آخرین پست های بخش آموزشی بلاگ
طراحی وب با پایتون و فریم ورک جنگو
...فصل سوم: آدرس دهی و URLها
فصل چهارم: فرم
فصل پنجم: اعتبارسنجی
بخش ششم: Django ORM
بخش هفتم: Class-Based Views
آموزش هک و امنیت
در حال راه اندازی...
نوامبر 2014
من، دروپال و توهم هک شدن!
ارسال شده توسط tamadonEH در د., 11/03/2014 - 07:46سلام
خدا نیاره اون روزی رو که سایت مرجعی مثل http://drupal.org به اشتباه باعث شه که آدم توهم هک شدن پیدا کنه! (خودمونیش میشه: چرت و پرت بگه
)
بله دیگه. ۲۳ مهر امسال (۱۵ اکتبر ۲۰۱۴ ) بود که خبر یک باگ امنیتی بزرگ در سیستم مدیریت محتوای دروپال پخش شد. این باگ در نسخه های ۷ تا ۷.۳۲ وجود داشت و به هکر اجازه می داد که از طریق روش «تزریق SQL» به سایت حمله کنه و بتونه بدون هیچ پیش نیازی، یک حساب با سطح دسترسی مدیریتی برای خودش ایجاد کنه. از اونجایی که وبلاگ من هم با دروپال نسخه ی ۷.۳۱ بود؛ فورا وبلاگم رو با اکسپلوییتی که به صورت عمومی پخش شده بود چک کردم و خوشبختانه پیام «NOT VULNERABE» رو دریافت کردم. البته بیشتر از این وقت خودم رو برای مطالعه و تحقیق پیرامون این باگ صرف نکردم، چون یک روز قبل از این آسیب پذیری، یعنی ۲۲ مهر، گوگل، حمله پودل در SSL v3.0 رو معرفی کرده بود و تمام وقتم رو برای درک این حمله گذاشته بودم.
تقریبا دو هفته از این ماجرا گذشت تا از دست حمله پودل و باگ SandWorm راحت شدم و می تونستم به کارهایی که اولویت کمتری داشت (مثل همین روش در دروپال) برسم. اولین نکته ای که نظرم رو جلب کرد، این بود که در سایت دروپال گفته شده بود: «تمام نسخه های ۷ تا ۷.۳۲ آسیب پذیرند...» این جمله من رو نگران کرد. چون سایت من از همون روز اول، آسیب پذیر نبود!!! تا این که به صفحه سوالات رایج در خصوص این آسیب پذیری رسیدم و در قسمتی از اون گفته شده بود که:
آموزش آپدیت هسته دروپال
ارسال شده توسط tamadonEH در د., 11/03/2014 - 10:04سلام.
آپدیت هسته ی دروپال به سادگی امکان پذیر است و کافی است مراحل زیر را انجام دهید:
My site has already been patched, in Drupal FAQ (CVE-2014-3704) is not completely true
ارسال شده توسط tamadonEH در س., 11/04/2014 - 04:02سلام
!!Very important!!
Please check this:
https://www.drupal.org/drupalsa05FAQ#comment-9306663
FAQ on SA-CORE-2014-005 is not completely true:
مهارت های فنی و تخصصی لازم برای هکر شدن
ارسال شده توسط tamadonEH در چهارشنبه, 11/05/2014 - 07:42سلام
Required Technical Skills to be a Hacker
هکینگ بدون دانش و مهارت های فنی مثل رويایی می ماند که هیچ وقت به حقیقت نمی رسد. اما سوال اصلی اینه که برای هکر شدن به چه نوع از دانش فنی ای احتیاج است. مهارت های انتزاعی و لمس ناپذیر به تنهایی نمی تواند باعث موفقیت شما در فیلد امنیت اطلاعات شود، شما به درک عمیقی از نحوه ی عملکرد تکنولوژی نیاز دارید؛ شما می بایست نحوه ی کار سیستم ها و پردازش هایی را بشناسید که در تولید یک پالس الکتریکی به فرکانس رادیویی، از یک بیت به بایت ها و از سیستم عامل ویندوز به لینوکس وجود دارد. زبان های کامپیوتری مختلفی وجود دارد که لازم است به آن ها دقت کنید اما دنبال کردن یک مسیر راست و درست مهمترین چیزی است که شما را به مقصد می رساند.
ادامه را بخوانید...
شعر درخت سمی با صدای جوزف مورگان
ارسال شده توسط tamadonEH در جمعه, 11/07/2014 - 10:23سلام.
ابتدا فایل صوتی با صدای Joseph Morgan، سپس متن انگلیسی و بعد هم ترجمه فارسی. فقط می تونم بگم که فوق العاده است!
دانلود فایل صوتی شعر درخت سمی با صدای جوزف مورگان (Download Audio file: A Posion tree (Joseph Morgan
//صداهای اضافه به خاطر اینه که این فایل رو از سریال اصیل ها جدا کرده ام :)
باگ وحشتناک WinShock از دوست متن بازمون یعنی مایکروسافت!
ارسال شده توسط tamadonEH در س., 11/18/2014 - 00:10سلام
باز هم مایکروسافت اما این بار توسط خودش!
متاسفانه تا الان که دارم این مطلب رو می نویسم -با وجود تلاش های شبانه روزیم!- هنوز نتونستم این آسیب پذیری رو به صورت عملی پیاده سازی کنم 
اما امیدوارم به زودی بتونم به نتیجه برسم و این مطلب رو هم آپدیت کنم... بنابراین فعلا این مطلب یک خبر است و مثل همیشه سعی می کنم که اخبار رو به صورت خلاصه بگم.
معرفی آسیب پذیری
این آسیب پذیری با نام های CVE-2014-6321 و MS14-066 هم شناخته می شود و حمله ی آن به وسیله ی کانال امن ویندوز یا SChannel صورت می پذیرد. کشف این آسیب پذیری توسط خود مایکروسافت صورت گرفته و وصله ی این آسیب پذیری در تاریخ ۲۰ آبان ۱۳۹۳ (یا ۱۱ نوامبر ۲۰۱۴) منتشر شد. دوستان هکر و مهندسی معکوس بعد از پیدا کردن تغییرات موجود در بسته های بروزرسانی، روی آن کار کردند و کاشف به عمل اومد که این آسیب پذیری یکی از بی نظیرترین باگ های مایکروسافته که به شدت می تونه امنیت سرورهای ویندوزی رو به چالش بکشه. اما چرا؟ چون:
تنها دلیل کارکردن، داشتن زندگی بهتر است
ارسال شده توسط tamadonEH در چهارشنبه, 11/26/2014 - 14:01سلام
روزی که می خواستم این وبلاگ رو راه بندازم به خودم گفتم که بیش از همه در مورد «زندگی» می نویسم. اما منم مثل خیلی های دیگه از یاد «زندگی» غافل شدم و شروع کردم به نوشتن مطالب مربوط به هک و امنیت و ...
مخاطب این مطلب هم دختر-پسرهای مجردند و هم اونایی که تازه ازدواج کردند. شاید شما هم در اطرافیها یا دوستاتون با چنین افرادی مواجه شده باشید یا شاید هم خودتون مثل افرادی که در ادامه میارم باشید:
مورد اول: دهنم سرویسه چون ازدواج کردم!
مورد دوم: فعالیت ۲۴ ساعته برای پرواز
مورد سوم: ازدواج در سن حضرت نوح
مورد چهارم: من دفاع دارم، با من کاری نداشته باشید
نتیجه گیری