ویژه‌ها
تازه‌ترین نوشته‌ها
تقابل هجوم و دفاع در امنیت سایبری

تقابل هجوم و دفاع در امنیت سایبری

۲۰

برای ارتقای امنیت ساختمان مجازی کسب‌وکار، چه می‌توانیم بکنیم؟ برای برقراری امنیت در دنیای واقعی چه می‌شود کرد؟ ارتقای پروتکل‌های امنیتی؟ دفاع؟ حمله؟ در دنیای مجازی چطور؟ در دنیای امنیت، چه اقداماتی می‌توان برای ارتقای امنیت سایبری کسب‌وکارهای اینترنتی در برابر رخدادها و حوادث سایبری انجام داد؟

چگونه بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ (معرفی 3 سنگ محک‌ جهانی)

چگونه بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ (معرفی 3 سنگ محک‌ جهانی)

۵۶

هر باگی از سیستم‌ها که دری را برای دست‌کاری، تخریب و یا سرقت به روی دیگران باز کند، یک آسیب‌پذیری، باگ امنیتی یا حفره‌ی امنیتی محسوب می‌شود. برخی از آسیب‌پذیری‌ها کم‌خطرترند و برخی خطرناک‌تر؛ برخی از آن‌ها می‌توانند امکان دسترسی مهاجم به حساب کاربری سایر کاربران را برای مهاجم فراهم ‌کنند، برخی می‌توانند موجب دسترسی مهاجم به تمامی داده‌های کسب‌وکار شما، اطلاعات مشتریان و... شوند، برخی می‌توانند امکان از کار انداختن سامانه‌ی شما را برای مهاجم فراهم سازند، برخی می‌توانند مهاجم را به صفحه‌ی انتشار مطالب برسانند و به او اختیار انتشار مطالب دلخواه در صفحات وب‌سایت شما را دهند و ...

تفاهم‌نامه‌ی راورو و تریگ آپ

تفاهم‌نامه‌ی راورو و تریگ آپ

۹۷

پلتفرم باگ‌بانتی راورو، با هدف تسهیل فرایندهای امنیتی برای استارتاپ‌ها، تفاهم‌نامه‌ای را با شتابدهنده‌ی تریگ‌ آپ منعقد کرد. این تفاهم‌نامه طی جلسه‌ای با حضور سیدحمیدرضا علوی، مدیرعامل تریگ‌ آپ و محمدامین کریمان شاددل، مدیرعامل راورو در تاریخ ۱۹ مهر ماه سال ۱۴۰۰ در محل کافه سینرژی منعقد شد.

معرفی 9 دسته هکر که احتمالا تاکنون نمی‌شناختید!

معرفی 9 دسته هکر که احتمالا تاکنون نمی‌شناختید!

۱۳۹

آیا باید از هکرها بترسیم؟ نظر شما چیست؟ Kevin Mitnick، یکی از هکرهای شناخته‌شده در جهان، معتقد است : « نه، باید به نیت هکر توجه کنیم» شما انواع هکرها را می‌شناسید؟ از نیت و چرایی کارشان، باخبرید؟ هکرهای کلاه‌سفید، کلاه‌سیاه، کلاه خاکستری، کلاه‌سبز، کلاه‌قرمز، کلاه آبی و کلاه زرد؟ اگر مشتاق به آشنایی بیش‌تر با آن‌ها هستید، کافی‌ست این بلاگ‌پست را بخوانید. ما به شما کمک می‌کنیم که هکرها را بر اساس رنگ کلاهشان دسته‌بندی کنید. ؛)

آسیب‌پذیری Content Spoofing؛ تزریق محتوا در قالب HTML و Text

آسیب‌پذیری Content Spoofing؛ تزریق محتوا در قالب HTML و Text

۱۶۷

در این بلاگ‌پست به نوعی از آسیب‌پذیری‌های Injection می‌پردازیم که در سمت کاربر رخ می‌دهد و به همراه مهندسی اجتماعی می‌تواند سبب گمراهی کاربران یک وب‌سایت و دیفیس آن شود. Content Spoofing به دو آسیب‌پذیری کوچک‌تر به نام‌های HTML Injection و Text Injection تقسیم می‌شود که در آن‌ها شکارچی می‌تواند با تزریق یا دست‌کاری محتوا، کاربران مراجعه‌کننده را فریب دهد.

کتابچه‌ی راهنمای برنامه‌نویسی امن

کتابچه‌ی راهنمای برنامه‌نویسی امن

۹۹۵

به مناسبت ۲۵۶مین شب سال، تصمیم گرفتیم بخشی از حاصل بررسی‌هایمان بر روی حدود ۱۰۰۰ گزارش‌ آسیب‌پذیری دریافت‌شده در دو سال اخیر در پلتفرم باگ‌بانتی راورو را، با شما به اشتراک بگذاریم. در این PDF گفته‌ایم که بر اساس یافته‌هایمان، در نقاط مختلف سامانه، چه آسیب‌پذیری‌هایی رایج‌تر و پرتکرارترند؟ به عبارتی دیگر، هر نقطه از سامانه، مخفی‌گاه رایج چه باگ‌ها و ایمپاسترهایی است؟

آیا هر باگی، یک باگ امنیتی ست؟

آیا هر باگی، یک باگ امنیتی ست؟

۳۸۹

وقتی صحبت از باگ می‌شود، ناخودآگاه در ذهن بسیاری از افراد، باگ امنیتی و هک نقش می‌بندند. اما باگ و باگ امنیتی، هر دو به یک معنا هستند؟ ما در این بلاگ‌پست قصد داریم به باگ‌های نرم‌افزاری و باگ‌های امنیتی بپردازیم.

تعریف هدف در باگ‌بانتی به چه معناست؟ و چه دلیلی دارد؟

تعریف هدف در باگ‌بانتی به چه معناست؟ و چه دلیلی دارد؟

۳۲۴

اگر تا حدودی با باگ‌بانتی آشنایی داشته باشید، احتمالا کلمات میدان(Company) و هدف (Scope) به گوشتان خورده‌‌باشند. اما هر یک از این کلمات در راورو چگونه معنا می‌شوند؟ چه تفاوتی با یک‌دیگر دارند؟ و چرا در باگ‌بانتی میدان‌ها به تعریف اهداف و قوانین می‌پردازند؟ این‌ها سوالات رایجی هستند که ما می‌خواهیم در این بلاگ‌پست به آن‌ها پاسخ دهیم.

چگونه توانستم با پارامتر refurl بر روی وب‌سایت ‌Digikala.com آسیب‌پذیری‌های XSS Stored و XSS Reflected را کشف کنم؟

چگونه توانستم با پارامتر refurl بر روی وب‌سایت ‌Digikala.com آسیب‌پذیری‌های XSS Stored و XSS Reflected را کشف کنم؟

۵۶۶

آن‌چه می‌خوانید، writeup رامین فرج‌پور، برنامه‌نویس و محقّق امنیتی، از فرآیند کشف آسیب‌پذیری‌های XSS Reflected و XSS Stored بر روی دیجی‌کالا است. رامین گزارش مربوط به این آسیب‌پذیری‌ها را حدود ۳ سال قبل با دیجی‌کالا در میان گذاشته و در حال حاضر آسیب‌پذیری نیز به طور کامل رفع شده است.

مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

۳۲۷

مگر می‌شود سخن از خدماتی به میان بیاید و صحبتی از قیمت و هزینه‌های آن نباشد؟ بررسی جنبه‌های اقتصادی یکی از مراحلی‌ست که همه‌ی ما در بررسی ابعاد مختلف یک محصول یا خدمت سراغ آن می‌رویم. در این بلاگ‌پست قصد داریم به پاسخ این سوال بپردازیم که: در باگ‌بانتی راورو، هزینه‌ها چگونه و بر چه اساسی محاسبه می‌شوند؟

در فرآیند تعیین هدف، چگونه قسمت قوانین را تکمیل کنم؟ (راهنمای گام‌به‌گام)

در فرآیند تعیین هدف، چگونه قسمت قوانین را تکمیل کنم؟ (راهنمای گام‌به‌گام)

۳۵۴

در بلاگ‌پست «تعیین هدف در پنل میدان» به صورت گام‌به‌گام نحوه‌ي تعیین هدف جدید را توضیح دادیم و به بایدها و نبایدهایی که در تعیین یک هدف جدید میدان‌ها باید رعایت کنند، پرداختیم. در این بلاگ‌پست می‌خواهیم به طور اختصاصی و جزئی‌تر به قسمت تعیین قوانین در فرآیند تعریف هدف جدید بپردازیم.

ماشین‌حساب CVSS راورو چگونه کار می‌کند؟ (قسمت اول)

ماشین‌حساب CVSS راورو چگونه کار می‌کند؟ (قسمت اول)

۴۰۵

راورو در محاسبه‌ی میزان خطر آسیب‌پذیری‌ها از فرمول CVSS استفاده می‌کند. ما در این بلاگ‌پست قصد داریم توضیح دهیم که: CVSS چیست؟ سیستم امتیازدهی CVSS چگونه ایجاد شده است؟ و چرا در راورو مورداستفاده قرار می‌گیرد؟ سیستم امتیازدهی CVSS شامل چه بخش‌هایی است؟ سپس به توضیح تک‌تک پارامترهای موثر در محاسبه‌ی «امتیاز پایه» در ماشین‌حساب CVSS راورو و پیش‌بردن قدم‌به‌قدم یک مثال بپردازیم. با ما همراه باشید.

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

گپ‌وگفتی با شکارچی جوان و فعال راورو؛ پیمان زینتی (Scar3cr0vv)

۷۵۱

در این بلاگ‌پست، به سراغ یکی از جوان‌ترین و فعال‌ترین شکارچی‌های راورو، رفتیم تا با او گپ‌وگفت کوتاهی داشته باشیم؛ پیمان زینتی پیمان یه هکر کلاه‌سفیده که از حدود یک سال پیش با راورو همراه شده، تابه‌حال 21 گزارش آسیب‌پذیری در راورو ثبت و 88 امتیاز کسب کرده است. اولین گزارش‌های پیمان، آسیب‌پذیری‌های سطح بالایی از میدان نماوا بوده‌اند.

چگونه می‌توانم در پنل میدان در پلتفرم راورو، یک هدف ثبت کنم؟ (راهنمای گام‌به‌گام)

چگونه می‌توانم در پنل میدان در پلتفرم راورو، یک هدف ثبت کنم؟ (راهنمای گام‌به‌گام)

۵۷۲

ما در این بلاگ‌پست، تلاش خود بر شفافیت هر چه بیش‌تر تعیین هدف توسط شما صاحب کسب‌وکار قرار دادیم و بخش‌ها و پارامترهای مختلفی که در تعیین یک هدف از میدان نیاز دارد را به طور مفصل مشخص کردیم. همه‌ی این موارد پس از ثبت هدف توسط راورو بررسی می‌شوند و پس از تایید، هدف ایجادشده در صفحه‌ی «اهداف» برای شکارچیان به نمایش در می‌آید. پس از تعیین هدف، قوانین نیز نیاز به تعریف دارند که در بلاگ‌پستی دیگر، درباره‌ی تعیین قوانین و اینکه شامل چه بخش‌ها و چه ملزوماتی است خواهیم پرداخت. با ما همراه باشید.

تخفیف ۵۰% باگ‌بانتی برای ۱۰۰ کسب‌وکار در کمپین سرزمین امن دانش‌بنیان‌ها

تخفیف ۵۰% باگ‌بانتی برای ۱۰۰ کسب‌وکار در کمپین سرزمین امن دانش‌بنیان‌ها

۶۷۶

معاونت علمی و فناوری ریاست جمهوری و پلتفرم باگ‌بانتی راورو با هدف ارتقای امنیت سایبری محصولات و خدمات شرکت‌های دانش‌بنیان ، در فروردین‌ماه سال جاری تفاهم‌نامه‌ی هم‌کاری امضا کردند. کمپین “سرزمین‌ امن دانش‌بنیان‌ها” جهت انجام تعهدات موجود در این تفاهم‌نامه به اجرا در می‌آید.

در کمپین “سرزمین‌ امن دانش‌بنیان‌ها”، شرکت‌های دانش‌بنیان واجد شرایط می‌توانند تنها با پرداخت 50% از هزینه، جهت امن‌تر‌ ساختن کسب‌وکار خود از محصول باگ‌بانتی در پلتفرم راورو استفاده کنند و امنیت بیش‌تری را برای ساختمان مجازی سازمان خود، اطلاعات محرمانه‌ی سازمان، سورس‌کدها و منابع دیجیتال کسب‌وکارشان در مقابل خطرهای موجود فراهم آورند.

قسمت سوم از سه‌گانه‌ی آسیب‌پذیری XSS؛ آسیب‌پذیری XSS Reflected

قسمت سوم از سه‌گانه‌ی آسیب‌پذیری XSS؛ آسیب‌پذیری XSS Reflected

۵۹۲

در این بلاگ‌پست به گونه‌ی دیگری از آسیب‌پذیری تزریقی XSS می‌پردازیم که با عنوانXSS Reflected شناخته می‌شود. آسیب‌پذیری XSS Reflected، شباهت‌ها و تفاوت‌هایی با دیگر اعضای خانواده‌ی XSS‌ها، یعنی XSS Stored و XSS DOM-Based دارد. این آسیب‌پذیری ، باتوجه به سطح دسترسی‌ای که مهیا می‌کند، در رده‌بندی آسیب‌پذیری‌های VRT در یکی از دسته‌های P3 و P5 قرار می‌گیرد. با ما همراه باشید ;)

توصیه‌هایی برای ارتقای امنیت وب‌سایت‌های خبری

توصیه‌هایی برای ارتقای امنیت وب‌سایت‌های خبری

۴۹۶

تصور کنید چوپان دروغ‌گویی دسترسی به پنل انتشار خبر را به دست بگیرد و اخبار نادرستی را به گوش مخاطبان برساند. پس از عیان‌شدن ماجرا بر همگان, دیگر انتشار اخبار درست هم سخت می‌شود؛ چراکه مخاطبین مارگزیده حالا به ریسمان سیاه‌وسفید نیز مشکوکند...

درست است که خبررسانی از حالت سنتی دیرینه‌ی خود، به شکل نوینی تبدیل شده است. اما موضوعی که همیشه و در همه‌ی دوران‌ها لازمه‌ی حیات یک روزنامه یا وب‌سایت خبری است، امین و مورداعتمادبودن آن از جانب مردم است. لازم است راه‌اندازان وب‌سایت‌های خبری با آگاهی نسبت به خطراتی که در کمین وب‌سایت خبری هستند، به ارتقای امنیت اهتمام بورزند.

چک‌لیست مراقبت از گذرواژه؛ گاهی زود، دیر می‌شود...

چک‌لیست مراقبت از گذرواژه؛ گاهی زود، دیر می‌شود...

۵۴۶

گذرواژه‌ها مانند قفل‌هایی هستند که از دسترسی دیگران به حساب کاربری، اطلاعات خصوصی و محرمانه‌ی ما، جلوگیری می‌کنند. ما در مطلب «۷ نکته برای انتخاب پسورد امن‌تر» به نکاتی برای این‌که چگونه قفل محکم‌تری برای امنیت بیش‌تر حساب کاربری خود فراهم کنید، پرداخته‌ایم. اما خبر بد این است که انتخاب گذرواژه‌ی امن پایان ماجرا نیست. ولی خبر خوب این است که ما این‌جاییم تا شما را نسبت به خطرها آگاه سازیم و در برقراری امنیت بیش‌تر همراهی‌تان کنیم. در این بلاگ‌پست می‌خواهیم به ادامه‌ی داستان بپردازیم.

قسمت دوم از سه‌گانه‌ی آسیب‌پذیری XSS؛ XSS Stored

قسمت دوم از سه‌گانه‌ی آسیب‌پذیری XSS؛ XSS Stored

۶۴۰

در مطلب آسیب‌پذیری XSS DOM-Based به گونه‌ای از آسیب‌پذیری XSS پرداختیم که مربوط به سمت کاربر بود؛ شکارچی با سمت سرور ارتباط خاصی نداشت و با تزریق ورودی‌هایی به فیلدهای ورودی سامانه، برای مواردی مانند، سرقت اطلاعات ورود کاربران، تلاش می‌کرد. در این مطلب به گونه‌ی دیگری از آسیب‌پذیری XSS می‌پردازیم؛ آسیب‌پذیری‌ XSS Stored. گرچه نقص در اعتبارسنجی ورودی‌ها می‌تواند مهم‌ترین علت بروز آسیب‌پذیری‌ XSS Stored باشد، اما شکارچی در آن اغلب با سمت سرور در ارتباط است.

VDP؛ صندوق پیشنهادها و انتقادات امنیتی

VDP؛ صندوق پیشنهادها و انتقادات امنیتی

۶۳۷

امنیت، مقوله‌ای نسبی ست؛ هیچ‌گاه امنیت به طور کامل برقرار نمی‌شود. در عین حال در دنیای پرخطر امروزی، امنیت برای کسب‌وکارها، حیاتی به شمار می‌رود. اقدام در جهت کاهش آسیب‌پذیری‌های سامانه‌ها، یکی از راه‌های موجود برای ارتقای امنیت تا حد ممکن است. کشف و رفع همه‌ی آسیب‌پذیری‌ها ممکن نیست اما تلاش هرچه‌بیش‌تر در جهت کشف و کاهش آسیب‌پذیری‌ها، اقدامی لازم به شمار می‌رود.

اما از میان روش‌های امنیتی مختلفی که برای ارتقای امنیت وجود دارند، کدام یک را انتخاب کنیم؟ ما در این مطلب می‌خواهیم به معرفی یکی از روش‌های موجود بپردازیم: مفهومی به نام سیاست افشای آسیب‌پذیری یا Vulnerability Disclosure Policy که به اختصار با عنوان VDP شناخته می‌شود.

در حال بارگذاری اطلاعات بیشتر...