ایان مورداک

rip-debian-founder-ian-murdock1

ایان مورداک بنیان‌گذار توزیع دبیان در آخرین روزهای سال ۲۰۱۵  در سن ۴۲ سالگی درگذشت. او یکی از فعالان در زمینه‌ی برنامه‌های متن باز و لینوکس بود. او علاوه بر دبیان فعالیت ّای زیادی در زمینه‌ی نرم‌افزارهای متن باز داشت و تاثیر زیادی در این حوزه داشت. دبیان به مناسبت درگذشت او متنی را منتشر کرده است. او از نوامبر ۲۰۱۵ در داکر مشغول به کار شد. داکر نیز پیامی را به مناسبت درگذشت او منتشر کرده است. جالب است بدانید که یان، نام دبیان را از ابتدای نام همسر خود که Deborah نام دارد و ترکیب آن با نام خود بوجود آورد و بدون شک یادگاری فراموش نشدنی را برای همه علاقمندان خود باقی گذاشت.

devnull.ir-500px-IanMurdock-3

 

دوستان او در داکر می گویند:

ما خودمان را افراد خوش‌شانسی می‌دانیم که فرصت آشنایی با مورداک و کار کردن با او را داشتیم. او با افکار، اشتیاق و تجربه‌ی خود همه را شگفت زده می‌کرد. او شخصی فوق‌العاده و برای بسیاری از ما الهام بخش بود؛ مرگ ایان برای تمام کسانی که او را می‌شناختند فقدانی بزرگ است

هکر اسکریپت

programmer

چندی قبل همکاری داشتیم که مجبور بود ماهانه گزارشی تهیه کنه. این اواخر گزارشها داشتند کاملا فرمالیته و یک فرم می‌شدند.
چند هفته‌ی قبل این دوست و همکار قدیمی را دیدم.  وسط حرفهامون جویا گزارش نویسی هاش شدم. گفت یک اسکریپت نوشته که بخشی از گزارشش که به ساعات حضور روزانه اش مربوط می‌شه را به صورت اتوماتیک مینویسه. این دوست عزیز بنده را به خوندن داستانی ترقیب کرد.

خلاصه این داستان از این قراره که شخصی از شرکتی میره و مدیر اون پس از رفتنش متوجه کارهایی می‌شه که این فرد قبلا توی شرکت از طریق اسکریپت انجام می‌داده. (زندگی این شخص توی ترمینال لینوکس بوده و هر کاری که بیشتر از ۹۰ ثانیه طول میکشیده را توسط نوشتن یک اشکریپت اتوماتیک انجام میداده.) بعضی از این کارها که به کمک اسکریپت انجام می‌شدند خیلی جالبند:

  • اسکریپتی نوشته بوده که اگر تا ساعت ۹ شب سر کار میمونده و قاعدتا روی سیستمش لاگین بوده و سشن (نشست) فعال داشته، یک پیام به همسرش می‌فرستاده و از بین یک سری دلایل به صورت رندم دلیلی را انتخاب میکرده و عذرخواهی میکرده که امشب دیر میاد خونه.
  • اسکریپت بعدی قرار بوده پاسخگوی یکی از همکارانشون باشه: همکاری داشتند که توی پایگاه داده خرابکاری میکرده و با ارسال ایمیل درخواست میکرده دیتابیس به نسخه پشتیبان بازگرده. این اسکریپت ایمیل های رسده از طرف این شخص را بررسی میکرده و اگر کلماتی نظیر “help”و یا “sorry” و از این دست موارد را پیدا میکرده. اتوماتیک دیتابیس را restore میکرده ویک ایمیل هم به طرف میزده که اشکالی نداره. دفعات بعد بیشتر دقت کن که از این جور اتفاقها نیفته.
  • اسکریپت بعدی وظیفه داشته از بین یک سری دلایل به صورت رندم دلیلی را انتخاب کنه و بعد از ساعت ۸,۴۵ صبح در صورتی که کارمند سر کارش حاضر نبوده به مدیرش ایمیل بزنه و از این که امروز نمی تونه سر موقع بیاد عذرخواهی کنه.
  • یکی از جالب ترین اسکریپت ها کارش این بوده که دستوری را به ماشین کافه‌ساز ارسال کنه و مقدماتی را فراهم کن تا وقتی کارمند هکر به دستگاه میرسه فقط لیوانش را زیر محل خروجی دستگاه بگیره. جالبه که این اسریپت طوری نوشته شده بوده که فاصله‌ی رفتن از محل کار کارمند به کنار دستگاه را لحاظ کرده بوده و نکته‌ جالت تر اینکه مدیر خبر نداشته که این دستگاه توی شبکه هم دستور میپذیره.

آپگرید سیستم‌عامل آیپد مینی در لینوکس

Apple-iPad-mini-2

مساله:
سیستم عامل لینوکس دارید. یک عدد آی پد مینی که قصد دارید سیستم عامل آی او اس اون را ارتقا دهید (مثلا به نسخه ۹.۲ )

راه حل پیشنهادی:
۱- نرم‌افزار VirtualBox را نصب کنید. برای نصب این نرم‌افزار از طریق پکیج منیجرهای لینوکس مشکلی نخواهید داشت.

 

۲- یک ماشین مجازی ایجاد کنید و یک سیستم عامل ویندوز (مثلا ویندوز ۱۰) بر روی آن نصب کنید.

۳- آخرین نسخه‌ی نرم افزار itunes را از سایت اپل دریافت کنید و نصب کنید. حجم اون حدود ۱۲۰ مگابایت هست.

۴- VBoxGuestAdditions را دانلود و نصب کنید. برای این کار نیاز به یک وی پی ان دارید.(نسخه‌ی virtualbox خود را مشاهده کنید و بسته مناسب را دانلودکنید). نصب این بسته به منظور استفاده از USB در ماشین مجازی نیاز هست.

۵- Extension Pack را هم برای VirtualBox نصب کنید. نصب این بسته به منظور استفاده از USB در ماشین مجازی نیاز هست.

۶- یوزری که در لینوکس با اون لاگین شده اید را باید به گروه vboxuser بیفزایید.

 

devnull.ir-apple-ipad-mini

مسابقات فتح پرچم

capture-the-flag-gray-hi

CTF‌ – Capture The Flag یا مسابقه گرفتن پرچم، یک مانور شبیه‌سازی شده در فضای سایبری است که در آن هکرها به مقابله با یکدیگر می‌پردازند. در این مسابقه هر تیم تلاش می‌کند از مواضع از پیش تعیین شده در رایانه یا شبکه اختصاصی‌اش دفاع کند. در عین حال به طور همزمان سعی می‌کند که با گذر از سد امنیتی سایر تیم‌ها، پرچم خود را در سیستم‌های آنها نصب کند. هدف از رقابت‌های CTF که طرفداران و علاقه‌مندان بسیاری دارد، فرهنگ‌سازی در زمینه امنیت فضای تبادل اطلاعات، آگاهی‌رسانی در زمینه مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانه‌ها و نرم‌افزارهای امنیتی، سیستم عامل‌ها و نرم‌افزارها است.
انشالله در پستهای بعدی مفصل درباره‌ی این رقابت‌ها و تاریخچه‌ی برگزاری آنها صحبت خواهم کرد.

فونت نسخ

چند ماهی پیش مطالبی با مضمون زیر را در برخی از منابع آنلاین ( همانند  منبع ) مطالعه کردم.

فونت های دروید عربیک نسخ (Droid Arabic Naskh) و دروید اربیک کوفی (Droid Arabic kufi) در سال ۲۰۱۰ با کمک گروه ۲۹ فونت عربی برای استفاده در محصولات گوگل طراحی شد. حروف عربی این فونت ها توسط پاسکال الزغبی و حروف لاتین توسط استیو متسون طراحی شده اند. فونت دروید نسخ برای اولین بار با اندروید۴ منتشر شد. فونت های دروید عربیک نسخ و کوفی را می‌توانید از دایرکتری فونت‌های گوگل دریافت کنید، البته این دایرکتوری چون بسیاری از خدمات گوگل برای کاربران ایرانی تحریم شده و در دسترس نمی‌باشد.

هم اکنون این فونت ها با زبان های فارسی، اردو، پشتو و دیگر زبان های مشابه نیز سازگاری کامل دارد. این دو فونت بسیار زیبا به صورت آزمایشی به سرویس وب‌فونت گوگل اضافه شده است و طراحان و توسعه دهندگان وب فارسی نیز می‌توانند به آسانی از این فونت های بسیار زیبا در طرح های خود استفاده کنند.

برای استفاده از فونت دروید عربیک کوفی کافی است کد زیر را به ابتدای فایل CSS خود اضافه کنید:

و برای تغییر فونت نوشته هایتان به کوفی از کد زیر استفاده کنید:

جهت استفاده از فونت دروید اربیک نسخ نیز کد زیر را به ابتدای فایل CSS خود بیافزایید:

و برای تغییر فونت نوشته هایتان به نسخ از کد زیر استفاده کنید:

هنگام استفاده از این وب‌فونت ها توجه کنید که ارتفاع سطرها را کمی بیشتر کنید.

مطلبی که در این زمینه به ذهن میخوره اینه که این فونت مخصوص زبان عربی طراحی شده است. این پست را بعدا دیدم. گویا افرادی تلاش کرده‌اند مختص زبان فارسی نیز فونت دروید ایجاد کنند. این روزها با گسترش محبوبیت اندروید استفاده از این فونتها در سایت ها و وبلاگ ها هم رواج یافته است.  اگر این مطلب را بخوانید متوجه می‌شوید که استفاده از فونت دروید نسخ و کوفی مخالفانی داره که برای مخالفت خود دلایلی هم دارند و اما درست و غلط أن را نمی‌دانم ولی رضا عابدینی (در اینجا) می‌گوید:

اغلب چیزهایی که ما امروز به نام کوفی می‌شناسیم مربوط می‌شود به دوره‌ای که ایرانیان آنجا زندگی می‌کردند. پس تا این حد عربی و فارسی نکنید و با خیال راحت از این خط استفاده کنید زیرا همه‌اش متعلق به خودمان است و لازم هم نیست راجع به آن حرف بزنیم.

نمی‌دانم میتوان چنین استدلالی را پذیرفت و با این استدلال ار این فونت‌ها در وبسایت‌ها و وبلاگ‌ها استفاده کرد یا نه؟!!

 

آموزش تست نفوذ برای حملات XSS

code-security-review-services

XSS یا Cross site Scripting توسط تزریق کدهای جاوا اسکریپت اطلاعات کاربران را هدف قرار می دهند. هدف این حملات بیشتر متوجه کاربرانی هست که از سایت مورد حمله بازدید کرده اند. در این نوع حمله نفوذگران کدهای خود را جایگزین کدهای صفحات پویا می کنند.

این دوره نحوه تست نفوذ را برای حملات (Cross Site Scripting (XSS آموزش می دهد. این ویدئو کار با XSS  ، تست نفوذ ، کار با HTML و نحوه حفاظت XSS از حملات هکرها را مورد بررسی قرار می دهد.
این دوره آموزشی محصول موسسه Udemy است.

سرفصل های دوره:

  • XSS چیست؟
  • چرا از XSS استفاده می کنیم؟
  • آموزش تست نفوذ
  • مقدمه Cross Site Scripting (XSS)
  • کار با انواع XSS
  • نحوه ذخیره سازی داده ها
  • کار با DOM
  • منابع مختلف XSS چیست؟
  • کار با HTML
  • کار با URL
  • نحوه اسکریپت نویسی
  • جلوگیری از حملات XSS در Realworld
  • حفاظت در XSS
  • بهره برداری از XSS
  • و…

عنوان دوره: Udemy Cross Site Scripting (XSS) Attacks for Pentesters
مدت زمان: ۲ ساعت
نویسنده: Ajin Abraham

این دوره را از این آدرس میتوانید دانلود کنید.

مقدمات هک وب

938a53d2c0950ec9b8de8cc17f8a6474-d

lFront Matter, Pages i-ii
Copyright, Page iv
Dedication, Page v
Acknowledgments, Pages vi-vii
Biography, Page viii
Foreword, Page ix
Introduction, Pages x-xii
Chapter 1 – The Basics of Web Hacking, Pages 1-18
Chapter 2 – Web Server Hacking, Pages 19-40
Chapter 3 – Web Application Recon and Scanning, Pages 41-62
Chapter 4 – Web Application Exploitation with Injection, Pages 63-86
Chapter 5 – Web Application Exploitation with Broken Authentication and Path Traversal, Pages 87-103
Chapter 6 – Web User Hacking, Pages 105-123
Chapter 7 – Fixes, Pages 125-136
Chapter 8 – Next Steps, Pages 137-141
Index, Pages 143-145

این کتاب را از این آدرس می توانید دانلود کنید.

هک وب اپلیکیشن

9781118026472 cover.indd

Chapter 1. Web Application (In)security
Chapter 2. Core Defense Mechanisms
Chapter 3. Web Application Technologies
Chapter 4. Mapping the Application
Chapter 5. Bypassing Client-Side Controls
Chapter 6. Attacking Authentication
Chapter 7. Attacking Session Management
Chapter 8. Attacking Access Controls
Chapter 9. Attacking Data Stores
Chapter 10. Attacking Back-End Components
Chapter 11. Attacking Application Logic
Chapter 12. Attacking Users: Cross-Site Scripting
Chapter 13. Attacking Users: Other Techniques
Chapter 14. Automating Customized Attacks
Chapter 15. Exploiting Information Disclosure
Chapter 16. Attacking Native Compiled Applications
Chapter 17. Attacking Application Architecture
Chapter 18. Attacking the Application Server
Chapter 19. Finding Vulnerabilities in Source Code
Chapter 20. A Web Application Hacker’s Toolkit
Chapter 21. A Web Application Hacker’s Methodology

برای دانلود این کتاب به این آدرس مراجعه کنید.

آموزش تست امنیت وب سایت برای مبتدیان

WebSecurityTestingforBeginnersQAknowledgetonextlevel

این آموزش تصویری تکنیک های تست امنیت وب سایت را برای مبتدیان آموزش می دهد.
این دوره آموزشی محصول موسسه Udemy است.

سرفصل های دوره:

  • امنیت آزمونهای وب
  • تست امنیت Terminologies
  • Http چیست؟
  • چگونه از حملات وب جلوگیری کنیم؟
  • کار با سرورها
  • نظارت بر ترافیک شبکه
  • نخوه متوقف کردن درخواست  ها
  • آشنایی با XSS
  • نحوه آسیب‌پذیری در سایت
  • جلوگیری از حملات
  • آشنایی با انواع حمله
  • کار با کوکی‌ها
  • کار با دامنه
  • کار با امنیت سایت
  • SQL چیست؟
  • معرفی CSRF
  • کار با پارامتر ها
  • و…

عنوان دوره: Udemy WebSecurity Testing for Beginners-QA knowledge to next level
مدت زمان: ۷ ساعت
نویسنده: Rahul Shetty

این دوره را از این آدرس میتوانید دانلود کنید.

آموزش حرفه ای SQL Injection 2014

devnull.ir-sql-injection

SQL Injection یکی از خطرناک ترین حفره های امنیتی است که طبق آمار منتشر شده ۸۰ درصد سایت ها به وسیله این باگ هک می شوند.

با وجود اینکه راهکارهای زیادی برای جلوگیری از به وجود آمدن این باگ طراحی شده است باز هم وب سایت ها در مقابل این حملات آسیب پذیر هستند.

در این دوره آموزشی از موسسه Udemy با تکنیک های حرفه ای SQL Injection آشنا می شوید.

سرفصل های دوره آموزشی:

  • معرفی SQL Injection
  • تصورات غلط امنیتی
  • نصب و راه اندازی ویندوز
  • نصب و راه اندازی لینوکس
  • نصب و راه اندازی آزمایشگاه های شخصی
  • ادغام OR و AND
  • دستورات مهم SQL
  • راه حل برای پرس و جو
  • کد گذاری از طریق کوکی ها
  • به روز رسانی پرس و جو
  • تجزیه و تحلیل مهم کد اسکریپت
  • عملیات Dumping با SQL
  • Injection با OR و And
  • آشنایی با ۲۶ دستور پیشرفته SQL Injection
  • اجرای دو کوئری به صورت همزمان
  • آموزش encoded injection با کوکی ها
  • آنالیز اسکریپت های مهم برای SQL Injection
  • مرتب سازی رکورد های خروجی
  • و …

این دوره را این آدرس میتوانید دانلود کنید.

1 2