رقابت فتح پرچم – شریف ۹۴- برنامه‌نویسی امن- قسمت دوم

Hacker using laptop. Lots of digits on the computer screen.

در مسابقه‌ی دور ششم ۲۰۱۶ دو سوال برنامه‌نویسی امن، ارایه شده بود. سوال اول که یک سوال ۱۰۰ امتیازی و ساده بود را در اینجا بررسی کردیم اما در ادامه قصد دارم سوال ۳۰۰ امتیازی را بررسی کنیم. همچون سایر سوال های برنامه‌نویسی امن، یک قطعه کد آسیب پذیر داده شده بود و خواسته شده بود که مشکلات آن برطرف شود.

(بیشتر…)

فتح پرچم – شریف ۹۴- برنامه‌نویسی امن

secure-coding-cpp

چند سالی هست که در رقابت های شریف سوالاتی با عنوان برنامه نویسی امن (secure coding) مشاهده می‌شود. قالب کلی این سوالات به این شکل هست که کد یک برنامه‌ (در اغلب موارد به زبان سی و یا سی پلاس پلاس) داده می‌شود و از شرکت کنندگان خواسته می‌شود که بدون اینکه عملکرد اصلی برنامه را تغییر بدهند کد را به گونه‌ای تغییر دهند که امن شود به عبارت دیگه آسیب پذیری‌های اون را رفع کنند. در رقابت‌های دور ششم هم دو سوال از این دست وجود داشت.

(بیشتر…)

ششمین دوره‌ی رقابت های فتح پرچم دانشگاه شریف

ctf6_poster_1394-07-18-2

ششمین دوره‌ی رقابت های فتح پرچم دانشگاه شریف (سی تی اف) ۱۶ و ۱۷ بهمن ماه سال ۹۴ به صورت آنلاین برگزار شد.

آمار اجمالی درباره‌ی این رقابتها:

این مسابقات برخلاف سالهای قبل در یک مرحله و به صورت بین‌المللی انجام شد.
۱۴۱۴ تیم از ۹۹ کشور در ۳۶ ساعت به رقابت پرداختند.
۳۴۹ تیم ایرانی در این رقابت‌ها ثبت نام کردند.
۴۴۷ تیم موفق به کسب امتیاز شدند.
تیم dcua از اوکراین به عنوان تیم اول انتخاب شد.
مراسم اختتامیه روز چهارشنبه ۲۱ بهمن‌ماه برگزار شد.

SharifCTF-scoreboard-2016

چالشهای این مسابقه در اینجا قابل دسترسی است. سعی میکنم در ادامه پست هایی درباره‌ی سوالهای موجود در رقابت‌های امسال داشته باشم.

ایان مورداک

rip-debian-founder-ian-murdock1

ایان مورداک بنیان‌گذار توزیع دبیان در آخرین روزهای سال ۲۰۱۵  در سن ۴۲ سالگی درگذشت. او یکی از فعالان در زمینه‌ی برنامه‌های متن باز و لینوکس بود. او علاوه بر دبیان فعالیت ّای زیادی در زمینه‌ی نرم‌افزارهای متن باز داشت و تاثیر زیادی در این حوزه داشت. دبیان به مناسبت درگذشت او متنی را منتشر کرده است. او از نوامبر ۲۰۱۵ در داکر مشغول به کار شد. داکر نیز پیامی را به مناسبت درگذشت او منتشر کرده است. جالب است بدانید که یان، نام دبیان را از ابتدای نام همسر خود که Deborah نام دارد و ترکیب آن با نام خود بوجود آورد و بدون شک یادگاری فراموش نشدنی را برای همه علاقمندان خود باقی گذاشت.

devnull.ir-500px-IanMurdock-3

 

دوستان او در داکر می گویند:

ما خودمان را افراد خوش‌شانسی می‌دانیم که فرصت آشنایی با مورداک و کار کردن با او را داشتیم. او با افکار، اشتیاق و تجربه‌ی خود همه را شگفت زده می‌کرد. او شخصی فوق‌العاده و برای بسیاری از ما الهام بخش بود؛ مرگ ایان برای تمام کسانی که او را می‌شناختند فقدانی بزرگ است

هکر اسکریپت

programmer

چندی قبل همکاری داشتیم که مجبور بود ماهانه گزارشی تهیه کنه. این اواخر گزارشها داشتند کاملا فرمالیته و یک فرم می‌شدند.
چند هفته‌ی قبل این دوست و همکار قدیمی را دیدم.  وسط حرفهامون جویا گزارش نویسی هاش شدم. گفت یک اسکریپت نوشته که بخشی از گزارشش که به ساعات حضور روزانه اش مربوط می‌شه را به صورت اتوماتیک مینویسه. این دوست عزیز بنده را به خوندن داستانی ترقیب کرد.

خلاصه این داستان از این قراره که شخصی از شرکتی میره و مدیر اون پس از رفتنش متوجه کارهایی می‌شه که این فرد قبلا توی شرکت از طریق اسکریپت انجام می‌داده. (زندگی این شخص توی ترمینال لینوکس بوده و هر کاری که بیشتر از ۹۰ ثانیه طول میکشیده را توسط نوشتن یک اشکریپت اتوماتیک انجام میداده.) بعضی از این کارها که به کمک اسکریپت انجام می‌شدند خیلی جالبند:

  • اسکریپتی نوشته بوده که اگر تا ساعت ۹ شب سر کار میمونده و قاعدتا روی سیستمش لاگین بوده و سشن (نشست) فعال داشته، یک پیام به همسرش می‌فرستاده و از بین یک سری دلایل به صورت رندم دلیلی را انتخاب میکرده و عذرخواهی میکرده که امشب دیر میاد خونه.
  • اسکریپت بعدی قرار بوده پاسخگوی یکی از همکارانشون باشه: همکاری داشتند که توی پایگاه داده خرابکاری میکرده و با ارسال ایمیل درخواست میکرده دیتابیس به نسخه پشتیبان بازگرده. این اسکریپت ایمیل های رسده از طرف این شخص را بررسی میکرده و اگر کلماتی نظیر “help”و یا “sorry” و از این دست موارد را پیدا میکرده. اتوماتیک دیتابیس را restore میکرده ویک ایمیل هم به طرف میزده که اشکالی نداره. دفعات بعد بیشتر دقت کن که از این جور اتفاقها نیفته.
  • اسکریپت بعدی وظیفه داشته از بین یک سری دلایل به صورت رندم دلیلی را انتخاب کنه و بعد از ساعت ۸,۴۵ صبح در صورتی که کارمند سر کارش حاضر نبوده به مدیرش ایمیل بزنه و از این که امروز نمی تونه سر موقع بیاد عذرخواهی کنه.
  • یکی از جالب ترین اسکریپت ها کارش این بوده که دستوری را به ماشین کافه‌ساز ارسال کنه و مقدماتی را فراهم کن تا وقتی کارمند هکر به دستگاه میرسه فقط لیوانش را زیر محل خروجی دستگاه بگیره. جالبه که این اسریپت طوری نوشته شده بوده که فاصله‌ی رفتن از محل کار کارمند به کنار دستگاه را لحاظ کرده بوده و نکته‌ جالت تر اینکه مدیر خبر نداشته که این دستگاه توی شبکه هم دستور میپذیره.

آپگرید سیستم‌عامل آیپد مینی در لینوکس

Apple-iPad-mini-2

مساله:
سیستم عامل لینوکس دارید. یک عدد آی پد مینی که قصد دارید سیستم عامل آی او اس اون را ارتقا دهید (مثلا به نسخه ۹.۲ )

راه حل پیشنهادی:
۱- نرم‌افزار VirtualBox را نصب کنید. برای نصب این نرم‌افزار از طریق پکیج منیجرهای لینوکس مشکلی نخواهید داشت.

 

۲- یک ماشین مجازی ایجاد کنید و یک سیستم عامل ویندوز (مثلا ویندوز ۱۰) بر روی آن نصب کنید.

۳- آخرین نسخه‌ی نرم افزار itunes را از سایت اپل دریافت کنید و نصب کنید. حجم اون حدود ۱۲۰ مگابایت هست.

۴- VBoxGuestAdditions را دانلود و نصب کنید. برای این کار نیاز به یک وی پی ان دارید.(نسخه‌ی virtualbox خود را مشاهده کنید و بسته مناسب را دانلودکنید). نصب این بسته به منظور استفاده از USB در ماشین مجازی نیاز هست.

۵- Extension Pack را هم برای VirtualBox نصب کنید. نصب این بسته به منظور استفاده از USB در ماشین مجازی نیاز هست.

۶- یوزری که در لینوکس با اون لاگین شده اید را باید به گروه vboxuser بیفزایید.

 

devnull.ir-apple-ipad-mini

مسابقات فتح پرچم

capture-the-flag-gray-hi

CTF‌ – Capture The Flag یا مسابقه گرفتن پرچم، یک مانور شبیه‌سازی شده در فضای سایبری است که در آن هکرها به مقابله با یکدیگر می‌پردازند. در این مسابقه هر تیم تلاش می‌کند از مواضع از پیش تعیین شده در رایانه یا شبکه اختصاصی‌اش دفاع کند. در عین حال به طور همزمان سعی می‌کند که با گذر از سد امنیتی سایر تیم‌ها، پرچم خود را در سیستم‌های آنها نصب کند. هدف از رقابت‌های CTF که طرفداران و علاقه‌مندان بسیاری دارد، فرهنگ‌سازی در زمینه امنیت فضای تبادل اطلاعات، آگاهی‌رسانی در زمینه مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانه‌ها و نرم‌افزارهای امنیتی، سیستم عامل‌ها و نرم‌افزارها است.
انشالله در پستهای بعدی مفصل درباره‌ی این رقابت‌ها و تاریخچه‌ی برگزاری آنها صحبت خواهم کرد.

فونت نسخ

چند ماهی پیش مطالبی با مضمون زیر را در برخی از منابع آنلاین ( همانند  منبع ) مطالعه کردم.

فونت های دروید عربیک نسخ (Droid Arabic Naskh) و دروید اربیک کوفی (Droid Arabic kufi) در سال ۲۰۱۰ با کمک گروه ۲۹ فونت عربی برای استفاده در محصولات گوگل طراحی شد. حروف عربی این فونت ها توسط پاسکال الزغبی و حروف لاتین توسط استیو متسون طراحی شده اند. فونت دروید نسخ برای اولین بار با اندروید۴ منتشر شد. فونت های دروید عربیک نسخ و کوفی را می‌توانید از دایرکتری فونت‌های گوگل دریافت کنید، البته این دایرکتوری چون بسیاری از خدمات گوگل برای کاربران ایرانی تحریم شده و در دسترس نمی‌باشد.

هم اکنون این فونت ها با زبان های فارسی، اردو، پشتو و دیگر زبان های مشابه نیز سازگاری کامل دارد. این دو فونت بسیار زیبا به صورت آزمایشی به سرویس وب‌فونت گوگل اضافه شده است و طراحان و توسعه دهندگان وب فارسی نیز می‌توانند به آسانی از این فونت های بسیار زیبا در طرح های خود استفاده کنند.

برای استفاده از فونت دروید عربیک کوفی کافی است کد زیر را به ابتدای فایل CSS خود اضافه کنید:

و برای تغییر فونت نوشته هایتان به کوفی از کد زیر استفاده کنید:

جهت استفاده از فونت دروید اربیک نسخ نیز کد زیر را به ابتدای فایل CSS خود بیافزایید:

و برای تغییر فونت نوشته هایتان به نسخ از کد زیر استفاده کنید:

هنگام استفاده از این وب‌فونت ها توجه کنید که ارتفاع سطرها را کمی بیشتر کنید.

مطلبی که در این زمینه به ذهن میخوره اینه که این فونت مخصوص زبان عربی طراحی شده است. این پست را بعدا دیدم. گویا افرادی تلاش کرده‌اند مختص زبان فارسی نیز فونت دروید ایجاد کنند. این روزها با گسترش محبوبیت اندروید استفاده از این فونتها در سایت ها و وبلاگ ها هم رواج یافته است.  اگر این مطلب را بخوانید متوجه می‌شوید که استفاده از فونت دروید نسخ و کوفی مخالفانی داره که برای مخالفت خود دلایلی هم دارند و اما درست و غلط أن را نمی‌دانم ولی رضا عابدینی (در اینجا) می‌گوید:

اغلب چیزهایی که ما امروز به نام کوفی می‌شناسیم مربوط می‌شود به دوره‌ای که ایرانیان آنجا زندگی می‌کردند. پس تا این حد عربی و فارسی نکنید و با خیال راحت از این خط استفاده کنید زیرا همه‌اش متعلق به خودمان است و لازم هم نیست راجع به آن حرف بزنیم.

نمی‌دانم میتوان چنین استدلالی را پذیرفت و با این استدلال ار این فونت‌ها در وبسایت‌ها و وبلاگ‌ها استفاده کرد یا نه؟!!

 

آموزش تست نفوذ برای حملات XSS

code-security-review-services

XSS یا Cross site Scripting توسط تزریق کدهای جاوا اسکریپت اطلاعات کاربران را هدف قرار می دهند. هدف این حملات بیشتر متوجه کاربرانی هست که از سایت مورد حمله بازدید کرده اند. در این نوع حمله نفوذگران کدهای خود را جایگزین کدهای صفحات پویا می کنند.

این دوره نحوه تست نفوذ را برای حملات (Cross Site Scripting (XSS آموزش می دهد. این ویدئو کار با XSS  ، تست نفوذ ، کار با HTML و نحوه حفاظت XSS از حملات هکرها را مورد بررسی قرار می دهد.
این دوره آموزشی محصول موسسه Udemy است.

سرفصل های دوره:

  • XSS چیست؟
  • چرا از XSS استفاده می کنیم؟
  • آموزش تست نفوذ
  • مقدمه Cross Site Scripting (XSS)
  • کار با انواع XSS
  • نحوه ذخیره سازی داده ها
  • کار با DOM
  • منابع مختلف XSS چیست؟
  • کار با HTML
  • کار با URL
  • نحوه اسکریپت نویسی
  • جلوگیری از حملات XSS در Realworld
  • حفاظت در XSS
  • بهره برداری از XSS
  • و…

عنوان دوره: Udemy Cross Site Scripting (XSS) Attacks for Pentesters
مدت زمان: ۲ ساعت
نویسنده: Ajin Abraham

این دوره را از این آدرس میتوانید دانلود کنید.

مقدمات هک وب

938a53d2c0950ec9b8de8cc17f8a6474-d

lFront Matter, Pages i-ii
Copyright, Page iv
Dedication, Page v
Acknowledgments, Pages vi-vii
Biography, Page viii
Foreword, Page ix
Introduction, Pages x-xii
Chapter 1 – The Basics of Web Hacking, Pages 1-18
Chapter 2 – Web Server Hacking, Pages 19-40
Chapter 3 – Web Application Recon and Scanning, Pages 41-62
Chapter 4 – Web Application Exploitation with Injection, Pages 63-86
Chapter 5 – Web Application Exploitation with Broken Authentication and Path Traversal, Pages 87-103
Chapter 6 – Web User Hacking, Pages 105-123
Chapter 7 – Fixes, Pages 125-136
Chapter 8 – Next Steps, Pages 137-141
Index, Pages 143-145

این کتاب را از این آدرس می توانید دانلود کنید.

1 2