به مفاهیم پیشرفته مانند تحلیل ترافیک شبکه، شناسایی آسیبپذیریها، و تکنیکهای نفوذ می پردازد. محتوای اصلی کتاب شامل فصلهایی مانند معرفی Wireshark، درک ترافیک شبکه، تکنیکهای کپچرینگ پکتها، فیلترینگ، و کاربردهای عملی در Reconnaissance (شناسایی) و Command and Control (C2) است.
این کتاب مناسب چه کسانی است؟
ویژگی های کتاب ؟
چرا باید این کتاب را بخرید؟
دانلود فایل های تمرین و سناریوها
نمونه کتاب
توضیحات کامل را بخوانید .
💰قیمت : ۲۵۰,۰۰۰
💰 تخفیف : ۲۰۰,۰۰۰ تومان
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
📚 عنوان کتاب: وایرشارک برای ردتیمرها (Wireshark for Red Teamers)
این کتاب یک راهنمای جامع و عملی برای یادگیری ابزار قدرتمند Wireshark است، با تمرکز ویژه روی کاربردهای آن در حوزه Red Teaming (تیم قرمز) و امنیت سایبری تهاجمی. کتاب از پایه شروع می کند و به مفاهیم پیشرفته مانند تحلیل ترافیک شبکه، شناسایی آسیبپذیریها، و تکنیکهای نفوذ می پردازد. محتوای اصلی کتاب شامل فصلهایی مانند معرفی Wireshark، درک ترافیک شبکه، تکنیکهای کپچرینگ پکتها، فیلترینگ، و کاربردهای عملی در Reconnaissance (شناسایی) و Command and Control (C2) است.
این کتاب مناسب چه کسانی است؟
ویژگی های کتاب ؟
چرا باید این کتاب را بخرید؟
دانلود فایل های تمرین و سناریوها
نمونه کتاب
توضیحات کامل را بخوانید .
💰
💰 تخفیف : ۲۰۰,۰۰۰ تومان
📌 جهت خرید و کسب اطلاعات بیشتر، به ایدی زیر پیام دهید:
@THBxSupport
❤3
فکر میکنید، xss نمی تواند در اندپوینت .html فعال شود؟
کاملاً ممکن است!
تصویر را ببینید و در بخش نظرات به من بگویید چه کسی میتواند آن را به خوبی توضیح دهد...
@TryHackBox
#باگ_بانتی #xss
کاملاً ممکن است!
تصویر را ببینید و در بخش نظرات به من بگویید چه کسی میتواند آن را به خوبی توضیح دهد...
@TryHackBox
#باگ_بانتی #xss
دعوت به همکاری در تدریس دورههای ردتیم
درود
ما به دنبال یک فرد با تجربه در زمینه ردتیم و اوسینت هستیم تا در تدریس دورههای آموزشی به ما کمک کند. اگر در این حوزه تخصص دارید و مایل به همکاری هستید، لطفاً با ما تماس بگیرید.
تمام مطالب آموزشی از طرف ما ارائه میشود و شما فقط باید بر روی محتوای آن تسلط داشته باشید.
اگر علاقهمندید، پیام دهید به:
@THBxSupport
منتظر شما هستیم .
درود
ما به دنبال یک فرد با تجربه در زمینه ردتیم و اوسینت هستیم تا در تدریس دورههای آموزشی به ما کمک کند. اگر در این حوزه تخصص دارید و مایل به همکاری هستید، لطفاً با ما تماس بگیرید.
تمام مطالب آموزشی از طرف ما ارائه میشود و شما فقط باید بر روی محتوای آن تسلط داشته باشید.
اگر علاقهمندید، پیام دهید به:
@THBxSupport
منتظر شما هستیم .
❤1🐳1
🔖 کجا می توان به صورت قانونی LLM را هک کرد: ۵ پلتفرم آنلاین و آزمایشگاههای محلی
تزریق پرامپت فقط یک ترفند برای «وادار کردن ربات به گفتن رمز عبور» نیست. در لیست ۱۰ تهدید برتر OWASP برای برنامههای LLM این مورد LLM01:2025 است، یعنی یک ریسک پایه برای برنامههای LLM.
در ادامه محیطهای قانونی CTF/آزمایشگاهی برای تمرین آمده است.
۱. HackAPrompt
پلتفرم رقابتی هک هوش مصنوعی: تزریق پرامپت، جیلبریک، پرومپت خصمانه، جدول امتیازات، مسیرها. در بخش پشتیبانی HackAPrompt بیش از ۱۰۰ هزار دلار جایزه اعلام شده است.
نکته منفی: قالب بیشتر مسابقهای/بازیوار است تا آزمایشگاه تست نفوذ سازمانی.
۲. Lakera Gandalf
کلاسیک برای استخراج اسرار و نشت پرامپت. هدف ساده است: وادار کردن Gandalf به افشای رمز عبور در هر سطح. سپس محافظتها سختتر میشوند و به سرعت مشخص میشود چرا یک پرامپت سیستمی مرز امنیتی نیست.
نکته منفی: بیشتر روی استخراج/نشت تمرکز دارد.
۳. PortSwigger Web Security Academy: حملات وب LLM
عملیترین گزینه اگر هدف باگ بانتی هوش مصنوعی یا تست نفوذ است. PortSwigger LLM را به عنوان بخشی از برنامه وب بررسی میکند: دسترسی به دادهها، API، فراخوانی ابزار/تابع، تزریق پرامپت غیرمستقیم، مدیریت ناامن خروجی.
نکته منفی: نیاز به زمینه امنیت وب و گاهی Burp Suite دارد. اما این بیشتر یک مزیت است اگر نمیخواهید امنیت هوش مصنوعی را به صورت جداگانه بررسی کنید.
۴. Tensor Trust
بازی حمله/دفاع: پرامپت خود را محافظت میکنید و سعی میکنید پرامپت دیگران را بشکنید. به عنوان یک محیط تحقیقاتی مفید است، اما ارسال ها ممکن است منتشر شوند، پس دادههای خصوصی را وارد نکنید.
۵. Prompt Airlines by Wiz
چلنچ (CTF) هوش مصنوعی درباره چتبات پشتیبانی مشتری یک شرکت هواپیمایی ساختگی. باید ربات را دستکاری کنید تا بلیط رایگان ساختگی بگیرید. شروع خوبی برای دور زدن منطق کسبوکار از طریق LLM است.
نکته منفی: یک سناریوی کسبوکار بدون زیرساخت عمیق.
آزمایشگاههای محلی
اصلی - AIGoat: محیط بازی متن باز برای تیم قرمز LLM که تزریق پرامپت، poisoning RAG، زنجیرههای جیلبریک و ۱۰ تهدید برتر OWASP LLM را پوشش میدهد.
مهم است که اشتباه نگیرید: چند نسخه مختلف با نام AIGoat وجود دارد:
➡️ AISecurityConsortium/AIGoat
⬅️ محیط کامل با آزمایشگاههای حمله، چالشهای CTF و دفاعهای پیشرفته.
➡️ orcasecurity-research/AIGoat
⬅️ زیرساخت هوش مصنوعی عمداً آسیبپذیر از Orca Security.
➡️ dhammon/ai-goat
⬅️ چالشهای CTF LLM آسیبپذیر محلی.
در زندگی واقعی LLM معمولاً به خودی خود خطرناک نیست، بلکه وقتی به API، دادهها و عملیات دسترسی دارد خطرناک میشود.
@TryHackBox
#هوش_مصنوعی #امنیت
تزریق پرامپت فقط یک ترفند برای «وادار کردن ربات به گفتن رمز عبور» نیست. در لیست ۱۰ تهدید برتر OWASP برای برنامههای LLM این مورد LLM01:2025 است، یعنی یک ریسک پایه برای برنامههای LLM.
در ادامه محیطهای قانونی CTF/آزمایشگاهی برای تمرین آمده است.
۱. HackAPrompt
پلتفرم رقابتی هک هوش مصنوعی: تزریق پرامپت، جیلبریک، پرومپت خصمانه، جدول امتیازات، مسیرها. در بخش پشتیبانی HackAPrompt بیش از ۱۰۰ هزار دلار جایزه اعلام شده است.
نکته منفی: قالب بیشتر مسابقهای/بازیوار است تا آزمایشگاه تست نفوذ سازمانی.
۲. Lakera Gandalf
کلاسیک برای استخراج اسرار و نشت پرامپت. هدف ساده است: وادار کردن Gandalf به افشای رمز عبور در هر سطح. سپس محافظتها سختتر میشوند و به سرعت مشخص میشود چرا یک پرامپت سیستمی مرز امنیتی نیست.
نکته منفی: بیشتر روی استخراج/نشت تمرکز دارد.
۳. PortSwigger Web Security Academy: حملات وب LLM
عملیترین گزینه اگر هدف باگ بانتی هوش مصنوعی یا تست نفوذ است. PortSwigger LLM را به عنوان بخشی از برنامه وب بررسی میکند: دسترسی به دادهها، API، فراخوانی ابزار/تابع، تزریق پرامپت غیرمستقیم، مدیریت ناامن خروجی.
نکته منفی: نیاز به زمینه امنیت وب و گاهی Burp Suite دارد. اما این بیشتر یک مزیت است اگر نمیخواهید امنیت هوش مصنوعی را به صورت جداگانه بررسی کنید.
۴. Tensor Trust
بازی حمله/دفاع: پرامپت خود را محافظت میکنید و سعی میکنید پرامپت دیگران را بشکنید. به عنوان یک محیط تحقیقاتی مفید است، اما ارسال ها ممکن است منتشر شوند، پس دادههای خصوصی را وارد نکنید.
۵. Prompt Airlines by Wiz
چلنچ (CTF) هوش مصنوعی درباره چتبات پشتیبانی مشتری یک شرکت هواپیمایی ساختگی. باید ربات را دستکاری کنید تا بلیط رایگان ساختگی بگیرید. شروع خوبی برای دور زدن منطق کسبوکار از طریق LLM است.
نکته منفی: یک سناریوی کسبوکار بدون زیرساخت عمیق.
آزمایشگاههای محلی
اصلی - AIGoat: محیط بازی متن باز برای تیم قرمز LLM که تزریق پرامپت، poisoning RAG، زنجیرههای جیلبریک و ۱۰ تهدید برتر OWASP LLM را پوشش میدهد.
مهم است که اشتباه نگیرید: چند نسخه مختلف با نام AIGoat وجود دارد:
➡️ AISecurityConsortium/AIGoat
⬅️ محیط کامل با آزمایشگاههای حمله، چالشهای CTF و دفاعهای پیشرفته.
➡️ orcasecurity-research/AIGoat
⬅️ زیرساخت هوش مصنوعی عمداً آسیبپذیر از Orca Security.
➡️ dhammon/ai-goat
⬅️ چالشهای CTF LLM آسیبپذیر محلی.
در زندگی واقعی LLM معمولاً به خودی خود خطرناک نیست، بلکه وقتی به API، دادهها و عملیات دسترسی دارد خطرناک میشود.
@TryHackBox
#هوش_مصنوعی #امنیت
GitHub
GitHub - dhammon/ai-goat: Learn AI security through a series of vulnerable LLM CTF challenges. No sign ups, no cloud fees, run…
Learn AI security through a series of vulnerable LLM CTF challenges. No sign ups, no cloud fees, run everything locally on your system. - dhammon/ai-goat
❤8🔥3👍1
📖 شکار عملی باگ بانتی : از Recon تا Bounty واقعی : متدولوژی و شناسایی و آسیب پذیری های دنیای واقعی
توضیحات کتاب
نمونه کتاب
💰 قیمت : ۳۶۰,۰۰۰ تومان
🔥 با تخفیف : ۳۱۰،۰۰۰ تومان
⚠️ مهلت تخفیف : ۲۲ خرداد
📌 جهت خرید به ایدی زیر پیام دهید:
@THBxSupport
این کتاب معرفی کامل و کاربردیای به دنیای «باگ بانتی» ارائه میدهد. این برنامه برای علاقهمندان به امنیت سایبری، پنتسترها، و توسعهدهندگانی طراحی شده که میخواهند کشف آسیب پذیری ها در برنامه های واقعی را بیاموزند؛ تمرکز آن بر مهارت های عملی، متدولوژی های تست مدرن، و اصول هک اخلاقی است.
توضیحات کتاب
نمونه کتاب
💰 قیمت : ۳۶۰,۰۰۰ تومان
🔥 با تخفیف : ۳۱۰،۰۰۰ تومان
⚠️ مهلت تخفیف : ۲۲ خرداد
📌 جهت خرید به ایدی زیر پیام دهید:
@THBxSupport
👍7❤2👎1
دوستان عزیز
با توجه به وضعیت فعلی اینترنت، تصمیم داریم هرچه سریع تر سایت مجموعه را راهاندازی کنیم تا بتوانیم آموزشها و برنامه های خود را به طور منظم در آن قرار دهیم.
اگر شما علاقهمند به همکاری در این پروژه هستید و با DevOps آشنا هستید، لطفاً به ما پیام دهید. برای داوطلبان گرامی مزایایی در نظر گرفته خواهد شد.
برای کسب اطلاعات بیشتر و توضیحات تکمیلی، با ما در ارتباط باشید.
@ThbxSupport
با توجه به وضعیت فعلی اینترنت، تصمیم داریم هرچه سریع تر سایت مجموعه را راهاندازی کنیم تا بتوانیم آموزشها و برنامه های خود را به طور منظم در آن قرار دهیم.
اگر شما علاقهمند به همکاری در این پروژه هستید و با DevOps آشنا هستید، لطفاً به ما پیام دهید. برای داوطلبان گرامی مزایایی در نظر گرفته خواهد شد.
برای کسب اطلاعات بیشتر و توضیحات تکمیلی، با ما در ارتباط باشید.
@ThbxSupport
❤4
Understanding Sandbox Architectures @TryHackBox.pdf
996.7 KB
🔖 درک معماری های سندباکس ( ابری vs درون سازمانی {On-prem} )
📦 سندباکس چیست؟
سندباکس یک محیط اجرای کنترل شده است که فایل ها، آدرس های URL یا پروسس های مشکوک در آن «انفجار» (detonate) شده و مورد مشاهده قرار میگیرند.
نویسنده : کاوه میر
توییتر : https://www.x.com/kavehxnet
@TryHackBox
#سندباکس #سند_باکس #sandbox
📦 سندباکس چیست؟
سندباکس یک محیط اجرای کنترل شده است که فایل ها، آدرس های URL یا پروسس های مشکوک در آن «انفجار» (detonate) شده و مورد مشاهده قرار میگیرند.
انواع سند باکس
معماری معمول سندباکس
اثرانگشت های رفتاری سند باکس
اهداف تحلیل سند باکس
نقاط ضعف سند باکس های ابری
نقاط ضعف سند باکس های درون سازمانی
استراتژی های شناسایی سندباکس
نویسنده : کاوه میر
توییتر : https://www.x.com/kavehxnet
@TryHackBox
#سندباکس #سند_باکس #sandbox
❤8👍3
چه کسی برای تو چهرهای نمادین و مهم در امنیت سایبری جهانی است؟ به چه کسی الگو می دهی؟ دنبال چه کسی هستی، چه کسی را میخوانی؟ دوست داری شبیه چه کسی باشی؟ این فرد چه چیزی در تو الهام می بخشد؟
🤔3
Forwarded from TryHackBox Story
🔐 بخش اول: معرفی پروژه CVE Lite CLI از OWASP
اگر توسعهدهنده جاوااسکریپت هستید و از npm، pnpm یا Yarn استفاده میکنید، حتماً میدانید که وارد کردن پکیجهای شخص ثالث، ریسک امنیتی بزرگی به همراه دارد.
بسیاری از این پکیجها و وابستگیهای پنهان آنها، حاوی آسیبپذیریهای شناخته شدهاند، اما بیشتر توسعهدهندگان از وجود آنها بیخبرند.
🔧ابزار CVE Lite CLI یک ابزار خط فرمان سبک، رایگان و متنباز است که بهتازگی به عنوان پروژه انکوباتور OWASP پذیرفته شده.
این ابزار در عرض چند ثانیه، فایل قفل (lockfile) پروژه شما را اسکن میکند و دقیقاً نشان میدهد:
کدام پکیجها آسیبپذیری دارند
چه دستوری باید اجرا کنید تا جایگزین امن و بدون مشکل جایگزین شود
✅ برخلاف اسکنرهای سنتی که فقط یک لاگ بزرگ از خطاها نشان میدهند، CVE Lite CLI با الگوریتم اختصاصی خود، دستور دقیق جایگزینی را پیشنهاد میکند که برنامه شما را خراب نمیکند.
✅ در بخش بعدی: مقایسه با اسکنرهای CI/CD و مشکل فرسودگی ذهنی توسعهدهندگان.
✍️نویسنده
@TryHackBoxStory | The Chaos
اگر توسعهدهنده جاوااسکریپت هستید و از npm، pnpm یا Yarn استفاده میکنید، حتماً میدانید که وارد کردن پکیجهای شخص ثالث، ریسک امنیتی بزرگی به همراه دارد.
بسیاری از این پکیجها و وابستگیهای پنهان آنها، حاوی آسیبپذیریهای شناخته شدهاند، اما بیشتر توسعهدهندگان از وجود آنها بیخبرند.
🔧ابزار CVE Lite CLI یک ابزار خط فرمان سبک، رایگان و متنباز است که بهتازگی به عنوان پروژه انکوباتور OWASP پذیرفته شده.
این ابزار در عرض چند ثانیه، فایل قفل (lockfile) پروژه شما را اسکن میکند و دقیقاً نشان میدهد:
کدام پکیجها آسیبپذیری دارند
چه دستوری باید اجرا کنید تا جایگزین امن و بدون مشکل جایگزین شود
✅ برخلاف اسکنرهای سنتی که فقط یک لاگ بزرگ از خطاها نشان میدهند، CVE Lite CLI با الگوریتم اختصاصی خود، دستور دقیق جایگزینی را پیشنهاد میکند که برنامه شما را خراب نمیکند.
✅ در بخش بعدی: مقایسه با اسکنرهای CI/CD و مشکل فرسودگی ذهنی توسعهدهندگان.
✍️نویسنده
@TryHackBoxStory | The Chaos