فایل‌های کارگاه آموزشی امنیت وب مورخ 23/06/1389 ‬

کارگاه آموزشی امنیت وب

سلام

• پسوند : PDF
• سال انتشار : 1389
• زبان : فارسی
• تعداد صفحه : 115
• حجم : 3.88 مگابایت
• نویسنده : نیلوفر فتحی | سید هادی هاشمی

آموزش رکن جدا نشدنی امنیت شبکه‌ها محسوب می شود. جدید بودن موضوع امنیت در ایران و نیاز به آموزش‌های بومی و همچنین به روز بودن موضوع امنیت، ضرورت کارگاه‌های آموزشی را دو چندان می‌کند. در این کارگاه آموزشی با مقدمه ای درباره معماری امن و زیرساخت های وب و تحلیل کارکرد وب شروع و با تشریح حملات قدیمی و توضیح و تحلیل حملات جدید وب پایان می یابد .

 

ادامهٔ این نوشته را بخوانید

آموزش برنامه نویسی سوکت (socket)

سلام

شاید اولین نفری باشم که یک آموزش فارسی از سوکت نویسی در Php براتون نوشتم . این آموزش رو من مدتی قبل توی انجمن امنیتی آشیانه انتشار دادم و بعدش هم د ر Pc7 حالا بعدش از کجا سر در اورد باخبر نیستم 🙂 .

امیدوارم برای اولین شروع کار مفید باشه .

خب اول یه مقدّمه روی کار باشه بد نیست …. سوکت ها اگر بخوام یه تعریف ساده بگم با مثال میتونم به سیستم چت اشاره کنم … یا ارتباط بین دو شبکه .
مثلا ما میتونیم یک سیستم چت درست کنیم که 2 طرف یا … با اتصال به یک آیپی و پورت با هم تبادل اطلاعات کنند .
یا میتونیم API برای سرویسی که برنامه نویسی کردیم درست کنیم . که سایت های دیگر اطلاعات را به آیپی و پورتی که سوکت تشکیل داده ارسال کنند و …
یا میتونیم توی کارای هک و … هم ازش استفاده کنیم

به طور کلی شما با توابع سوکت در php یک به یک آیپی و چورت کانکت میشید و هر سیستمی که به آن ip و port اتصال پیدا کند میتواند تبادل اطلاعات و دریافت داده را داشته باشد.

ادامهٔ این نوشته را بخوانید

خداحافظ حملات XSS در PHP

سلام به دوستان 😀

پر انرژی هستم چون … طی گشت و گذارم یک اسکریپت که نمیشه گفت یه بچه اسکریپت پیدا کردم بدم بهتون کلی باهاش حال کنید این کد میاد به طور اتوماتیک وار آدرس بار رو چک میکنه و این امر باعث میشه که با استفاده از فیلتر هایی که انجام میده و محدودیت هایی که ایجاد میکنه از حملات XSS جلوگیری کنه به طور کلی مثل هلو میپره تو گلو …

سورس در ادامه 😀 ادامهٔ این نوشته را بخوانید

هکرها و سرقت اطلاعات پزشکی!

سلام

گروهی از هکرها موفق شدند پس از ورود به رایانه های مرکز خدمات بهداشتی دانشگاه کالیفرنیا در برکلی اطلاعات شخصی مربوط به بیش از ۱۶۰ هزار دانشجو، فارغ التحصیل و … را از آن سرقت کنند. شلتون واگنر مدیر مرکز فناوری دانشگاه کالیفرنیا در برکلی طی یک کنفرانس مطبوعاتی توضیح داد بخش پرخطر این سرقت مربوط به اطلاعات ۹۷ هزار نفری می شود که شماره های «تامین اجتماعی» آنها هم اکنون در دست سارقان اینترنتی افتاده است.

اما هنوز به درستی مشخص نیست هکرها بتوانند این شماره ها را با نام اشخاص هماهنگ کنند. این هکرها موفق شدند به یک سایت اینترنتی عمومی دسترسی پیدا کنند و اطلاعات پایگاه داده که روی همان سرور ذخیره شده بود را در اختیار بگیرند. این سایت اینترنتی شامل اطلاعات درمانی بیمه یی و اطلاعات پزشکی غیردرمانی می شد که از جمله آنها می توان به اطلاعات واکسیناسیون و مشخصات پزشکان اشاره کرد. حمله به این سرور از تاریخ نهم اکتبر ۲۰۰۸ آغاز شده و تا نهم آوریل ادامه داشته است. گفته می شود زمانی که یکی از مدیران شبکه رایانه یی این مرکز در حال بررسی و رفع مشکلات احتمالی سایت بود، به طور ناگهانی با پیغام به جا مانده از یکی از هکرها مواجه شد. گفته می شود این سرقت از خارج مرزهای امریکا صورت گرفته است.

منبع :

آستالاویستا – رسانه امنیت دیجیتال : http://www.astalavista.ir

FBI database hacked

سلام

خبر انگلیسی گذاشتم 😀 این هم هک شد که شد ! 😀 حقشونه ! :d

Using applications easily found online, together with a touch of social engineering, a 28-year-old consultant was able to pull hashes from FBI data bases and crack the bureau’s classified computer system, accessing the passwords of 38,000 employees including FBI director Robert S. Mueller III’s.

«As a direct result, the bureau said it was forced to temporarily shut down its network and commit thousands of man-hours and millions of dollars to ensure no sensitive information was lost or misused,» says The Washington Post, going on that Joseph Thomas Colon hadn’t, «intended to harm national security» but his, » ‹curiosity hacks› nonetheless exposed sensitive information».

«Colon, 28, an employee of BAE Systems who was assigned to the FBI field office in Springfield, Ill., said in court filings that he used the passwords and other information to bypass bureaucratic obstacles and better help the FBI install its new computer system. And he said agents in the Springfield office approved his actions.»

Colon admitted to four counts of intentionally accessing a computer while exceeding authorized access and obtaining information from any department of the US and now faces up to 18 months in jail, The Washington Post, pointing out, «He has lost his job with BAE Systems, and his top-secret clearance has also been revoked.»

Colon’s lawyers said FBI officials in the Springfield office, «approved of what he was doing, and that one agent even gave Colon his own password, enabling him to get to the encrypted database in March 2004,» says The Washington Post.

«Because FBI employees are required to change their passwords every 90 days, Colon hacked into the system on three later occasions to update his password list.»

The FBI’s struggle to modernize its computer system has been a recurring headache for Mueller and has generated considerable criticism from lawmakers, the story adds.

جلوگیری از حملات SQL Injection در ASP.NET

در این مقاله فرض شده است که خواننده با اصول اولیه زبان پرس و جوی ساخت یافته (Structured Query Language) یا همان SQL آشنا است. در ضمن کدهای موجود در این مقاله تماما به زبان VB.NET می باشند

یک حمله SQL Injection چیست؟

حتما در فیلمهای سینمایی دیده اید که بسیاری از تبهکاران قربانیان خود را با تزریق مواد سمی به جای دارو از میان بر می دارند. آیا در دنیای سایبر نیز چنین ایده هایی وجود دارد؟ در کمال تعجب باید بگویم که بله!! هکرها هم به نوعی از این شگرد استفاده می کنند. می گویید چگونه؟ با تزریق کردن دستورات SQL مورد علاقه خود به Application شما! اجازه دهید تا با یک مثال مطلب را روشن تر کنم:

سیستم Login:

صفحات Login معمولا دارای فیلدهایی هستند که دو مقدار ID و Password را از کاربر گرفته و سپس با استفاده از یک دستور SQL آن را پردازش می کنند. نمونه ساده ای از این دستور به صورت زیر است:

SELECT COUNT(UserID) FROM tblUsers WHERE UserID=’” & UserID.Text & “‘ AND Pass=’” & Password.Text & “‘”

در این مثال UserID و Password دو کنترل TextBox هستند که مقادیر آنها بایستی مورد پردازش قرار گیرد. حال فرض می کنیم کاربر مقادیر را به صورت mahdi و ۱۲۳ وارد نماید، در این صورت جمله SQL به صورت زیر تولید می شود:

SELECT COUNT(UserID) FROM tblUsers WHERE UserID=’mahdi’ AND Pass=’123′
خوب تا اینحا مشکلی وجود ندارد. حال فرض کنید که هکر ما به جای کلمه کاربری خود عبارت زیر را وارد نماید:

‘ OR 1=1 –

در این صورت عبارت SQL زیر تولید خواهد شد: ادامهٔ این نوشته را بخوانید

McAfee VirusScan Offline Update – 17 Feb 2009 – for all editions

سلام

McAfee AntiVirus

اینم یک پست دیگه برای بروز رسانی آفلاین مک آفی ( mcAfee ) که روی تمامی ویرایش های این آنتی ویروس قدرتمند کار میکنه 😀 به کارت میاد آره ؟ حجمش به اندازه حفظ اطلاعاتت توی این دنیای نا امن مجازی می ارزه 😀 باور نداری؟> امتحان کن !

ادامهٔ این نوشته را بخوانید

NOD32 Offline Update – 19 Feb 2009

سلام

Eset NOD32

این هم آخرین آپدیت آنتی ویروس NOD32 برای شما ! 😀 برید حاشو ببرید !

دیدم یه مدت هست که راجع به مسائل امنیتی کم حرف میزنیم گفتیم اینجور چیزا هم بزاریم تا شاید به ما امید دادید ! 😀

لینک دانلود :

http://rapidshare.com/files/199987955/nod32offlineupdates20090219_www.softarchive.net.rar

آموزش آپدیت آفلاین هم در ادامه به صورت انگلیسی ! 😀

ادامهٔ این نوشته را بخوانید

امشب عجب شبی هستش !

سلام

خوب یادتونه اوایل راجع به اسکریپت امنیتی که در حال نوشتن اون هستم حرف میزدم؟ آره آره خودشه :d

امشب میخوام بزارم اینجا و انجمن هایی که تو اونها فعالیت میکنم . البته طبق اون توضیحاتی که دادم کمی تغییراتی هم به اجبار دادم 😀 ( حالا بماند چی شد )

این اسکریپت اصله کارش توی نسخه 1 بتا شده اکثر یا کاملا از حملات sql injection جلوگیری میکنه در مورد xss هم فعلا تا حدودی میتونه از خطرش جلوگیری کنه توی نسخه 1 کامل ایشالله هر دوتا به صورت کامل جلوگیری میکنند

تا امشب منتظر باشید :d –

امتحان زبان فارسی هم زمان با اسکریپت امنیتی !! :(

سلام به دوستان !الان که دارم این مطلب رو مینویسم یک دستم دفتر جزوه زبان فارسی هستش یک دستم هم به کیبورد !!

فردا امتحان عقب مونده ترم داریم 😦 دو تا درس دیگه هم مونده باید بخونم تا 12 شب وقت داریم 😦 از شانس ما همزمان شده با اسکریپت امنیتی که در حال نوشتن اون هستم برام دعا کنید امتحان ترم رو خوب بدم مخصوصا این آخری :دی

… 10 دقیقه بعد !

الان توی یاهو واسه سرگرمی آنلاین بودم که یک دخـتـری که فامیل هم هست و ازش هم خیلی بدم میاد پی ام داده بود که این هفته المپیاد داریم :دی شما هم دارین

من هم گفتم آزمایشی یا اصلی گفت اصلی گفتم نه ولله مدرسه رو تابلو اعلانات نزدند برامون خلاصه بعد یه خیلی حرف و صحبت در رابطه با اینکه نزدند ( واقعا هم نزده بودند )

تیکه ای که همیشه باید بندازه رو میندازه که – که آره 20 نفره برتر مدرسه رو انتخاب میکنند ( منظورم رو که متوجه شدید؟ ) من هم دیگه داغ کردم درباره جشنواره خوارزمی که میخوام شرکت کنم ریختم وسط اون هم ساکت شد و دیگه جوابی نشنیدم ازش !!! :دی

بریم سره اصله مطلبمون ….

خوب داشتم میگفتم فردا امتحان دارم 😦 زبان فارسی همزمانی با اسکریپت امنیتیم که از حملات sqlinecjtion و xss جلوگیری میکنه ( رایگان هستشا :دی ) کاره این اسکریپت اینطوره که میاد تمامی GET هایی که در یک صفحه انجام میشه رو امنیتش رو ایجاد میکنه

این اسکریپت رو طوری دارم مینویسم و نوشتم که به 3 مدل فیلتر انجام میده یکیش همون امن کردن GET یکیش چک کردن URL یکیش هم محدود کردن متغیر های موجود در لینک طبق درخواستی که مصرف کننده اسکریپت میده

این اسکریپت رو اول به صورت بتا میدم بیرون رو چندتا سیستم آزمایش میکنیم اگر جواب داد چندتا روش دیگه اضافه میکنم و که باهاش سایت ها رو از این نوع حملات در امان نگه داره