این مشکل به هکرها اجازه میدهد که هر نوع حساب اینستاگرام را در ۱۰ دقیقه هک کنند!
مراقب باشید! سرویس اشتراک عکس فیس بوک به تازگی یک آسیب پذیری بحرانی را patch کرده که میتواند به هرکرها اجازه دهد هر حساب کاربری را که میخواهند بدون اطلاع کاربر به دست بگیرند.
در بین شبکه های اجتماعی معروف آسیب پذیری های بسیاری وجود دارد که بعضی از آنها patch شده برخی در حال patch میباشند و بسیاری از آنها patch نشده اند.
اینستاگرام هم از این قاعده مستثنی نیست و به تازگی خبر رسیده است که هکر از راه دور میتواند کنترل کامل حساب کاربری افراد را به دست بگیرد.
این آسیب پذیری مربوط به مکانیزم بازیابی کلمه عبور در نسخه موبایل میباشد. و Laxman Muthiyah که یک محقق امنیت میباشد آن را کشف کرده است.
در اینستاگرام ، کاربران باید یک کد ۶ رقمی که به شماره موبایلشان ارسال میشود را تایید کنند.
بدین معنی که چند میلیون ترکیب میتواند باعث بروز حمله brute force شود، اما به این سادگی ها هم نیست زیرا اینستاگرام از مکانیزم rate limit برای جلوگیری از این نوع حملات استفاده میکند.
نشان داده شده که هکر میتواند مکانیزم rate limit را دور بزند بدین ترتیب که از آی پی های مختلف میتواند حمله brute force را انجام دهد و یک نوع شرایط مسابقه را ایجاد کند به نوعی که میتواند درخواست جاری را با پردازش های ارسال کند.
” در یک حمله واقعی میتوانید با چیزی حدود ۵۰۰۰ آدرس آی پی یک حساب کاربری اینستاگرام را هک کنید. به نظر زیاد میرسد اما توسط سرویس هایی مانند گوگل و آمازون این کار حدود ۱۵۰ دلار برایتان هزینه خواهد داشت.
در حال حاظر اینساگرام این آسیب پذیری حیاتی را patch کرده و به Laxman Muthiyah 30000 دلار جایزه داده است!
برای جلوگیری از وقوع همچین حملاتی پیشنهاد میشود که در تمامی حساب های کاربری خود گزینه two factor authentication را فعال کنید.

علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکههای اداری و صنعتی
لینک ها







آموزش پروتکل تونل VPN در میکروتیک - VPN Tunneling Protocols on MikroTik with LABS





Build Free VoIP PBX & Call Center on Asterisk Issabel – آموزش راه اندازی کال سنتر به کمک استریکس و ایزابل






مشکل در sudo به کاربران لینوکس اجازه میدهد دستورات را در سطح روت اجرا کنند، حتی زمانیکه سطح دسترسی محدود شده است


























"برنامه های قانونی به جاسوس ابزار تبدیل شدند" کاربران اندروید را در خاورمیانه مورد هدف قرار داد























اکسپلویت حمله به سیستم عامل های ویندوز و لینوکس با Libreoffice


Drupal بهروزرسانی جدیدی برای هسته CMS و همچنین چندین آسیبپذیری جدید را منتشر و patch کرده است .







دانلود مجموعه آموزشی متخصص فارنزیک EC-Council Computer Hacking Forensic Investigator – CHFI v9


دانلود اکسپلویت آسیب پذیری از نوع RCE بر روی محصول Splunk در نسخه 7.2.4 به زبان پایتون.









یک نقص جدیداصلاح نشده در macOS به برنامهها اجازه میدهد که تاریخچه و اطلاعات مرورگر Safari شما را سرقت کنند.



هشدار: نقص حیاتی در WinRAR کشف شده است که روی تمامی نسخههای منتشرشده در ۱۹ سال اخیر تأثیرگذار است!









نقص Snapd اجازه می دهد تا هکرها دسترسی ریشه یا (Root Access ) را در سیستم های لینوکس دریافت کنند






گوشیهای دارای سیستمعامل اندروید میتوانند تنها با نگاه کردن به یک عکس دارای پسوند PNG موردحمله واقع شوند.







گوگل بیش از ۸۵ برنامه تبلیغاتی که روی ۹ میلیون نفر از کاربران اندروید تأثیرگذار بودند را از فروشگاه رسمی خود حذف کرد.
















یک بدافزار جدید (RogueRobin) که از گوگل درایو بهعنوان سرور فرمان و کنترل خود استفاده میکند، کشف شد.

یک نقص در سیستم رزرو پرواز Amadeus مشتریان بیش از ۱۴۱ خط هوایی را در سراسر جهان تحت تأثیر قرار داد.

هشدار ! دو برنامه اندرویدی با نامهای Currency Converter و BatterySaverMobi قرار گرفته در google play الوده هستند





















دانلود ویدئو آموزشی بازرسی و کنترل و امنیت سیستم های اطلاعاتی ISACA Certified Information Systems Auditor – CISA





دانلود کتاب CISA : Certified Information Systems Auditor Study Guide 4th Edition 2016





گوگل پلاس پس از کشف یک نقص API که منجر به افشاسازی اطلاعات ۵۲٫۵ میلیون کاربر شد، تصمیم به خاتمه دادن زودهنگامِ این سرویس گرفت.

دانلود مجموعه اموزشی مدیریت سرورهای ردهت COMPLETE Red Hat Server Administration: RHCE 2018




Hands-On Web Penetration Testing with Kali Linux – آموزش تست نفوذ وب با کالی لینوکس





یک باج افزار جدید بهسرعت در حال پخش شدن در چین است و بیش از ۱۰۰٫۰۰۰ کامپیوتر را آلوده کرده است.


۳۵ برنامهی مخرب آنتیویروس موجود در فروشگاه گوگل پلی، ۶ میلیون کاربر را تحت تاثیر قرار داده است!











دانلود اکسپلویت libSSH - Authentication Bypass برای دسترسی به سرورها و دور زدن احراز هویت























آموزش تست نفوذ پروتکل SNMP بر روی تجهیزات سیسکو







دانلود کتاب Wireless Network Security, Second Edition برای متخصصین امنیت و تست نفوذ








دانلود مجموعه کتابها و اسلایدهای دوره ec-council Certified Network Defender

معرفی و دانلود Exploit هک روترهای Mikrotik توسط روش Mikrotik WinBox Credential Disclosure


دانلود کتاب Effective Cybersecurity: A Guide to Using Best Practices and Standards









معرفی و دانلود Exploit هک SIEM IBM QRader به نام IBM QRadar SIEM - Unauthenticated Remote Code Execution (Metasploit)







معرفی و دانلود Exploit هک فایروال های فورتیگیت Fortigate Firewalls - Cross-Site Request Forgery


معرفی و دانلود Exploit نفوذ به فایروال های سیسکو Cisco Adaptive Security Appliance - Path Traversal


معرفی و دانلود Exploit وردپرس WordPress Plugin WP Private Messages - 'msgid' SQL Injection

هزاران برنامه تلفن همراه پایگاههای داده میزبانی Firebase محافظت نشده خود را در معرض افشا قرار دادند

جعل کنندگان پست الکترونیک از یک روش ساده (ZeroFont) برای دور زدن حفاظت MS Office 365 استفاده میکنند




معرفی و دانلود EXPLOIT وردپرس WordPress Plugin Wp-ImageZoom - 'file' Remote File Disclosure



دانلود و شرح اکسپلویت (exploit) Joomla! Component Maian Media - 'uploadhandler.php' Arbitrary File Upload



دانلود و شرح Exploit کد DHCP Client - Command Injection (DynoRoot) (Metasploit)







معرفی و دانلود exploit مشکل امنیتی در پلاگین Form Maker سیستم Wordpress که منجر به حمله SQL Injection میشود


دانلود کتاب Intermediate Security Testing with Kali Linux 2 برای متخصصین تست نفوذ و امنیت سایبری

صدها هزار وبسایت که از Drupal استفاده میکنند در معرض نقص امنیتی بسیار مهم( روش رفع مشکل به همراه خبر )



















محققان امنيتي نخستين باج افزار با استفاده از روش حمله process doppelgänging براي شناسايي نشدن را اعلام كردند

شرکت مایکروسافت در بهروزرسانیهای امنیتی خود برای ماه می ۲۰۱۸ میلادی نزدیک به 67 آسیبپذیری را دیروز در محصولات خود وصله کرده







آسیب پذیری critical در Drupal به هکرها امکان exploit کردن و دسترسی به وب سایت هایی که با این سیستم راه اندازی شده اند را میدهد

کشف آسیبپذیری جدید در Microsoft outlook به هکرها اجازه دزدیدن پسورد و اطلاعات کاربران در ویندوز را میدهد

بروز مشکل امنیتی با درجه critical در تجهیزات سیسکو cisco smart install







پلاگین های ویرایش متون در لینوکس به دلیل ضعف امنیتی میتوانند به هکرها در بالا بردن دسترسی بر روی سیستم قربانی کمک کنند





ضعف امنیتی CredSSP در MS RDP تمام نسخه های سیستم عامل ویندوز را تحت تاثیر قرار میدهد






معرفی و دانلود کتاب Security and Authentication: Perspectives, Management and Challenges برای متخصصین امنیت

معرفی و دانلود ویدئو آموزشی Fundamentals of IoT Security اصول امنیت اینترنت اشیاء





معرفی و دانلود ویدئو آموزشی Learning Network Penetration Testing with Kali Linux




نقص در نرم افزار μTorrent محبوب اجازه می دهد هکرها کنترل کامپیوتر شما از راه دور در دست گیرند .




دانلود کتاب امنیت O’Reilly – Zero Trust Networks: Building Secure Systems in Untrusted Networks

