تمدن – برگه 37 – طراوشات و دل نوشته های آشفتۀ من

حمله‌ی «ریدایرکت به SMB»- یک باگ ۱۸ ساله!

۲۷ فروردین ۱۳۹۴/۰ دیدگاه‌/در هک/توسط tamadonEH

سلام

SPEAR – Redirect to SMB By Brian Wallace

در این روش ما تکنیک جدیدی رو کشف کردیم که به واسطه‌ی اون می تونید داده‌های حساسی که برای لاگین‌کردن استفاده می شه رو به سرقت ببرید. این روش روی تمام سیستم‌های ویندوزی، تبلت‌ یا سرور جواب می ده. حداقل نرم‌افزارهای مربوط به ۳۱ شرکت بزرگ نسبت به این روش آسیب‌پذیرند؛ شرکت هایی مثل Adob، Apple، Box، Microsoft، Oracle و Symantec. گروه CERT دانشگاه Carnegie Mellon این آسیب‌پذیری رو کشف کردند و بعد از ۶ هفته کار و همکاری با این شرکت‌ها، سه روز پیش (۲۴ فروردین ۱۳۹۳ یا ۱۳ آوریل) این قضیه رو عمومی کردند.

در «ریدایرکت به SMB» هکر با استفاده از حمله‌ی مردی-در-میان بین سرور و شما قرار می گیره و با ارسال داده‌ها به یک سرور آلوده‌ی SMB، سرور رو مجبور به اعتراف می‌کنه(!) و سرور هم دودستی یوزرنیم، دامنه و پسورد هش‌شده رو، به جناب هکر تقدیم می‌کنه. برای مشاهده جزئیات این حمله به این مقاله ۱۸ صفحه‌ای مراجعه کنید.

بیشتر بخوانید

به احترام نابینایان

۲۴ فروردین ۱۳۹۴/۰ دیدگاه‌/در زندگی/توسط tamadonEH

سلام

respect blind child

در حرم امام رضا (ع) دختر بچه‌ای را دیدم که هیچ کلمه‌ای نمی‌توانست زیبایی او را وصف کند؛ چهره‌اش درخشنده بود و احتمالاً چشم‌هایش غرق معصومیت. اما حیف! حیف که چشمانش پشت نقاب عینک دودی‌اش مخفی شده بود. او که شاد بود اما غصه‌ی من از این بود که نمی‌توانم چشم‌های او را ببینم. غرق خیال بودم. تنها آرزویم این بود که کاش می‌شد به نحوی برای او کاری کنم تا لبخندش را ببینم. فرشته‌ی من که احتیاجی به این‌ها نداشت، پس این کار فقط و فقط به خاطر خودم بود… اصلاً انگار تمام دنیایم او شده بود. با خودم می گفتم اگر او خواهرم بود تمام دنیا را برای او می‌خواندم. اما واقعاً دنیای او چه شکلی بود؟

خودم را جای او گذاشتم. اگر من، او بودم و ۱۵ سال دیگر عاشق مردی می شدم یا حتی اگر مادر می‌شدم، چه حسی داشتم؟! این که عاشق کسی باشی و نتوانی او را تصور کنی چگونه است؟! احتمالاً تنها چیزی که می خواهم ببینم همین خواهد بود. واقعاً چه شکلی است؟ شاید هم من اشتباه می‌کنم… شاید تصور این دختر از صداها یا از لمس‌کردن بسیار قوی‌تر از من باشد… اصلاً که گفته منی که چشمِ سر دارم می توانم خوب درک کنم یا خوب بشناسم؟ اصلاً مگر درک‌کردن و حس‌کردن مساوی دیدن است؟!

نمی‌‌دانم… نمی‌دانم… اما این را می‌دانم که به این دختر و به تمام حس‌های او احترام می‌گذارم… ببخش اگر غلط نوشتم…

بیشتر بخوانید

معرفی ۷ افزونه امنیتی وردپرس

۱۹ فروردین ۱۳۹۴/۰ دیدگاه‌/در هک/توسط tamadonEH

سلام

۷ Best WordPress Security Plugins

مطلبی رو برای Hiva.ir ترجمه کردم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.

قبل از شروع: دروپال که ناامنی نداره که بخوام در موردش بنویسم؛ پس باید به فکر راه‌کارهای امنیتی در وردپرس بود :دی

وردپرس در بین سیستم‌های مدیریت محتوا از محبوبیت بیشتری برخورداره و تعداد سایت بیشتری با این CMS بالا آمده؛ بنابراین هکرها هم بیشتر روی این CMS کار می‌کنند. اما در اکثر مواقع آسیب‌پذیری‌های یافت شده در وردپرس، مربوط به افزونه‌ها و قالب‌هایی میشه که روی سایت یا وبلاگ شما نصبه. (نمونه: بدافزار SoakSoak که باعث در خطرافتادن بیش از ۱۰۰K سایت شد)

در ادامه به معرفی هفت افزونه امنیتی و بسیار مهم برای وردپرس که توسط infoSecInstitue لیست شده، خواهم پرداخت که باعث کاهش تهدیدات امنیتی خواهد شد.

WordPress 7 Security plugin

افزونه WordFence
افزونه BulletProof Security
افزونه Sucuri Security
افزونه iThemes Security (یا Better WP Security)
افزونه Acunetix WP SecurityScan
افزونه All In One WP Security & Firewall
افزونه ۶Scan Security

برای مشاهده توضیحات به ادامه‌ی مطلب مراجعه فرمائید.

بیشتر بخوانید

تبدیل گوگل‌مپ به زمینِ بازی دکمه خور

۱۳ فروردین ۱۳۹۴/۰ دیدگاه‌/در هک/توسط tamadonEH

سلام

می دونم خیلی وقته که نمی نویسم ولی ترجیح دادم اولین مطلبم بعد از مدت‌ها، معرفی یک سرگرمی جدید و قدیمی باشه.

Google Maps into a game of Pac-Man 2

بازی دکمه‌خور یا همون Pac-Man رو که یادمون هست؟ بازی‌ای که برای خیلی از ما کلی خاطره داره… این بازی احتمالا برای گوگل‌ هم نوستالوژی داره چون:

Google Map این ویژگی رو اضافه کرده که می تونید توی نقشه‌هایی که از خیابون‌های واقعی تهیه شده، این بازی رو بوت کنید.

کافیه وارد این آدرس بشید و در گوشه‌ی سمت چپ از پایینِ صفحه، روی آیکن این بازی کلیک کنید.

بیشتر بخوانید

تست نفوذپذیری روی قالب وب‌سایت

۹ اسفند ۱۳۹۳/۰ دیدگاه‌/در هک/توسط tamadonEH

سلام

مقاله ای در این زمینه برای Hiva.ir نوشتم که گفتم خوبه توی وبلاگ خودم هم منتشرش کنم.

ممکنه که قالب وب سایت خودتان را از سایت معتبری دانلود کنید و حتی همین قالب هم ممکن است آلوده به بدافزار شوند. سوال این است که:

از کجا آلوده بودن یا آسیب‌پذیری یک قالب را می توان مورد آزمایش قرار داد؟ خوب احتمالا کار راحتی نیست و شاید نتوان گفت که این قالب حتما امن است اما بالاخره باید از یک جایی شروع کرد:

website-audit-kit-landing