ویژه‌ها
تازه‌ترین نوشته‌ها
اهدا‌ی ‌جایزه نگاه پلتفرمی به استارت‌آپ راورو در ششمین الکام استارز

اهدا‌ی ‌جایزه نگاه پلتفرمی به استارت‌آپ راورو در ششمین الکام استارز

۳۶۰۰

امسال جایزه نگاه پلتفرمی، به پلتفرم باگ‌بانتی «راورو» تعلق گرفت. این پلتفرم کمک می‌کند تا هکرها بتوانند با شناسایی آسیب‌پذیری‌های امنیتی شرکت‌ها، درآمد کسب‌ کنند. شرکت‌ها نیز می‌توانند در محیطی امن، به سادگی از مشکلات امنیتی خود آگاه شوند. در این میان، پلتفرم راورو تمهیدات فراوانی را برای اطمینان‌بخشی به طرفین پلتفرم خود در نظر گرفته است.

آسیب‌پذیری XXE؛ نفوذ با جابه‌جایی داده‌ها

آسیب‌پذیری XXE؛ نفوذ با جابه‌جایی داده‌ها

۱۰۱۰۰

در این مطلب به آسیب‌پذیری‌ای می‌‌پردازیم که می‌تواند به تنهایی باعث عدم دسترسی کاربران سامانه به سرویس‌های موردنظر خود در سامانه شود و امکان اجرای کد از راه دور را برای شکارچی فراهم کند؛ آسیب‌پذیری XXE یا XML External Entity. این آسیب‌پذیری، همان‌طور که از نامش پیداست، مربوط به انتقال داده بین سیستم‌ها از طریق XML است که شکارچی با تزریق داده یا کدهای سطح سیستم‌عامل، می‌تواند در سطوح مختلف به سیستم قربانی دسترسی داشته باشد. آسیب‌پذیری XXE می‌تواند منجر به افشای اطلاعات محرمانه‌ای مانند اطلاعات حساس مشتریان و خروجی‌های پردازش‌های انجام‌شده بر روی آن اطلاعات، بروز آسیب‌پذیری SSRF و ایجاد امکان اسکن‌پورت‌های سامانه شود و هم‌چنین از دسترسی به سرویس توسط کاربران جلوگیری کند.

SQL Injection؛ راهبردها و ترفندها

SQL Injection؛ راهبردها و ترفندها

۱۴۵۰۰

در این مطلب قصد داریم به یک آسیب‌پذیری آشنا و نسبتا قدیمی اما قوی و خطرناک بپردازیم. این آسیب‌‌پذیری در بازه‌ی زمانی حداقل 10 سال گذشته از محبوب‌‌ترین و پرکاربردترین آسیب‌پذیری‌ها بود. البته با توجه به سطح فناوری آن دوره نیز، احتمال نفوذ با این نوع آسیب‌پذیری بالا بود. اما امروزه احتمال این نوع نفوذ به دلیل روش‌های جلوگیری از بروز این آسیب‌‌پذیری کاهش پیدا کرده است و شکارچی برای کشف و اکسپلویت این آسیب‌‌پذیری نیازمند ترفندها و شگردهای خاصی است و این موضوع، خلاقیت شکارچی را می‌طلبد. مطلبی که با هم مطالعه می‌‌‌‌کنیم برداشتی آزاد از چندین منبع معتبر است. قرار است ماجراجویانه به موارد مرتبط SQL Injection نگاهی بیندازیم . با ما همراه باشید.

چگونه یک گزارش آسیب‌پذیری بنویسیم؟

چگونه یک گزارش آسیب‌پذیری بنویسیم؟

۳۸۰۰۰

گزارش یک آسیب‌پذیری، سند قابل ارائه‌ی شکارچی از آسیب‌پذیری کشف‌کرده‌ی خود به میدان است. به همین خاطر، محتوای یک گزارش آسیب‌پذیری می‌تواند به ارزش گزارش کمک قابل‌توجهی کند. در این مطلب به بخش‌های مختلف یک گزارش آسیب‌پذیری و بایدها و نبایدهایی که رعایت آن‌ها در نگارش یک گزارش لازم است، می‌پردازیم. اگر شما نیز مشتاقید که شکارچی شوید و یا می‌خواهید به عنوان شکارچی گزارش‌های بسیار بهتر از گذشته بنویسید، تلاش کرده‌ایم در این مطلب همه چالش‌های احتمالی که در روند نوشتن گزارش آسیب‌پذیری با آن‌ها برخورد خواهید کرد و تمام نقاط مهم و ضروری یک گزارش آسیب‌پذیری را برای شما برشمرده و درباره نکات و موارد لازمی که در صورت رعایت آن‌‌ها، اعتبار گزارش شما را ارتقا می‌بخشد با شما در میان بگذاریم.

حریم خصوصی داده‌ها؛ سرمایه‌ای حساس

حریم خصوصی داده‌ها؛ سرمایه‌ای حساس

۲۲۵۰۰

اعتماد، زیربنای وفاداری مشتریان به کسب‌وکارهاست. این اعتماد در دنیای امروز به سادگی می‌تواند خدشه‌دار شود. به هر میزان که شرکت‌ها و کسب‌وکارها در ارتقای حریم خصوصی داده‌ها بکوشند، اعتماد بیشتری به سوی آن‌ها جلب می‌شود. اما در صورت سهل‌انگاری در حفظ حریم خصوصی داده‌ها، این اعتماد سست شده و رو به زوال خواهد رفت و آب ریخته را نمی‌توان جمع کرد.

باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...

باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...

۲۱۹۰۰

رشد سریع فناوری اطلاعات و به وجود آمدن فرصت‌های بزرگ در این فضا، سبب شده که اغلب کسب‌و‌کارهای سنتی جای خود را به کسب‌وکارهای آنلاین و به‌روز بدهند. این کسب‌وکارهای آنلاین، همان‌ طور که از عنوان آن‌ها مشخص است، خدمات خود را در بستر اینترنت ارائه می‌کنند. شاید شما هم از آن دسته افرادی باشید که تجربه‌ی مدیریت یک کسب‌وکار اینترنتی را در گذشته داشته‌اید یا در حال حاضر مدیر یک کسب‌وکار آنلاین هستید. قریب‌به‌یقین در چنین جایگاهی امنیت سازمان و مجموعه‌‌ی شما در لیست مهم‌ترین دغدغه‌هایتان حضور دارد و در پی یافتن بهترین روش برای ارتقای امنیت سازمان خود هستید. کسب‌وکارهای سنتی اغلب بسته به ماهیت فیزیکیِ ابزار کار و محصولات خود، تنها با پایین‌کشیدن کرکره‌ی حجره و مغازه‌ی خود و چندقفله‌کردن آن، امنیت لوازم و محصولات خود را حفظ می‌کردند و خاطر خود را آسوده می‌ساختند. اما همان طور که ماهیت و جنس دارایی‌های ارزشمند کسب‌وکار امروز با کسب‌وکار دیروز تفاوت دارد، در زمینه‌ی حفظ امنیت نیز این نیاز احساس می‌شود تا اقدام‌های امنیتی نیز هم‌سرعت با رشد و تغییر کسب‌وکارها به‌روز شوند و روش‌های نوین و روز دنیا در این زمینه به کار گرفته شوند. چرا که «امروزه کسب‌وکارهای آنلاین باید از داده‌های حساسی مراقبت کنند» تا اعتماد مشتریان به عنوان بزرگ‌ترین سرمایه‌ی آن‌ها در گستره‌ی وب از بین نرود.

خداحافظی با فلش‌پلیر

خداحافظی با فلش‌پلیر

۱۷۴۰۰

اگر شما هم از دسته‌ی بلاگرها یا بلاگ‌خوان‌های قدیمی باشید، احتمالا به یاد دارید که در حدود ده سال اخیر سایت‌ها و بلاگ‌هایی که تا آن زمان از تصاویر ایستا برای جذابیت محیط بلاگ خود استفاده می‌کردند، حالا می‌توانستند از کدهای فلش‌پلیر استفاده کنند و با نمایش تبلیغات یا انیمیشن‌های مختلف در صفحات خود، مخاطب خود را غافل‌گیر کنند. این ارمغانِ گسترش نفوذ فلش‌پلیر، برای اهل بلاگ بود. فلش‌پلیر در مدت‌زمان کوتاهی مورد استقبال بسیاری قرار گرفت. زان پس مهمان هر بلاگ یا سایتی که می‌شدی تصاویر متحرک فلش‌پلیر در گوشه‌ای از آن به چشم می‌خورد. این امکانات گرافیکی برای سایت‌ها و بلاگ‌ها، به وسیله محصول فلش‌پلیر شرکت ادوبی ساخته و در سایت‌هایی توزیع می‌شدند و در دسترس بلاگرها قرار می‌گرفتند تا به بلاگ خود اضافه کنند. Swf پسوند مخصوص فایل‌های ساخته‌‌شده با فلش و امضای فلش در پای خروجی‌هایش بود.

تفاهم‌نامه‌ی اَپی‌اِکو و راورو

تفاهم‌نامه‌ی اَپی‌اِکو و راورو

۱۹۷۰۰

اَپی‌اِکو بازاری‌ست که توسعه‌دهندگان می‌توانند در آن اَپی(API)ها را بیایند، به آن‌ها متصل شوند و مدیریتشان کنند. با استفاده از اپی‌اکو می‌توان اپی‌هایی که برای انجام پروژه نیاز است را یافت و آن‌ها را درون اپلیکیشن خود تعبیه کرد و علاوه‌بر آن از طریق یک صفحه‌ی مدیریتی واحد، بر میزان استفاده از تمامی آن‌ها نظارت داشت. از سوی دیگر، توسعه‌دهنده‌‌ها می‌توانند اپی (API)‌های توسعه‌داده‌شده‌ی خود را، در دسترس سایر برنامه‌نویس‌ها و توسعه‌دهندگانی که برای یافتن و استفاده از اَپی‌های مورد نیاز خود، از خدمات اَپی‌اِکو استفاده می‌کنند نیز قرار دهند.

حمله‌ی HTTP Flooding  در تایید ایمیل برای سوء استفاده بدون دخالت کاربر

حمله‌ی HTTP Flooding در تایید ایمیل برای سوء استفاده بدون دخالت کاربر

۴۶۶۰۰

امروزه بسیاری از سایت‌ها به گونه‌‌ای طراحی شده‌اند که اطلاعات شخصی مانند: شماره تلفن، ایمیل، آدرس، فایل‌های رزومه و ... را دریافت می‌کنند.

اگر هر یک از این ویژگی‌ها در سایت ناکارآمد طراحی گردند باعث نشت و سوءاستفاده از اطلاعات کاربران سامانه می‌شود.

راورو در شماره‌ی ۲۰۲ شنبه

راورو در شماره‌ی ۲۰۲ شنبه

۱۵۳۰۰

این سامانه واسطه‌ای بین متخصصان امنیت و صاحبان کسب‌وکار‌هاست (شرکت‌ها و سازمان‌ها) که در آن هکرهای کلاه‌سفید و متخصصان امنیت تلاش می‌کنند تا باگ‌های امنیتی و حفره‌های آسیب‌پذیری محصولات را به صاحبان کسب‌وکارها گزارش بدهند و به ازای گزارش، پول دریافت کنند. البته بر اساس قوانین و محدوده‌هایی که کسب‌وکار تعریف می‌کند.

باگ‌بانتی؛ به صرفه‌ترین راه ارتقای امنیت

باگ‌بانتی؛ به صرفه‌ترین راه ارتقای امنیت

۲,۶۸۶۰۰

شاید نزدیک به ۴۰ سال پیش، کسی این میزان پیشرفت در دنیای اینترنت را تصور نمی‌کرد اما امروزه اینترنت و خدمات مبتنی بر اینترنت یکی از لوازم مهم و قطعی زندگی روزمره‌ی ما هستند. اگر این فضای ارتباطاتی تا حد قابل اعتمادی امنیت نداشته باشد و اطلاعات شخصی و هویتی افراد جامعه در معرض خطر قرار بگیرد، قطعا اعتبار این خدمات به واسطه عدم وجود امنیت محیط آن خدشه‌دار خواهد شد و زیان بسیاری را متوجه سازمان‌ها و شرکت‌ها خواهد کرد. به همین دلیل، راه‌حل موثری مانند باگ‌بانتی نیازمند است تا این نقطه‌‌ضعف به یک نقطه‌ی قوت برای سازمان‌ها و شرکت‌ها تبدیل شود.

دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!

دورکاری راهکاری برای مقابله با کرونا و فرصتی برای باج افزارها!

۲۳۹۰۰

با توجه به شیوع ویروس کرونا در کشور، خوشبختانه شاهد آن هستیم که دورکاری در برخی از شرکت‌ها، خبرگزاری‌ها و استارتآپ‌ها در دستور کار قرار گرفته است. بررسی رخدادهای باج­ افزاری در سال ۲۰۱۹ حاکی از آن است که نقطه ورود حدود ۶۰ درصد حملات باج ­افزار‌ی از طریق سرویس RDP بوده است. با توجه به افزایش دورکاری در میان کاربران ایرانی در روزهای آتی، نیاز است تا کارمندان، شرکت‌ها و سازمان‌ها با رعایت نکات و موارد امنیتی زیر، تهدیدهای احتمالی را به حداقل برسانند.

تنها یک گام با امنیت واقعی فاصله دارید!

تنها یک گام با امنیت واقعی فاصله دارید!

۲۷۰۰۰

هنگامی که صحبت از پرداخت هزینه به ازای گزارش آسیب‌پذیر‌ی‌ و یا راه‌کارهای مقابله با آثار مخرب حملات سایبری به میان می‌آید، اغلب کسب‌وکار‌های آنلاین بدلیل عدم درک صحیح از مقوله‌ی هک‌ و امنیت با انتخاب ساده‌ترین راهکار، اقدام به انکار تهدید‌های موجود در این حوزه می‌کنند. متاسفانه در برخی موارد شاهد آن هستیم که حتی پس از رخداد سایبری نیز این مجموعه‌ها با بستن چشم‌ خود بر روی حقایق در تلاشند تا با کم اهمیت نشان دادن این موضوع از تبعات و آثار مخرب آن بکاهند. اما اگر در دنیای واقعی و حرفه‌ای‌تر‌ها به این موضوع بپردازیم، خواهید دید که امنیت دیگر یک ویژگی نیست و به یک اصل و نیاز برای دوام کسب‌وکار تبدیل شده است. قدم اول برای بدست‌آوردن امنیت، پذیرفتن این حقیقت است که هر سامانه‌‌ای می‌تواند هک شود. بله، این یک واقعیت است و زمان آن رسیده است تا با تغییر دیدگاه به مقوله‌ی هک و نفوذ، از این تهدید برای کسب‌وکار خود یک فرصت بسیار با ارزش خلق کنید. متاسفانه در اکثر کسب‌وکار‌ها به دلیل عدم درک صحیح و برنامه‌‌ریزی مناسب، رویارویی با این واقعیت، تبدیل به یک کابوس شده است. با پذیرش این نکته که هیچ مکانیزم امنیتی مطلق و پایدار نبوده و نمی‌تواند باشد به شما کمک می‌کنیم تا با استفاده از راه‌کار‌های بروز و کارآمد گام‌های مثبتی در جهت افزایش ضریب تامین امنیت در سامانه‌های خود بردارید. افتخار این را داریم تا در این مسیر سخت و پر حادثه همواره در کنارتان باشیم، متخصصان راورو با انتقال دانش و تجربیات موفق و با بهره‌گیری از روش‌های کارآمد و استاندارد جهانی به شما کمک خواهندکرد تا پس از شناخت دارایی‌های با‌ارزش کسب‌وکار خود، سازوکاری چند لایه برای رسیدن به امنیتی پایدار، طراحی و پیاده‌سازی کنید. در سختی‌ها همراهتان هستیم…

چگونه آسیب‌پذیری در راورو ارزش گذاری می‌شود؟

چگونه آسیب‌پذیری در راورو ارزش گذاری می‌شود؟

۲۵۰۰۰

عدم ارزش‌گذاری مناسب همواره یکی از بزرگترین چالش‌ها و نقاط تنش‌زا در فرآیند ارایه گزارش آسیب‌پذیری میان شرکت‌ها/سازمان‌ها و گزارش دهنده‌‌‌ها بوده است. از این موضوع می‌توان به عنوان یکی از مهم‌ترین دلایلی نام‌برد که باعث‌ می‌شود تا نفودگران داخلی و خارجی تمایلی به ارایه گزارش آسیب‌پذیری به شرکت‌ها/سازمان‌های داخلی نداشته باشند.

تیم راورو بر اساس تجربه و با بهره‌گیری از استاندارد‌های معتبر جهانی، اقدام به ارایه روشی منحصر بفرد جهت ارزش‌گذاری با توجه به قوانین و شرایط فضای‌ سایبری ایران کرده است. ما در جهت ارایه سیستمی جامع و فراگیر، از معیار‌ها و گروه‌بند‌ی‌های زیر در فرآیند محاسبه‌ خود استفاده کرده‌ایم.