سایت Lets encrypt داخل مرورگر باز میشه، اما امکان تمدید ssl با certbot همچنان مقدور نیست و ارور connection برمی‌گردونه

کانفیگ های قدیمی که خریداری کردید رو اینترنت ایرانسل تست کنید به نظر میاد یه سریاشون پینگ میدن و کار می کنن.

مشخص نیست اختلال هست یا مرحله مرحله قراره حالت عادی برگردیم

آپدیت: اختلال بود و رفع شده

گیت هاب در دسترس قرار گرفته

اما امکان دانلود Release پروژه ها بدون VPN ندارید.

📈 Confirmed: Live metrics show a partial restoration to internet connectivity in #Iran on day 88, after 2093 hours of near-total isolation from international networks, the longest nationwide internet shutdown in modern history. It is unclear if the restoration will be sustained.

💢 پایان بزرگ‌ترین خاموشی دیجیتال برای ایرانیان لبخندی تلخ پس از ۸۸ روز تاریکی

➖➖➖➖➖

در واپسین روزهای آن ۸۸ روزِ طاقت‌فرسا، نفسِ جمعیِ جامعه را می‌شد در قالبِ اضطرابی خام و پنهان دید، ترس از قطع ارتباط، حس بی‌اطمینانیِ کسب‌وکارها و خشمِ فروخورده‌ای که به‌جای گفتگو به بازارِ راه‌حل‌های فردی و پرهزینه سوق داده شد. این پایان، بیش از یک بازگشت تکنیکی به اتصال، فرصتی است برای التیامِ جمعی برای تبدیلِ خشمِ پراکنده به مطالبه‌ای مدنی برای شفافیت و دسترسیِ برابر شهروندان .

در نهایت کاربران ایرانی از طولانی‌ترین تاریکی دیجیتال بیرون آمدند، انتظار به پایان رسید و اکنون با همان فیلترشکن‌ های فعال، تجربه‌ای از اتصال هرچند نه کاملاً آزاد در دسترس است.

نیازی به صرف هزینه‌های هنگفت برای کانفیگ‌های اختصاصی نیست؛ امروز راه‌های معقول‌ تر و مقرون‌ به‌ صرفه‌تری برای بازیابی دسترسی وجود دارد و خرید بسته‌های قیمت‌بر دیگر شرط لازمِ آنلاین‌شدن نیست ( نیاز به خرید کانفیگ های میلیونی نیست ).

اگرچه نباید ساده انگاشت که خرید سرویس‌های پولی یا کانفیگ‌ها بی‌معناست؛ اما تجربه نشان داد که اتکا به راه‌حل‌های انفرادی و پرهزینه نمی‌تواند جایگزین تلاش جمعی و فشار عمومی برای بازگرداندن دسترسی عمومی شود. کسانی که از فروش کانفیگ سود می‌برند ممکن است از تعجیل در بازگردانی کامل سرویس‌ها منفعت نبرند؛ بنابراین هوشیاری عمومی و مطالبهٔ شفافیت از مسئولان ضروری است.

لبخند،  پس از ۸۸ روز خاموشی تلخ است؛ آن روزها خاطره‌ای از ناامنی، اضطراب و قطع‌صلح اقتصادی برجای گذاشت که نمی‌توان بی‌تفاوت از کنارش گذشت. من شخصاً در آن دوره سراغ خرید کانفیگ نرفتم؛ معتقدم در شرایطی که دسترسی عمومی مختل است، اولویت باید بازگرداندن سرویس برای همه باشد نه راه‌حل‌های فردی. در عین حال امیدوارم توسعه‌دهندگان ابزارهایی خلق کنند که ترافیک‌شان کمتر قابل‌شناسایی و مقاومت‌شان در برابر اختلال  و قطعی بیشتر باشد.

این ۸۸ روز، در کنار تلخی‌ ها، درس‌های مهمی آورد:
آسیب‌پذیری زیرساخت‌ها آشکار شد، کسب‌وکارهای کوچک و فروشگاه‌های آنلاین متحمل زیان شدند، پروژه‌ها به تعویق افتاد و فرصت‌های اقتصادی از دست رفت.

اضطراب ناشی از قطع ارتباط، احساس بی‌اطمینانی صاحبان کسب‌وکار، و فشار روانی کاربرانی که برای حفظ ارتباط به گزینه‌های پرهزینه روی آوردند همه این‌ها تصویر روشنی از هزینه‌های پنهان چنین رخدادهایی ارائه می‌دهد و به مخاطب یادآوری می‌کند که راه‌حل‌های جمعی و شفافیت سیستماتیک، تنها راه جلوگیری از تکرار آن است.

کاش روزی برسد که «فیلترینگ» و «کانفیگ» تنها واژه‌هایی تاریخی باشند و دسترسی امن و پایدار به اینترنت، حقی بدیهی برای همه است.‌

⭕ با توجه به ۸۸ روز قطعی اینترنت و عدم دسترسی به منابع آنلاین، خطرات و آسیب‌پذیری‌های متعددی برای سازمان‌ها و نهادهای دولتی به وجود آمده است. این مدت زمان طولانی، فرصتی را برای هکرها فراهم کرده تا با اهداف غیرقانونی خود به اطلاعات حساس دسترسی پیدا کنند و آسیب‌پذیری‌ های موجود را شناسایی کنند.

با بازگشت اینترنت، احتمال حملات سایبری افزایش یافته و سازمان‌ ها باید به شدت مراقب باشند. این حملات می‌توانند شامل نفوذ به سیستم‌ ها از طریق تکنیک‌ های فیشینگ، بدافزارها و حملات DDoS باشند که هدف آن‌ ها مختل کردن زیرساخت‌های حیاتی و سرقت اطلاعات حساس است.

به علاوه، با توجه به اینکه بسیاری از کارمندان در این مدت از راه دور کار کرده‌اند، احتمال بروز مشکلات امنیتی ناشی از استفاده از شبکه‌های ناامن و عدم رعایت پروتکل‌ های امنیتی نیز افزایش یافته است. بنابراین، ضروری است که سازمان‌ها و نهادهای دولتی اقدامات امنیتی خود را تقویت کرده و بر روی آموزش کارکنان در زمینه امنیت سایبری تمرکز کنند تا از هرگونه تهدید احتمالی جلوگیری شود.


با احترام
کاوه - تیم TryHackBox

#اینترنت

فکر می‌کنید، xss نمی‌ تواند در اندپوینت .html فعال شود؟

کاملاً ممکن است!

تصویر را ببینید و در بخش نظرات به من بگویید چه کسی می‌تواند آن را به‌ خوبی توضیح دهد...


@TryHackBox
#باگ_بانتی #xss

دعوت به همکاری در تدریس دوره‌های ردتیم

درود

ما به دنبال یک فرد با تجربه در زمینه ردتیم و اوسینت هستیم تا در تدریس دوره‌های آموزشی به ما کمک کند. اگر در این حوزه تخصص دارید و مایل به همکاری هستید، لطفاً با ما تماس بگیرید.

تمام مطالب آموزشی از طرف ما ارائه می‌شود و شما فقط باید بر روی محتوای آن تسلط داشته باشید.

اگر علاقه‌مندید، پیام دهید به:
@THBxSupport

منتظر شما هستیم .

🔖 کجا می‌ توان به صورت قانونی LLM را هک کرد: ۵ پلتفرم آنلاین و آزمایشگاه‌های محلی 

تزریق پرامپت فقط یک ترفند برای «وادار کردن ربات به گفتن رمز عبور» نیست. در لیست ۱۰ تهدید برتر OWASP برای برنامه‌های LLM این مورد LLM01:2025 است، یعنی یک ریسک پایه برای برنامه‌های LLM.

در ادامه محیط‌های قانونی CTF/آزمایشگاهی برای تمرین آمده است.

۱. HackAPrompt

پلتفرم رقابتی هک هوش مصنوعی: تزریق پرامپت، جیلبریک، پرومپت خصمانه، جدول امتیازات، مسیرها. در بخش پشتیبانی HackAPrompt بیش از ۱۰۰ هزار دلار جایزه اعلام شده است.

نکته منفی: قالب بیشتر مسابقه‌ای/بازی‌وار است تا آزمایشگاه تست نفوذ سازمانی.

۲. Lakera Gandalf

کلاسیک برای استخراج اسرار و نشت پرامپت. هدف ساده است: وادار کردن Gandalf به افشای رمز عبور در هر سطح. سپس محافظت‌ها سخت‌تر می‌شوند و به سرعت مشخص می‌شود چرا یک پرامپت سیستمی مرز امنیتی نیست.

نکته منفی: بیشتر روی استخراج/نشت تمرکز دارد.

۳. PortSwigger Web Security Academy: حملات وب LLM

عملی‌ترین گزینه اگر هدف باگ بانتی هوش مصنوعی یا تست نفوذ است. PortSwigger LLM را به عنوان بخشی از برنامه وب بررسی می‌کند: دسترسی به داده‌ها، API، فراخوانی ابزار/تابع، تزریق پرامپت غیرمستقیم، مدیریت ناامن خروجی.

نکته منفی: نیاز به زمینه امنیت وب و گاهی Burp Suite دارد. اما این بیشتر یک مزیت است اگر نمی‌خواهید امنیت هوش مصنوعی را به صورت جداگانه بررسی کنید.

۴. Tensor Trust

بازی حمله/دفاع: پرامپت خود را محافظت می‌کنید و سعی می‌کنید پرامپت دیگران را بشکنید. به عنوان یک محیط تحقیقاتی مفید است، اما ارسال‌ ها ممکن است منتشر شوند، پس داده‌های خصوصی را وارد نکنید.

۵. Prompt Airlines by Wiz

چلنچ (CTF) هوش مصنوعی درباره چت‌بات پشتیبانی مشتری یک شرکت هواپیمایی ساختگی. باید ربات را دستکاری کنید تا بلیط رایگان ساختگی بگیرید. شروع خوبی برای دور زدن منطق کسب‌وکار از طریق LLM است.

نکته منفی: یک سناریوی کسب‌وکار بدون زیرساخت عمیق.

آزمایشگاه‌های محلی

اصلی - AIGoat: محیط بازی متن‌ باز برای تیم قرمز LLM که تزریق پرامپت، poisoning RAG، زنجیره‌های جیلبریک و ۱۰ تهدید برتر OWASP LLM را پوشش می‌دهد.

مهم است که اشتباه نگیرید: چند نسخه مختلف با نام AIGoat وجود دارد:
➡️ AISecurityConsortium/AIGoat
⬅️ محیط کامل با آزمایشگاه‌های حمله، چالش‌های CTF و دفاع‌های پیشرفته. 
➡️ orcasecurity-research/AIGoat
⬅️ زیرساخت هوش مصنوعی عمداً آسیب‌پذیر از Orca Security. 
➡️ dhammon/ai-goat
⬅️ چالش‌های CTF LLM آسیب‌پذیر محلی.


در زندگی واقعی LLM معمولاً به خودی خود خطرناک نیست، بلکه وقتی به API، داده‌ها و عملیات دسترسی دارد خطرناک می‌شود.

@TryHackBox
#هوش_مصنوعی #امنیت

دوستان عزیز

با توجه به وضعیت فعلی اینترنت، تصمیم داریم هرچه سریع ‌تر سایت مجموعه را راه‌اندازی کنیم تا بتوانیم آموزش‌ها و برنامه ‌های خود را به ‌طور منظم در آن قرار دهیم.

اگر شما علاقه‌مند به همکاری در این پروژه هستید و با DevOps آشنا هستید، لطفاً به ما پیام دهید. برای داوطلبان گرامی مزایایی در نظر گرفته خواهد شد.

برای کسب اطلاعات بیشتر و توضیحات تکمیلی، با ما در ارتباط باشید.
@ThbxSupport

🔖 درک معماری های سندباکس ( ابری vs درون سازمانی {On-prem} )

📦 سندباکس چیست؟

سندباکس یک محیط اجرای کنترل‌ شده است که فایل‌ ها، آدرس ‌های URL یا پروسس های مشکوک در آن «انفجار» (detonate) شده و مورد مشاهده قرار می‌گیرند.

انواع سند باکس
معماری معمول سندباکس
اثرانگشت ‌های رفتاری سند باکس
اهداف تحلیل سند باکس
نقاط ضعف سند باکس ‌های ابری
نقاط ضعف سند باکس‌ های درون ‌سازمانی
استراتژی‌ های شناسایی سندباکس


نویسنده : کاوه میر

توییتر : https://www.x.com/kavehxnet

@TryHackBox
#سندباکس #سند_باکس #sandbox

چه کسی برای تو چهره‌ای نمادین و مهم در امنیت سایبری جهانی است؟ به چه کسی الگو می‌ دهی؟ دنبال چه کسی هستی، چه کسی را می‌خوانی؟ دوست داری شبیه چه کسی باشی؟ این فرد چه چیزی در تو الهام می‌ بخشد؟

🔐 بخش اول: معرفی پروژه CVE Lite CLI از OWASP
اگر توسعه‌دهنده جاوااسکریپت هستید و از npm، pnpm یا Yarn استفاده می‌کنید، حتماً می‌دانید که وارد کردن پکیج‌های شخص ثالث، ریسک امنیتی بزرگی به همراه دارد.
بسیاری از این پکیج‌ها و وابستگی‌های پنهان آن‌ها، حاوی آسیب‌پذیری‌های شناخته شده‌اند، اما بیشتر توسعه‌دهندگان از وجود آن‌ها بی‌خبرند.
🔧ابزار CVE Lite CLI یک ابزار خط فرمان سبک، رایگان و متن‌باز است که به‌تازگی به عنوان پروژه انکوباتور OWASP پذیرفته شده.
این ابزار در عرض چند ثانیه، فایل قفل (lockfile) پروژه شما را اسکن می‌کند و دقیقاً نشان می‌دهد:
کدام پکیج‌ها آسیب‌پذیری دارند
چه دستوری باید اجرا کنید تا جایگزین امن و بدون مشکل جایگزین شود
✅ برخلاف اسکنرهای سنتی که فقط یک لاگ بزرگ از خطاها نشان می‌دهند، CVE Lite CLI با الگوریتم اختصاصی خود، دستور دقیق جایگزینی را پیشنهاد می‌کند که برنامه شما را خراب نمی‌کند.
✅ در بخش بعدی: مقایسه با اسکنرهای CI/CD و مشکل فرسودگی ذهنی توسعه‌دهندگان.

✍️نویسنده
@TryHackBoxStory | The Chaos

🔖 بررسی تهدیدها : OWASP Top 10  برای LLM  

⭕ مدل ‌های زبانی بزرگ (LLM) را در سیستم ‌های production پیاده‌سازی می‌کنند، اما با آن ‌ها مانند کتابخانه ‌های معمولی رفتار می‌شود API را متصل کنید و فراموش کنید. مشکل اینجاست که مدل زبانی دستورات موجود در ورودی کاربر را اجرا می‌کند، کد تولید می ‌نماید و به پایگاه ‌های داده دسترسی پیدا می‌کند. اگر ویژگی ‌های خاص این سیستم ‌ها در نظر گرفته نشود، ممکن است منجر به نشت داده ‌ها یا compromise کل برنامه شود.  OWASP 10 vulnerabilitie بحرانی در برنامه ‌های مبتنی بر LLM را شناسایی کرده است در ادامه هر کدام را با مثال‌ های حمله و روش ‌های حفاظت بررسی می‌کنیم.

LLM01: Prompt Injection
LLM02: Sensitive Information Disclosure
LLM03: Supply Chain Vulnerabilities
LLM04: Data and Model Poisoning
LLM05: Improper Output Handling
LLM06: Excessive Agency
LLM07: System Prompt Leakage
LLM08: Vector and Embedding Weaknesses
LLM09: Misinformation
LLM10: Unbounded Consumption


➖➖➖➖➖➖➖
🆔 @TryHackBox
🆔 @TryHackBoxOfficial
🆔 @TryHackBoxStory
🆔 @RadioZeroPod

#هوش_مصنوعی #امنیت_سایبری