وبلاگی برای تمام فصول

مطالب موجود در مورد: ‘امنیت’

بعد از مدتها با مقاله ای که مطمئنا هواداران زیادی خواهد داشت ولاگ رو بروزرسانی میکنم.

نکته۱ : این یک بررسی موشکافانه از آنچه که باعث میشود یک آنتی ویروس فریب بخورد را به شما ارائه میدهد.پس تا آخر این مقاله را دنبال کنید

نکته ۲ : هر گونه استفاده نا بجا از  مقاله و فایلهای ضمیمه و … بر عهده خواننده میباشد .و باعث سلب مسئولیت از نویسنده است .

بعد از اینکه از سایتهای Warez  فایلی را دانلود میکنید . با خیال راحت از اینکه آنتی ویروس شما به آن گیر نمیدهد آن را اجرا میکنید . اما اصل جریان چیست !!

به ادامه مطلب مراجعه نمایید..

Continue reading “چگونه تمامی آنتی ویروسها را بایپس کنیم!!” »

همه روزه افرادی هستند که به من مراجعه میکنند برای آموزش امنیت و هک . این روزها متوجه شدم یکی از دوستانم در این زمینه فعالیت دارند و بر خلاف شرکتها و مراجعی که اطلاعات زیادی در این زمینه نداشته و صرفا جهت خالی کردن جیب شما دوستان فعالیت میکنند ، این شرکت میتواند علاوه بر انتقال اطلاعات مفید به شما ، شما را در مسیر صحیح قرار داده و باعث پیشرفت شما گردد .

برای اطلاعات و دریافت جزییات بیشتر  با آدرسهای ذیل ارتباط برقرار کنید .

تماس سریع : ۰۹۳۹۴۶۶۲۳۳۱

ایمیل » training[at]learnsecurity.ir

آدرس : میدان انقلاب ، خیابان قدس ، روبه روی درب شرقی دانشگاه تهران – کوی فردانش ، پلاک ۲۲ ، شماره ۳۰۲ – تلفن : ۸۸۹۹۱۱۵۰

در ضمن قبل از ثبت نام حتما این مورد رو ذکر کنید که از طرف بنده هستید تا کمی از خجالت شما در بیان !

-   انجام انواع تخصصی آزمون نفوذپذیری [۱]

توضیح :  تست نفوذ پذیری فرآیند ارزیابی امنیتی شبکه یا نرم افزارهای رایانه ای ، بوسیله شبیه سازی حمله ای است که توسط هکر انجام می شود.

تست های نفوذ پذیری معمولا با یکی از سه روش  :

-        جعبه سفید[۲]

-         جعبه سیاه[۳]

-         جعبه کرسیتالی [۴]

اجرا می شود.

بعنوان مثال اگر تمرکز تست کننده  روی منابع یک رایانه در شبکه باشد، مثال هایی که می تواند به تست نفوذ پذیری موفق منجر شود شامل دسترسی به اسناد محرمانه و لیست های قیمت ، پایگاهای داده و اطلاعات حفاظت شده دیگر است.

شرکت رایان پژوهان تکنیک ،  قادر به ارائه خدمات آزمون نفوذپزیری به صورت کاملا ریز و تخصصی به شرح  زیر است :

Continue reading “دوره های آموزش امنیت” »

برای موضوع جدید وبلاکم بد ندیدم کمی در مورد این موضوع صحبت کنم .

چندی پیش در مورد این بازی آنلاین در مجلات و روزنامه ها اخبارهایی شنیدم و بد ندیدم این بازی تماما ایرانی رو مورد بررسی قرار بدم ! و برای زمانهای بیکاری چند کلیک از موس خود رو به این بازی اختصاص بدم و با نحوه کار این بازی و رویه و ساز و کار اوون آشنا بشم . به هر حال بعد از چند روز بازی متوجه ساختار بسیار خوب و قابل تحسین توسعه دهندگان اون شدم .و متوجه شدم این بازی مربوط به شرکتی به نام توسعه گستر شبیه ساز هست ،  هست که از سال ۱۳۸۰ کار خود را شروع کرده و فعالیتهای زیادی در زمینه های نرم افزاری انجام داده .

این بازی جدید من رو به یاد پروژه گوگل در مورد جنگ سیارات در زمینه هوش مصنوعی انداخت.

*اخیرا دوره دوم مسابقه برنامه نویسی هوش مصنوعی گوگل توسط دانشگلاه واترلو کانادا از ۲۷ سپتامبر گذشته شروع به کار کرده.

زبانهای برنامه نویسی بسیاری در این دوره پشتیبانی شده اند مانند C#, C++, Java, Python, PHP حتی Lisp هم شامل اونها هست. برای مشاهده لیست زیانهای پشتیبانی شده اینجا مراجعه کنید.

موضوع این دوره جنگ سیارات هست که الهام گرفته از بازی فلش Galcon هست. در این بازی باید تمامی سیارات دشمن رو تسخیر کنید. استراتژی و الگوریتم هوش مصنوعی که برای این منظور به کار می گیرید تعیین کننده پیروزی یا شکست شما خواهد بود. در این میان میتونید از سیاراتی که هنوز تسخیر نشده اند هم کمک بگیرید. به همین سادگی!

البته در این بازی هوش خود شما به کمک شما خواهد امد .

و البته این بازی و پیاده سازی اون میتونه نمونه خوبی برای تیم توسعه دهنده این بازی باشه .

به هرحال از هرچه بگذریم سخن دوست خوشتر است . طبق عادتهای گذشته همیشه کمی با ساختار امنیتی وبسایتهایی که به اوونها علاقه پیدا میکنم !! کمی آزمون و خطا انجام میدم ! که متاسفانه در این آزمون این بازی نمره مردود آورد ! این خبر را در قسمت انجمنهای بازی مطرح کردم (بار اول به طور ضمنی !) که مورد استحضا و دست کم گرفتن و … پست بنده در این بازی گرفتند. و وقتی اطلاعات تفضیلی در آخرین پست بنده برای اثبات مشکل در سرور و برنامه نویسی بازی ارسال شد و عنوان گردید که برای رفع مشکل با من تماس گرفته بشه ! به ناگهان پست در انجمن مربوطه پاک گردید که حاکی از ترس توسعه دهندگان بازی از دلسردی بازی کنندگان و پاک کردن صورت مسئله بود ! که برای من جای بسی سوال داشت ! در راستای این حرکت این پست را در این رابطه در وبلاگم ایجاد کردم که موضوعی رو بیان کنم و اوون مسئله این هست که متاسفانه در ایران هیچگونه روحیه انتقادی وجود نداره و بلافاصله قدم مثبت شما در راستای بهبود یک امر با رفتاری بسیار نسنجیده تقابل میشود .

به هر حال امیدوارم سازندگان بازی به مشکل خود پی ببرند ! و روحیه انتقاد پذیری رو در خود تقویت کنند .

به امید موفقیت تمامی دوستان .

پ ن ۰۱: بنده مدتها در سایت امنیتی kapda.ir کانون پژوهشگران دانش امنیت ایران عضو بودم ! ما به عنوان یک گروه Whitehat  فعالیت میکردیم تا اینکه کلیه اعضای گروه از ادامه فعالیت در این زمینه بدون هیچ پشتوانه مالی مائوس شدند و گروه پس از ۲ سال از ادامه کار در این زمینه انصراف داد .شایان ذکر است که اگر هم اکنون نیز به آرشیو سایتهای امنیتی سری بزنید باگهای مربوط به این گروه را خواهید یافت .و بسیاری از سایتهای ایرانی و سرورها را در مورد مشکلات امنیتیشان با خبر مینمودیم و در مقابل ، آنها نیز چون در پی ساز و کار و فعالیت اقتصادی خود بودند هیچگونه همکاری با نمینمودند  در صورتی که پیدا کردن یک باگ در سرور که دسترسی Root در  سرور ایجاد کند میلیونها تومان ارزش مادی برای توسعه دهندگان سرورها دارد .شایان ذکر است با باگهایی که ما در سیستمها کشف میکردیم قادر بودیم در یک روز رکورد بزرگترین گروههای امنیتی و هک را در zone-h  (سایتی جهت ثبت سایتهایی که هک میشوند) بشکنیم .

که این با تعریف یک هکر کلاه سفید به هیچ عنوان سازگار نیست .چه بسا سایتهایی که شنیدن نام آنها باعث شگفتی شما خواهند شد در دست ما بود اما تنها موضوع را اطلاع رسانی نمودیم .

به هرحال بنده از این باگ در این سرور هیچگونه استفاده ای ننمودم و حقوق کلیه دوستانی که در این سیستم بازی میکنند را نیز محفوظ نگاه داشتیم.

پ ن ۱۱ – این پست تنها یک گلایه بود.

عید غدیر بر تمام شما مبارک .

پانوشت :

با همکاری تیم یکسری از مشکلات حل شد . موفق باشی آسمان دژ .

هر روزه روشهای جدیدتری برای رسوخ به سیستمهای قربانیان کشف و استفاده میگردد .

یکی از این روشها روش ، موسوم به قطعه قطعه شدن برنامه مخرب است ،که  شامل تجزیه نرم افزارهای مخرب به قطعات کوچکتر به منظوروروود از طریق مرورگر قربانی میباشد  .این بد افزار به صورت تکه تکه وارد مرورگر شما میشود هر یک از این قسمتها به تنهایی هیچ سوء ظنی برای مرورگر و یا ضد ویروس شما ایجاد نمینماید و بعد از اینکه وارد شد میتواند به راحتی کلیه سیستمهای ایمنی شما غیرفعال نموده و به کار خود در سیستم شما ادامه دهد.

سناریو به چه شکل است :

نفوذگر در ایبتدا بدافزار خود را در یک صفحه WEb متصل میکند ، کد ابتدایی در ابتدا یک کد javascript  بسیار معمولی به نظر میرسد که در بارگذاری ابتدایی صفحه وارد سیستم شما میشود ، تا اینجا هیچ مشکلی وجود نخواهد داشت ، وقتی بازدید کننده منتظر بارگذاری ائامه صفحه میباشد کد جاوا اسکریپت مربوطه به تدریج تقااضاهای جدیدی برای دریافت قطعات کد آلوده درخواست میکند (در هرثانیه تنها چند بایت !!) اگر آنتی ویروس این قطعات را مورد بررسی قرار دهد به هیچ مورد مشکوکی نیز برنخواهد خورد ! در این هنگام کد جاوااسکریپت مربوطه  یک DOM(Document object method) میسازد و این باعث میشود مرورگر اطلاعاتی را به صورت متنی درون یک node بیافزاید .اینکار باعث میشود که کدی که درون SCRIPT ELEMT هست اجرا گردد .

شما میتوانید این مقاله را در این وبسایت مشاهده نمایید.

همیشه مقالات خوبی در زمینه امنیت مشاهده میکنم که خودم دیگه وقت نگارش و ترجمه مقالاتی رو که میخونم ندارم.

در ادامه مقاله ای بسیار خوب رو برای شما میگذارم که استفاده شایانی میتونید از این مقاله داشته باشید.

Continue reading “نفوذ از طریق دستورات Sql” »

مقدمه :

این مقاله در ادامه ی بخش اول مطرح می شود، در صورتی که بخش اول را مطالعه نکرده اید، ابتدا در اینجا بخش اول مقاله را مطالعه کرده و سپس به این بخش بپردازید.
Continue reading “جلوگیری از ورود اطلاعات نا معتبر در Database از طریق Sql Transaction (بخش دوم)” »

اگر در زمینه امنیت برنامه هاب کاربردی تحت وب کار کرده باشید حتما به وبسایتهایی بر خورده اید که با وروود داده نامعتبر بانک اطلاعاتی آنها از هم فرو مبپاشد .
و کلیه اطلاعات را میتوان از انها ردیافت نمود ! و نام کاربری و رمز مدیر وبسایت یکی از ساده ترین اطلاعاتی است که یک شخص نفوذگر به آنها دست پیدا خواهد نمود.
در این ۲ مقاله به بررسی چگونگی جلوگیری از این فرآیند خواهیم پرداخت.
Continue reading “جلوگیری از ورود اطلاعات نا معتبر در Database از طریق Sql Transaction (بخش اول)” »