• صفحه اصلی
  • تامین امنیت سایت
  • آموزش جامع
    • کلوپ امنیت 1
    • کلوپ امنیت 2
    • کلوپ امنیت پیشرفته
    • دوره تست نفوذ api
    • دوره جامع osint
    • دوره متخصص pentest
    • دوره امنیت وردپرس
    • رایتاپخونه پلی برای کسب تجربه
    • دوره منتورینگ vip با بهروز منصوری
  • غیر رسمی
  • بلاگ
  • ارتباط با ما
 

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
  • صفحه اصلی
  • تامین امنیت سایت
  • آموزش جامع
    • کلوپ امنیت 1
    • کلوپ امنیت 2
    • کلوپ امنیت پیشرفته
    • دوره تست نفوذ api
    • دوره جامع osint
    • دوره متخصص pentest
    • دوره امنیت وردپرس
    • رایتاپخونه پلی برای کسب تجربه
    • دوره منتورینگ vip با بهروز منصوری
  • غیر رسمی
  • بلاگ
  • ارتباط با ما
0

هنوز هیچ محصولی خریداری نکرده اید.

وبلاگ

مرزبان بلاگ غیر رسمی شماره 3 غیر رسمی

شماره 3 غیر رسمی

غیر رسمی
ارسال شده توسط بهروز منصوری
1401/09/11
258 بازدید

 

سلام بهروزم و با شماره 3 غیر رسمی در خدمتتون هستم.

غیر رسمی شماره 3 مربوط به تاریخ ۵ تا ۱۱ آذر ۱۴۰۱ هستش.

 

نکته جالب در آسیب پذیری xss

این هفته داشتم ویدیویی رو نگاه میکردم که نکته جالبی داشت که پیشنهاد میکنم اینجا حتما خودتون یک بار مشاهده کنید.

نفوذگر مشغول بررسی آسیب پذیری xss در قسمت چت آنلاین سایت بود.

متوجه میشه که وقتی اولین پیام رو ارسال میکنه و اسمش را وارد میکنه یه متن به صورت اتوماتیک برمیگرده.

در واقع یه حالت خوشامدگویی داره.

مثلا تو سایت های داخلی اینطوری میزنه که “بهروز منصوری چه کمکی می تونم بهتون کنم؟”

چون اسم داخل متن خوشامدگویی برمیگرده، هکر تصمیم میگیره که دستور xss رو سری اول به جای اسم خودش قرار بده.

نکته همینجاست که جواب میده 😉 

 

کلاهبرداری خرید از بانه

جدیداً کلاهبرداری از طریق پیج های فروش لوازم خانگی و خرید از بانه زیاد شده.اتفاقاً یه نمونه رو من برخورد داشتم.

این هفته یکی از اقوام گفت یه پیج اینستاگرامی که ۶۰۰ هزار نفر هم دنبال کننده داشته سرشون کلاه گذاشته. مبلغ ۱۰ میلیون برای خرید تلویزیون زده بودن ولی ۲ ماه بود که امروز فردا میکرد 😥 

با بررسی پیج مشخص شد که دنبل کننده ها فیک هستن چون کلا ۲۰ تا لایک میخورد 😀 

نکته جالب اینجاست که روزی ۲۰-۳۰ تا استوری از ارسال محصول برای اقای x و خانم y قرار میداد که مردم رو گول بزنه.

تنها چیزی که ازش داشتن یه شماره موبایل بود که اونم فقط پیامک جواب میداد.

اینجا بود که با یه اوسینت ساده طرف رو گیر انداختیم.

اول اون شماره رو داخل گوگل سرچ کردم و دیدم یه آگهی ۳ سال پیش تو یه سایتی ثبت کرده برای فروش لوازم خانگی.

نکته مهم اینجا بود که اونجا یه شماره ۹۱۲ هم علاوه بر شماره قبلی وجود داشت.

اون شماره ۰۹۱۲ را جستجو کردم و دیدم یه پیج دیگه هم دارن که مثلا محصولات رو از دبی وارد میکنن.

یه پیج دیگه هم پیدا کردیم که مربوط به یه گروه ساختمان سازی بود.

داخل اون پیج عکس خود کلاهبردار هم بود.

خلاصه هویت طرف مشخص شد 😀 

به اون شماره زنگ زدیم که فلانی بیا پول رو بده ردت رو زدیم و اگر تا اینجا رو اومدیم، شک نکن که آدرس دقیقت هم در میاریم.

طرف هم ترسید همون شبانه پول رو کارت به کارت کرد.

 

مورد اینجاست که اون کلاهبردار یادش نبود که ۳ سال پیش تو سایتی آگهی کرده.

پس پیش خودش فکر میکنه که ای بابا اینا لابد به جایی وصل هستن که تونستن آمار اون یکی خط رو در بیارن 😀 

 

هک شدن خبرگزاری فارس

در مورد هک های اخیر خیلی از بچه ها تو اینستا و تلگرام پیام میدادن که توضیح بدید چطوری بوده.

واقعیت اینه که چون هیچ گزارشی منتشر نشده هرچی بگیم صرفا حدس و گمان هستش.

اما میشه ۲ سناریو رو در نظر گرفت.

 

سناریو اول

دسترسی به شبکه گرفته شده و از طریق اون به mail server هم دسترسی گرفتن.اکانت توییتر یکی از مدیران این خبرگزاری هم زدن.

احتمالاً از طریق فراموشی رمز عبور پسوردش رو به دست آوردن.حالا چرا فراموشی رمز عبور؟ چون با ایمیل سازمانی اومده توییتر رو ساخته.

 

سناریو دوم

ابتدا از طریق کلاینت هکینگ به سیستم اون مدیر دسترسی گرفتن.

از طریق همون سیستم و با توجه به دسترسی هایی که داشته به بخش های دیگه دسترسی گرفته شده.

 

 

برچسب ها: mail serverxss reflectedآسیب پذیری xssبهروز منصوریخبرگزاری فارسغیر رسمیکلاینت هکینگنفوذگرهکهکر

قدیمی تر شماره 2 غیر رسمی
جدیدتر شماره 4 غیر رسمی

محصولات فروش ویژه
  • چطور با گزارش خوب در سایت‌های داخلی کسب درآمد کنیم؟
    کسب درآمد از طریق گزارش باگ در سایت‌های داخلی
  • دوره درک عمیق آسیب‌پذیری
    درک عمیق آسیب‌پذیری
  • مینی دوره مهندسی اجتماعی
    مینی دوره مهندسی اجتماعی
  • گزارش نویسی حرفه ای در باگ هانتینگ
    گزارش نویسی حرفه‌ای در Bug Hunting
دسته‌ها
  • رایتاپ
  • غیر رسمی
  • مقالات آموزشی
  • وبلاگ
  • ویدیوهای آموزشی
درباره ما

هدف از راه‌اندازی این سایت تلاش در جهت ورود شما به بازار کار است.افراد زیادی را میشناسیم که مشغول کارهای کارمندی هستند، شاید حتی پول نسبتا خوبی هم به دست میاورند ولی از کارشان لذت نمیبرند.

هدف ما اینجا این است که شما از کاری که علاقه‌ دارید و از انجام دادنش لذت می‌برید به صورت قانونی پول در بیاورید و نکته مهم اینجاست که حوزه هک و امنیت یک حوزه پولساز است به شرط این که راه درست را انتخاب کنید و از مسیر درست به دنبال نتیجه گرفتن باشید.

دسترسی سریع
  • دوره منتورینگ vip بهروز منصوری
  • کلوپ امنیت 1
  • کلوپ امنیت 2
  • کلوپ امنیت پیشرفته
  • دوره تست نفوذ api
  • دوره جامع اوسینت
  • دوره امنیت وردپرس
  • دوره متخصص pentest
  • رایتاپخونه
  • ارتباط با ما
  • تماس: 09126216410
  • ایمیل: mr.mansoori@yahoo.com

تمامی حقوق برای مرزبان محفوظ می باشد.

طراحی توسط مرزبان

در صورت نیاز به مشاوره می توانید فرم را تکمیل نمایید و یا با ما در ارتباط باشید.

جستجو

جستجو با زدن Enter و بستن با زدن ESC