۹ کاری که با انجام‌دادن آن، هکرها را شرمنده‌ خواهید کرد

سلام

9 things you may be doing that make you the perfect target for a hacker

قبل از نوشتن بگم که این مطلب برای افراد متخصص نیست و بیشتر جنبه‌ی عمومی داره. پس شاید لازم نباشه وقت‌تون رو برای خوندنش هدر بدید و صرفا خوندن تیترها برای شما کافی باشه.

شاید بپرسید پس برای چی در موردش نوشتم؟!! و جواب اینه که دوباره باید به نحوی نوشتن رو شروع کنم و فرقی نمی‌کنه از کجا باشه... بریم سراغ این مطلب:

easy target

همیشه‌ی خدا، هک اتفاق میافته. بعضی وقتا به دلیل اکسپلویت‌ها و مشکلات فنی‌ـه و گاهی هم به دلیل خطاهای انسانیه.

بهترین راه برای جلوگیری از هک‌شدن اینه که بدونید چه چیزهایی باعث ناامنی میشه.

در اینجا ۹ مورد رایج که منجر به هک‌شدن میشه رو لیست کردم که در ادامه به توضیحات اون می‌پردازم:

  • پسوردتون خیلی تابلو باشه
  • از اعتبارسنجی دومرحله‌ای استفاده نکنید
  • استفاده از wi-fiهای رایگان
  • داده‌های خصوصی رو در سایت‌های ناامن وارد کنید
  • خرید و پرداخت از مزایده‌های مشکوک و آنلاین
  • فایل‌های پیوست و attachment رو باز کنید
  • کلیک روی لینک و وارد کردن اطلاعات شخصی بدون چک کردن URL
  • از پسورد یکسانی برای سرویس‌های مختلف استفاده کنید
  • شما انسان هستید

 

نمایش رمزعبور سیستم راه‌آهن لندن در مستند تلویزیونی

سلام

London Railway System Passwords Exposed During TV Documentary

London Railway System Passwords Exposed During TV Documentary

مستند BBC برنامه‌ای از یکی از ایستگاه‌های اصلی راه‌آهن در لندن تهیه می‌کنه و در یکی از صحنه‌ها، زمانی که داشته مانیتور موجود در این ایستگاه رو نمایش می‌داده معلوم میشه که کاربر سیستم، یوزرنیم و پسوردش رو به بالای مانیتورش چسبونده بوده و اینجوری کل دنیا از داده‌های مربوط به اعتبارسنجی این کاربر  آگاه می‌شن.
فایل مستند در حدود ۴۴ دقیقه روی سایت یوتویوب قرار داشته که البته الان حذفش کردند اما آیا حذف چیزی که روی اینترنت میاد ممکنه؟!
راستی پسورد(Password3) رو هم که مشاهده می‌کنید چقدر قویه!!
من دیگه حرفی ندارم crying

من و مهمان‌نوازی چوپان‌ها

سلام

man ma mehmannvazi choopanha 000

شاید خوندن این داستان، برای بعضی‌ها عجیب بیاد و فکر کنند که دارن یک فیلم می‌بینند اما همه چیز واقعیه...

ساعت ۶ صبح از خواب بیدار شدم و یک صبحونه‌ی مفصل خوردم تا خودم رو برای سفری که بهش می‌گم «Roadtrip» آماده کنم. توی کوله‌پشتی فقط مواردی که فکر می‌کردم واقعا به دردم می‌خوره رو برداشته بودم... تجربه‌ی این‌جور سفرها رو از قبل داشتم و می‌دونستم از زمانی که وسیله‌‌ رو پارک می‌کنم نهایتا ۲ ساعت پیاده‌روی دارم. یعنی می‌شد ۲ ساعت رفت + ۲ ساعت برگشت + ۲ ساعت هم اطراق کنار دریاچه!

نقشه و راه‌های رسیدن به اون رو شب قبل از اینترنت پیدا کرده بودم و فقط کافی بود طبق نقشه جلو برم... اما آیا واقعا کافی بود؟!!! در قسمت نتیجه گیری به این سوال پاسخ می‌دم!

مهارت‌های انتزاعی و لمس‌ناپذیر برای هکر شدن

سلام

Required Intangible Skills to become a hacker

قبلا مطلبی در وبلاگ داشتم با عنوان:«مهارت های فنی و تخصصی لازم برای هکر شدن» و حالا در این مطلب نگاهی خواهم داشت به مباحث فلسفی و روانشناسی در خصوص هکرهای عزیز.

در نگاه اول ممکن‌ است فکر کنید هکینگ با فلسفه و روان‌شناسی ارتباطی ندارد اما باور کنید اینطور نیست؛ جدای از مهارت‌های فنی، موفقیت هر نوع حمله یا هکی به خصوصیات روانشناسانه‌ی هکر بستگی دارد...

Required Intangible Skills to become a hacker

مهارت‌های انتزاعی و لمس‌ناپذیر

«تمرکز» کلید موفقیت هر جنبه‌ای از زندگی است؛ روی هدفی که به دنبال کسب آن هستید متمرکز شوید...

روز معلم

سلام
یادمه دبستان و راهنمایی که بودیم «روز معلم» روز خاصی بود و باید برای معلم‌هامون هدیه می‌گرفتیم. هرچی بزرگ‌تر می‌شدیم این روز برامون کم‌رنگ‌تر می‌شد و نهایتاً توی دانشگاه صرفاً به یه تبریک اکتفا می‌کردیم؟!! اگرچه سر کلاسِ استادی که بیشتر از بقیه واسمون عزیز بود و به نحوی قاطی‌ـه بچه‌ها بود، شیرینی هم می‌گرفتیم و اینجوری نصف کلاس می‌پرید! خوب این‌هم از تاریخچه اما...

Happy teacher's day

اگر شما کلاً استادها رو حساب نمی‌کنید که هیچ... ولی اگر مثل من استادی دارید که همیشه واستون عزیزه و به شاگردیش افتخار می‌کنید الان بهترین موقع برای اینه که یه حرکتی بزنید :)

چند وقت پیش، داشتم نوشته‌های قدیمی رو چک می کردم تا هم تجدید خاطره شه و هم کمی از دنیای صرفاً تکنولوژی فاصله بگیریم؛ تا اینکه به مقاله‌ی مشهور اریک ریموند رسیدم. اونجایی که می گفت:

To follow the path, look to the master, follow the master, walk with the master, see through the master, become the master.

حمله‌ی «ریدایرکت به SMB»- یک باگ ۱۸ ساله!

سلام

SPEAR - Redirect to SMB By Brian Wallace

در این روش ما تکنیک جدیدی رو کشف کردیم که به واسطه‌ی اون می تونید داده‌های حساسی که برای لاگین‌کردن استفاده می شه رو به سرقت ببرید. این روش روی تمام سیستم‌های ویندوزی، تبلت‌ یا سرور جواب می ده. حداقل نرم‌افزارهای مربوط به ۳۱ شرکت بزرگ نسبت به این روش آسیب‌پذیرند؛ شرکت هایی مثل Adob، Apple، Box، Microsoft، Oracle و Symantec. گروه CERT دانشگاه Carnegie Mellon این آسیب‌پذیری رو کشف کردند و بعد از ۶ هفته کار و همکاری با این شرکت‌ها، سه روز پیش (۲۴ فروردین ۱۳۹۳ یا ۱۳ آوریل) این قضیه رو عمومی کردند.

در «ریدایرکت به SMB» هکر با استفاده از حمله‌ی مردی-در-میان بین سرور و شما قرار می گیره و با ارسال داده‌ها به یک سرور آلوده‌ی SMB، سرور رو مجبور به اعتراف می‌کنه(!) و سرور هم دودستی یوزرنیم، دامنه و پسورد هش‌شده رو، به جناب هکر تقدیم می‌کنه. برای مشاهده جزئیات این حمله به این مقاله ۱۸ صفحه‌ای مراجعه کنید.

RedirectToSMB banner

به احترام نابینایان

سلام

respect blind child

در حرم امام رضا (ع) دختر بچه‌ای را دیدم که هیچ کلمه‌ای نمی‌توانست زیبایی او را وصف کند؛ چهره‌اش درخشنده بود و احتمالاً چشم‌هایش غرق معصومیت. اما حیف! حیف که چشمانش پشت نقاب عینک دودی‌اش مخفی شده بود. او که شاد بود اما غصه‌ی من از این بود که نمی‌توانم چشم‌های او را ببینم. غرق خیال بودم. تنها آرزویم این بود که کاش می‌شد به نحوی برای او کاری کنم تا لبخندش را ببینم. فرشته‌ی من که احتیاجی به این‌ها نداشت، پس این کار فقط و فقط به خاطر خودم بود... اصلاً انگار تمام دنیایم او شده بود. با خودم می گفتم اگر او خواهرم بود تمام دنیا را برای او می‌خواندم. اما واقعاً دنیای او چه شکلی بود؟

خودم را جای او گذاشتم. اگر من، او بودم و ۱۵ سال دیگر عاشق مردی می شدم یا حتی اگر مادر می‌شدم، چه حسی داشتم؟! این که عاشق کسی باشی و نتوانی او را تصور کنی چگونه است؟! احتمالاً تنها چیزی که می خواهم ببینم همین خواهد بود. واقعاً چه شکلی است؟ شاید هم من اشتباه می‌کنم... شاید تصور این دختر از صداها یا از لمس‌کردن بسیار قوی‌تر از من باشد... اصلاً که گفته منی که چشمِ سر دارم می توانم خوب درک کنم یا خوب بشناسم؟ اصلاً مگر درک‌کردن و حس‌کردن مساوی دیدن است؟!

نمی‌‌دانم... نمی‌دانم... اما این را می‌دانم که به این دختر و به تمام حس‌های او احترام می‌گذارم... ببخش اگر غلط نوشتم...

معرفی ۷ افزونه امنیتی وردپرس

سلام

7 Best WordPress Security Plugins

مطلبی رو برای Hiva.ir ترجمه کردم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.

قبل از شروع: دروپال که ناامنی نداره که بخوام در موردش بنویسم؛ پس باید به فکر راه‌کارهای امنیتی در وردپرس بود :دی

وردپرس در بین سیستم‌های مدیریت محتوا از محبوبیت بیشتری برخورداره و تعداد سایت بیشتری با این CMS بالا آمده؛ بنابراین هکرها هم بیشتر روی این CMS کار می‌کنند. اما در اکثر مواقع آسیب‌پذیری‌های یافت شده در وردپرس، مربوط به افزونه‌ها و قالب‌هایی میشه که روی سایت یا وبلاگ شما نصبه. (نمونه: بدافزار SoakSoak که باعث در خطرافتادن بیش از 100K سایت شد)

در ادامه به معرفی هفت افزونه امنیتی و بسیار مهم برای وردپرس که توسط infoSecInstitue لیست شده، خواهم پرداخت که باعث کاهش تهدیدات امنیتی خواهد شد.

WordPress 7 Security plugin

  • افزونه WordFence
  • افزونه BulletProof Security
  • افزونه Sucuri Security
  • افزونه iThemes Security (یا Better WP Security)
  • افزونه Acunetix WP SecurityScan
  • افزونه All In One WP Security & Firewall
  • افزونه 6Scan Security

برای مشاهده توضیحات به ادامه‌ی مطلب مراجعه فرمائید.

تبدیل گوگل‌مپ به زمینِ بازی دکمه خور

سلام

می دونم خیلی وقته که نمی نویسم sad ولی ترجیح دادم اولین مطلبم بعد از مدت‌ها، معرفی یک سرگرمی جدید و قدیمی باشه.

Google Maps into a game of Pac-Man 2

بازی دکمه‌خور یا همون Pac-Man رو که یادمون هست؟ بازی‌ای که برای خیلی از ما کلی خاطره داره... این بازی احتمالا برای گوگل‌ هم نوستالوژی داره چون:

Google Map این ویژگی رو اضافه کرده که می تونید توی نقشه‌هایی که از خیابون‌های واقعی تهیه شده، این بازی رو بوت کنید.

کافیه وارد این آدرس بشید  و در گوشه‌ی سمت چپ از پایینِ صفحه، روی آیکن این بازی کلیک کنید.

تست نفوذپذیری روی قالب وب‌سایت

سلام

مقاله ای در این زمینه برای Hiva.ir نوشتم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.

ممکنه که قالب وب سایت خودتان را از سایت معتبری دانلود کنید و حتی همین قالب هم ممکن است آلوده به بدافزار شوند. سوال این است که:

از کجا آلوده بودن یا آسیب‌پذیری یک قالب را می توان مورد آزمایش قرار داد؟ خوب احتمالا کار راحتی نیست و شاید نتوان گفت که این قالب حتما امن است اما بالاخره باید از یک جایی شروع کرد:

website-audit-kit-landing

صفحه‌ها