آخرین پست های بخش آموزشی بلاگ
طراحی وب با پایتون و فریم ورک جنگو
...فصل سوم: آدرس دهی و URLها
فصل چهارم: فرم
فصل پنجم: اعتبارسنجی
بخش ششم: Django ORM
بخش هفتم: Class-Based Views
آموزش هک و امنیت
در حال راه اندازی...
مهمترین دغدغه های امنیت شبکه بر اساس مطالعاتHP
ارسال شده توسط tamadonEH در جمعه, 08/28/2015 - 03:27سلام
TippingPoint network security survey reveals top network security concerns
گروه TippingPoint از HP از مطالعات افراد متخصص در خصوص امنیت شبکه و در سطح جهانی پشتیبانی میکند. این پشتیبانی شامل کمک به سازمانهای تحقیقاتی و... میشود. این گزارش مربوط به نمایش ۱۰ مورد از مهمترین و بیشترین تهدیدات امنیت شبکه است.
این تحقیقات، نتایج شگفتانگیز زیر را در بر داشت:
- ۶۹٪ از افرادی که در زمینه IT متخصص اند حداقل یک حملهی ماحیگیری یا phishing را در طول یک هفته تجربه میکنند.
- ۷ مورد از هر ۱۰ حمله در محیط شبکه، از هاستهایی است که به بدافزار آلوده شدهاند. (malware-infected host)
- حدود ۶ مورد از هر ۱۰ حمله به دلیل ارتباطات مخربی است که به وسیلهی سایت ها کنترل و فرمان برقرار می شود. [سایت های کنترل و فرمان یا همان command and control site سایتهایی هستند که هکر دستورات خود را از آن صادر میکند.]
دل عاشق به پیغامی بسازد
ارسال شده توسط tamadonEH در جمعه, 08/21/2015 - 14:27سلام
حتما شما هم دوستایی دارید که خیلی وقته همدیگر رو ندیدید و وقتی به هم میرسید بهم میگین که :«یاد قدیما بخیر که همهش با هم بودیم اما الان سالی یکبار هم به زور همدیگرو میبینیم و...»
خوب با توجه به کار و زندگی و هزارتا دغدغهای که توی زندگیهای الان وجود داره به نظرم این عادیه که وقت کمتری رو به دوستای قدیمیتون اختصاص بدید و کمتر همدیگر رو ببینید اما برای اینکه به یاد هم باشید حتما نیازی نیست که نصف روزتون رو خالی کنید تا بتونید با هم باشید...
دیروز یکی از دوستای خوبم که خیلی وقته ندیدمش و مدت زیادی بود که از هم بیخبر بودیم، بهم ایمیل زد و گفت:
سلام رفیق قدیمی؛ یه وقت دلت برا ما تنگ نشه؛ امروز phpconf بود؛ جات خالی؛ گفتم مقاله هاشو برات بفرستم :)
منشاء تمام رنج و دردهای آدم
ارسال شده توسط tamadonEH در چهارشنبه, 08/05/2015 - 13:23سلام
میخوام کوتاه بنویسم. استادم بهم یاد داد که:
«درد و رنج سهمی است که افرادی مثل ما از زندگی میبرند و هیچوقت هم قرار نیست تموم بشه.»
عجب حرفی زد! راست میگفت، هیچ وقت قرار نیست تموم بشه! تا وقتی که هستیم و تا وقتی که «فکر میکنیم»، قراره این روال ادامه داشته باشه........ هرچی هم که دست و پا بزنیم و خودمون رو با چیزهای دیگه مشغول کنیم همیشه این دغدغه وجود داره.
امیدوارم یک روزی برسه که بتونم به استادم بگم: «استاد اشتباه میکردی! من دیگه هیچ مشکلی ندارم و همه چی بر وفق مرادمه و همونی شد که میخواستم»؛ اما بعید میدونم حداقل فعلا همچین اتفاقی بیفته :(
قدیما بعضی وقتها به راهحل فکر میکردم و دنبال یک راه بودم که البته بالاخره پیداش کردم!! درسته؛ راه اینکه به تموم درد و رنجها خاتمه بدید رو پیدا کردم! نکنه فکر میکنید الان میخوام بگم راهش خودکشیه؟! نـــه بــابــا! ما رو چه به این چرت و پرتها!؟!!
حمله MITM CCS Injection در OpenSSL
ارسال شده توسط tamadonEH در پ., 07/23/2015 - 03:52سلام
OpenSSL MITM CCS injection attack (CVE-2014-0224)
در چند سال گذشته، تعدادی مشکل امنیتی جدی در کتابخانه های مختلف رمزنگاری کشف شدند. اگرچه تعداد کمی از آنها قبل از اینکه به طور عمومی اعلام و پچ امنیتی آنها ارائه شوند، اکسپلوییت شده اند، مشکلات مهم همچون Heartbleed محققان، کاربران و توسعه دهندگان را به هر چه جدیتر پاک نگه داشتن کد این محصولات وا داشتند.
در میان این مشکلات که در نسخه 1.0.1 پروژه OpenSSL رفع شدند، یکی از مهم ترین آنها که صحبت زیادی از آن می شود، یعنی حمله (Man-in-the-middle" (MITM" که توسط CVE-2014-0224 مستندسازی شده است، روی پروتکل های لایه سوکت امن (SSL) و امنیت لایه انتقال (TLS) تاثیر می گذارد.
معرفی روش جدید کرک رمزنگاری RC4 در WPA-TKIP و TLS
ارسال شده توسط tamadonEH در جمعه, 07/17/2015 - 04:22سلام
How to Crack RC4 Encryption in WPA-TKIP and TLS
اخیرا روش جدیدی از کرک RC4 به وجود اومده که هم سریعتر و هم کاربردیتره.
رمزنگار به روش قدیمی RC4 (مخفف Rivest Cipher 4) هنوز هم به عنوان پراستفادهترین روش رمزنگاری در بسیاری از پروتکلهای محبوب مورد استفاده قرار میگیره:
- SSL (Secure Socket Layer)
- TLS (Transport Layer Security)
- WEP (Wired Equivalent Privacy)
- WPA (Wi-Fi Protected Access)
- Microsoft’s RDP (Remote Desktop Protocol)
- BitTorrent
- ...
مشکلات موجود در این الگوریتم که طی چندین سال کشف و بعد هم وصله شده نشاندهندهی اینه که به زودی باید از صفحهی اینترنت (روزگار!) محو بشه. این در حالیه که در حال حاضر ۵۰٪ از کل ترافیک TLSـه موجود، از الگوریتم رمزنگاری RC4 استفاده میکنند.
اوج مشکل از اونجاییه که در روش کرک جدید، هکر در زمانی بسیار کمتر از اون چیزی که قبلا وجود داشت میتونه اطلاعات رمزنگاریشده رو بهدست بیاره.
اولین همایش وردپرس ایران- تهران
ارسال شده توسط tamadonEH در پ., 07/16/2015 - 02:22سلام
من که از وردپرس خیری ندیدم اما ظاهرا برخلاف من اکثر سایتها با وردپرس طراحی شدند واسه همین شاید بد نباشه شما هم در «اولین همایش وردپرس ایران» که در تهران برگزار میشه شرکت کنید :)
البته به نظر من با توجه به اینکه این همایش اولین دورهش رو داره برگزار میکنه و اسپانسر هم داره نباید هزینهای واسه ثبت نام میگرفتند.
زمان برگزاری: ۸ مرداد ۱۳۹۴
هزینهی ثبت نام: از ۱۵تا ۵۵ هزارتومان
سایت همایش: wp-conf.ir
از فاصله ۴ کیلومتری به شبکههای WiFi وصل شوید
ارسال شده توسط tamadonEH در جمعه, 07/03/2015 - 10:14سلام
How to Anonymously Access Wi-Fi from 2.5 Miles Away Using This Incredible Device
گمنامی واقعی چیزیه که باعث میشه حتی از نظارتهای دولتی در امان باشید. حتی Tor و VPN هم یک روزی شکسته میشه و دیگه نمیتونه از حریم خصوصی افراد محافظت کنه. زمانی که آدرس IP شما کشف باشه بازی تمومه و بازی رو باختید!
هرچند که این روش جدید باعث از بینبردن رد افرادی نمیشه که به شبکههای وایرلس عمومی وصل میشن اما حداقل این امکان رو برای هکرها فراهم میکنه که از فاصلهی ۴ کیلومتری به این شبکهها وصل بشن.
اسم این دستگاه ProxyHamـه و به افراد اجازه میده از فاصلههای خیلیدور به شبکههای عمومی وصل بشن و این کار رو از طریق فرکانس پایین در امواج رادیویی انجام میده. این روش باعث میشه آژانسهای دولتی و جاسوسها به سختی بتونن منبع ترافیک داخلی رو پیدا کنند.
باید یاد بگیریم از هم سوءاستفاده کنیم
ارسال شده توسط tamadonEH در پ., 06/25/2015 - 11:10سلام
چند وقت بود در مورد زندگی نمینوشتم و واسه همین گفتم چه موضوعی بهتر از آموزش روابط اجتماعی!
آیا شما هم فکر میکنید که دنیا بر پایهی انسانیت، اخلاق، دوستی، احترام متقابل و... میچرخه؟! فکر نمیکنم کسی اینجوری فکر کنه!
اما اگر اینجوری فکر میکنید پیشنهادم اینه که یه صبح تا بعد از ظهر برید توی خیابون یه چرخی بزنید تا حساب کار دستتون بیاد.
قبلا در مطلب «وظیفه ای به اسم لطف کردن وجود نداره!!» گفتهبودم:
بعضی از ما، جامعه ای که در اون زندگی می کنیم رو دوست نداریم و برای خودمون یه جامعه ی بهتری تشکیل دادیم که با بودن در اون حالمون بهتر میشه. این جامعه هم کوچکتره و هم دیگه مشکلات جامعه ی بزرگ رو نداره. چون خودمون انتخابش می کنیم. بر اساس سلیقه هامون، مرام زندگی مون، دین مون، عواطف مون و...
الان نمیخوام حرف قبلیم رو رد کنم چون واقعا خودم هم قبولش دارم اما حرفم اینه که: دوست عزیز لطفا الکی توهم نزن! هر کسی که قرار نیست در جامعهی تو قرار بگیره...
Dom Based Cross Site Scripting یا XSS نوع سوم. نگاهی بر یک چشم انداز با چاشنی XSS از آمیت کلین
ارسال شده توسط tamadonEH در ش., 06/20/2015 - 06:44DOM Based Cross Site Scripting or XSS of the Third Kind
A look at an overlooked flavor of XSS by Amit Klein
مطلبی رو برای Hiva.ir ترجمه کردم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.
بازارگرمی از تمدن:این مطلب یک مطلب عادی نیست و در XSS از نوع DOM به عنوان رفرنس محسوب میشه و خدا میدونه که تا حالا چندصدبار یا حتی چند هزار بار در مقالههای مختلف بهش ارجاع داده شده... و هر هکری که بخواد علمی کار کنه باید این رو بخونه.
نگاهی کلی بر حمله Logjam
ارسال شده توسط tamadonEH در پ., 06/18/2015 - 07:26سلام
هشدار! مرورگر شما نسبت به Logjam آسیبپذیره و ممکنه از نوع ضعیفی از رمزنگاری استفاده کنه => به روزرسانی
تبادل کلید به روش دیفی-هلمن یکی از مشهور ترین الگوریتمهای رمزنگاریه که به پروتکلهای اینترنتی اجازه به اشتراکگذاری کلید و برقراری یک ارتباط امن رو میده. این روش به عنوان پایه و اساس خیلی از پروتکلهاست مثل HTTPS, SSH, IPsec, SMTPA و کلا پروتکلهایه که بر TLS تکیه دارند.
که در ادامه نقاط ضعفی که در این روش وجود داره رو آوردم:
حمله Logjam در برابر پروتکل TLS: حمله Logjam در حملات مردی-در-میان این امکان رو به هکر میده که کانکشنهای آسیبپذیر TLS رو مجبور کنه تا خروجی رمزنگاری به صورت ۵۱۲ بیتی باشه.(اسم این رو downgrade میذاریم) این موضوع به هکر اجازهی خواندن و دستکاری هر دادهای رو میده که از طریق این کانکشن جابجا میشه.