آخرین پست های بخش آموزشی بلاگ
طراحی وب با پایتون و فریم ورک جنگو
...فصل سوم: آدرس دهی و URLها
فصل چهارم: فرم
فصل پنجم: اعتبارسنجی
بخش ششم: Django ORM
بخش هفتم: Class-Based Views
آموزش هک و امنیت
در حال راه اندازی...
حملهی «ریدایرکت به SMB»- یک باگ ۱۸ ساله!
ارسال شده توسط tamadonEH در پ., 04/16/2015 - 05:05سلام
SPEAR - Redirect to SMB By Brian Wallace
در این روش ما تکنیک جدیدی رو کشف کردیم که به واسطهی اون می تونید دادههای حساسی که برای لاگینکردن استفاده می شه رو به سرقت ببرید. این روش روی تمام سیستمهای ویندوزی، تبلت یا سرور جواب می ده. حداقل نرمافزارهای مربوط به ۳۱ شرکت بزرگ نسبت به این روش آسیبپذیرند؛ شرکت هایی مثل Adob، Apple، Box، Microsoft، Oracle و Symantec. گروه CERT دانشگاه Carnegie Mellon این آسیبپذیری رو کشف کردند و بعد از ۶ هفته کار و همکاری با این شرکتها، سه روز پیش (۲۴ فروردین ۱۳۹۳ یا ۱۳ آوریل) این قضیه رو عمومی کردند.
در «ریدایرکت به SMB» هکر با استفاده از حملهی مردی-در-میان بین سرور و شما قرار می گیره و با ارسال دادهها به یک سرور آلودهی SMB، سرور رو مجبور به اعتراف میکنه(!) و سرور هم دودستی یوزرنیم، دامنه و پسورد هششده رو، به جناب هکر تقدیم میکنه. برای مشاهده جزئیات این حمله به این مقاله ۱۸ صفحهای مراجعه کنید.
به احترام نابینایان
ارسال شده توسط tamadonEH در د., 04/13/2015 - 11:09سلام
در حرم امام رضا (ع) دختر بچهای را دیدم که هیچ کلمهای نمیتوانست زیبایی او را وصف کند؛ چهرهاش درخشنده بود و احتمالاً چشمهایش غرق معصومیت. اما حیف! حیف که چشمانش پشت نقاب عینک دودیاش مخفی شده بود. او که شاد بود اما غصهی من از این بود که نمیتوانم چشمهای او را ببینم. غرق خیال بودم. تنها آرزویم این بود که کاش میشد به نحوی برای او کاری کنم تا لبخندش را ببینم. فرشتهی من که احتیاجی به اینها نداشت، پس این کار فقط و فقط به خاطر خودم بود... اصلاً انگار تمام دنیایم او شده بود. با خودم می گفتم اگر او خواهرم بود تمام دنیا را برای او میخواندم. اما واقعاً دنیای او چه شکلی بود؟
خودم را جای او گذاشتم. اگر من، او بودم و ۱۵ سال دیگر عاشق مردی می شدم یا حتی اگر مادر میشدم، چه حسی داشتم؟! این که عاشق کسی باشی و نتوانی او را تصور کنی چگونه است؟! احتمالاً تنها چیزی که می خواهم ببینم همین خواهد بود. واقعاً چه شکلی است؟ شاید هم من اشتباه میکنم... شاید تصور این دختر از صداها یا از لمسکردن بسیار قویتر از من باشد... اصلاً که گفته منی که چشمِ سر دارم می توانم خوب درک کنم یا خوب بشناسم؟ اصلاً مگر درککردن و حسکردن مساوی دیدن است؟!
نمیدانم... نمیدانم... اما این را میدانم که به این دختر و به تمام حسهای او احترام میگذارم... ببخش اگر غلط نوشتم...
معرفی ۷ افزونه امنیتی وردپرس
ارسال شده توسط tamadonEH در چهارشنبه, 04/08/2015 - 12:05سلام
7 Best WordPress Security Plugins
مطلبی رو برای Hiva.ir ترجمه کردم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.
قبل از شروع: دروپال که ناامنی نداره که بخوام در موردش بنویسم؛ پس باید به فکر راهکارهای امنیتی در وردپرس بود :دی
وردپرس در بین سیستمهای مدیریت محتوا از محبوبیت بیشتری برخورداره و تعداد سایت بیشتری با این CMS بالا آمده؛ بنابراین هکرها هم بیشتر روی این CMS کار میکنند. اما در اکثر مواقع آسیبپذیریهای یافت شده در وردپرس، مربوط به افزونهها و قالبهایی میشه که روی سایت یا وبلاگ شما نصبه. (نمونه: بدافزار SoakSoak که باعث در خطرافتادن بیش از 100K سایت شد)
در ادامه به معرفی هفت افزونه امنیتی و بسیار مهم برای وردپرس که توسط infoSecInstitue لیست شده، خواهم پرداخت که باعث کاهش تهدیدات امنیتی خواهد شد.
- افزونه WordFence
- افزونه BulletProof Security
- افزونه Sucuri Security
- افزونه iThemes Security (یا Better WP Security)
- افزونه Acunetix WP SecurityScan
- افزونه All In One WP Security & Firewall
- افزونه 6Scan Security
برای مشاهده توضیحات به ادامهی مطلب مراجعه فرمائید.
تبدیل گوگلمپ به زمینِ بازی دکمه خور
ارسال شده توسط tamadonEH در پ., 04/02/2015 - 05:26سلام
می دونم خیلی وقته که نمی نویسم ولی ترجیح دادم اولین مطلبم بعد از مدتها، معرفی یک سرگرمی جدید و قدیمی باشه.
بازی دکمهخور یا همون Pac-Man رو که یادمون هست؟ بازیای که برای خیلی از ما کلی خاطره داره... این بازی احتمالا برای گوگل هم نوستالوژی داره چون:
Google Map این ویژگی رو اضافه کرده که می تونید توی نقشههایی که از خیابونهای واقعی تهیه شده، این بازی رو بوت کنید.
کافیه وارد این آدرس بشید و در گوشهی سمت چپ از پایینِ صفحه، روی آیکن این بازی کلیک کنید.
تست نفوذپذیری روی قالب وبسایت
ارسال شده توسط tamadonEH در ش., 02/28/2015 - 15:09سلام
مقاله ای در این زمینه برای Hiva.ir نوشتم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.
ممکنه که قالب وب سایت خودتان را از سایت معتبری دانلود کنید و حتی همین قالب هم ممکن است آلوده به بدافزار شوند. سوال این است که:
از کجا آلوده بودن یا آسیبپذیری یک قالب را می توان مورد آزمایش قرار داد؟ خوب احتمالا کار راحتی نیست و شاید نتوان گفت که این قالب حتما امن است اما بالاخره باید از یک جایی شروع کرد:
هفت اقدام خیلیساده برای افزایش امنیت سایتتان
ارسال شده توسط tamadonEH در ش., 02/21/2015 - 05:31سلام.
همونطور که در عکس مشاهده می کنید این هفت مورد، کارهایی است که هرکسی می تونه انجام بده و نیاز به هیچ دانش برنامهنویسی یا شبکه نداره.
چرا «کتابخوان بودن» رو دوست ندارم
ارسال شده توسط tamadonEH در د., 02/16/2015 - 05:55سلام
این عنوان اصلا یک عنوان روزنامهای و فقط برای جذب خواننده نیست. من واقعا دوست ندارم که به عنوان کتابخوان شناخته شم؛ نه به خاطر اینکه کتابخوان بودن بده اتفاقا شاید خیلی هم خوب باشه اما این صفت به من حس بدی می ده و شاید به خاطر گذشته بوده. گذشته ای که در ادامه آوردمش:
خاطره اول:
سال ۸۷ بود که به یکی از همکلاسیهام در دانشگاه -که می دونستم اهل کتابخونده و در واقع کتابخوانـه- گفتم که یک رمان قشنگ رو بهم معرفی کنه تا منم بخونم. تقریبا تا اون موقع هیچ مطالعهی غیردرسی و غیرکامپیوتری نداشتم و می خواستم اولین کتابی که می خونم واقعا ارزش خوندن رو داشته باشه.
شنیدید میگن که هیشکی مثه عشق اول نمیشه؟!! به نظر من هم، هیچ کتابی مثل کتاب اول نمیشه. پس باید در انتخابش خیلی دقیق بود. دوست کتابخوان من، رمان «بادبادک باز» رو معرفی کرد و گفت که یکی از بهترین رمانهای نوشته شده است. منم با هزار شور و شوق شروع به خوندنش کردم ولی تقریبا ۲۰۰ صفحه از کتاب رو خونده بوم که ازش خسته شدم و کنارش گذاشتم!!!
دوستم: چی؟!!! از بادبادک باز خوشت نیومد؟ مگه میشه؟ هر کسی از این کتاب خوشش میاد! این یکی از بهترین هاست و...
مسابقات فتح پرچم یا CTF در هکینگ
ارسال شده توسط tamadonEH در ی., 02/15/2015 - 05:05سلام
Capture the Flag: One of the best team building events ever!
مقاله ای در این زمینه برای Hiva.ir نوشتم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.
یکی از مسابقاتی که بین هکرها رواج دارد و برای ارزیابی سطح مهارت آنها استفاده میشود، مسابقات «فتح پرچم» یا Capture The Flag است. در این مسابقات یک سری اهداف برای تیمهای شرکت کننده تعریف میشود و تیمها باید در زمان مشخص شده به آنها برسند. این گونه از مسابقات از محبوبیت زیادی برخوردار هست و حتی در داخل ایران هم مورد استقبال قرار گرفته است. (مثل مسابقات شریف یا مسابقات ASIS).
اما پرچم چیست؟
در واقع به هدفی که مشخص میشود، «پرچم» می گوییم. مثلا ممکن است که پرچم، «رشتهای کارکتری» در دایرکتوری ریشه باشد. مسابقات CTF مثل حل و ساخت پازل است. پازلی که کامل شدن آن نیاز به دانش اعضای شرکت کننده دارد.
انواع مسابقات CTF:
- فتح پرچم نردبانی یا Ladder CTF
- فتح پرچم باز یا Open CTF
- چالش یا Challenge
کنجکاوی و طرز تفکر هکرها
ارسال شده توسط tamadonEH در ی., 02/08/2015 - 07:42سلام
Curiosity and the "hacking" mindset
بعد از مدتها بالاخره یک مطلب جدید و باحال پیدا کردم که در خصوص اینجور چیزها صحبت کرده.
من از زمانی که وبسایتم- که برای آباد کردن اون کلی تلاش کرده بودم- هک شد وارد دنیای امنیت نرمافزار شدم. شروع کردم به پرسیدن سوالاتی در خصوص این اتفاق و هر چه جلوتر می رفتم در جزئیات پیچیدهتری از این حمله غرق می شدم. تا اینکه دنیای ناشناختهی هکرها من رو شگفت زده کرد. هر چقدر که بیشتر در خصوص اونها می خوندم بیشتر دوست داشتم که شبیه اونها بشم.
بنابراین سفر طولانی من شروع شده بود اما... بین دو باور مختلف و متناقضی که وجود داشت شک داشتم. گاهی روزی چند بار دچار تردید می شدم. اما این عقاید چه بود:
- تریلیونها آدم وجود داره که صدها برابر من در خصوص چیزهای مختلف می دونند و هر کاری که بخوام انجام بدم باید بی نهایت سریعتر و تاثیرگذارتر از این هکرهای نابغه و زیرک باشه.
- من یک هکرم، جلوی من زانو بزنید و التماس کنید که هکتون نکنم.
۵ کار لازم برای کاهش تهدیدات داخل شبکه
ارسال شده توسط tamadonEH در د., 02/02/2015 - 14:04سلام
5 things you can do to limit your exposure to insider threats
مقاله ای در این زمینه برای Hiva.ir ترجمه کردم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.
بدون مقدمه: هکر نمیتواند تمام حملات خود را از بیرون شبکه انجام دهد. چون فایروالها و سیستمهای کشف مزاحمت و … به او اجازهی چنین کاری را نمیدهند اما معمولا یک هکر بعد از نفوذ اولیه به شبکه از راه دور به دنبال این است که در داخل شبکه جای پایی را برای خود باز کند و ادامه حملهی خود را به عنوان یک عضو داخلیِ اعتبارسنجی شده انجام دهد. بنابراین می توانیم این گونه بگوییم که برای هر نفوذ موفقی، نیاز به حملاتی در داخل شبکه داریم.
شرکت امنیتی CoSoSys روی تمام مشتریانش (که شبکهی هر یک به طور میانگین ۵۰۰ کامپیوتر داشته) تحقیقاتی را انجام داده که نتیجهی آن ارائهی راهکارهایی برای کاهش تهدیدات داخلی بوده است. در ادامه به معرفی ۵ کاری که هر شرکتی برای کاهش تهدیدات داخلی شبکه و به بیان دیگر برای جلوگیری از نفوذهای خارج از شبکه بایستی انجام دهد می پردازم: