شماره ۲۷ غیر رسمی
سلام بهروزم و با شماره 27 غیر رسمی در خدمتتون هستم.
غیر رسمی 27 مربوط به تاریخ 05 تا 11 مهر 1404 هستش.
تقریباً بعد از ۶ ماه رسیدم خدمتتون.چرا اینقدر فاصله افتاد؟؟ چون مثل همیشه سرم شلوغ بود و خب چون می خواستم این بخش رو خودم براتون بنویسم پس نشد که نشد تا امروز که در خدمتتون هستم.
وقتی به ۶ ماه گذشته نگاه میکنم حس میکنم چندسال گذشته.این مدت خب خیلی کارا انجام دادم.
۲ تا دوره تخصصی در این بازه زمانی منتشر کردیم.اولی منطق سیاه: نفوذ به وب و بعدی متخصص idor.
این هفته آخرین سری ثبت نام با قیمت قدیم برای کلوپ امنیت ۱ و پیشرفته هم داشتیم.
ریکان رو جدی بگیر ➡
بارها به این مورد اشاره کردم که یه ریکان خوب می تونه مارو به آسیب پذیری برسونه.
قرار نیست در باگ بانتی حتماً فرایند پیچیده ای تست بشه که به بانتی خوب برسید.
برای نمونه این رایتاپ رو مشاهده کنید.
قرار نیست اولین هانتر برنامه باشی
چند وقت پیش یکی از دانشجوهام گفت فلان برنامه داشتم تست میکردم یکسری کد دیدم فهمیدم یکی قبل من تست کرده.
پس بیخیالش شدم و ادامه ندادم.
این باور که چون یکی از من زودتر تست کرده پس دیگه آسیب پذیری نداره کاملاً اشتباهه.
در این رایتاپ با وجود نشانه های زیاد مبنی بر تست شدن برنامه توسط هانترهای دیگه، هانتر داستان ما بررسی کرده و idor پیدا کرده.
گاهی واضحترین تستها بزرگترین نتایج رو میدن!
این دقیقا جمله خود هانتره.
جایی که اومده تست کرده و دیده سایت قابلیتی داره که کاربران می تونن اطلاعات پروفایلشون رو آپدیت کنن.
اما سرور بهدرستی بررسی نمیکنه که آیا کاربر اجازه تغییر فیلدهای حساس رو داره یا نه.
این نقص به هانتر اجازه داد در لحظه حسابش رو از یک کاربر عادی به مدیر تبدیل کنه.
رایتاپ رو مطالعه کن عالیه!
اگر به هک و امنیت علاقه داری، زمان رو از دست نده، همین الان در کلوپ امنیت ۱ شرکت کن تا هک رو اصولی بهت آموزش بدم.
“شماره 27 غیر رسمی”
