در طول پروسه تحلیل و بازبینی آخرین تغییرات صورت گرفته بر روی کدهای سرور ایمیل Exim، پژوهشگران امنیت Qualys یک آسیبپذیری اجرای کد از راه دور بر روی نسخه 4.87 تا 4.91 کشف و شناسایی کردند.
مهاجمین با بهره برداری از این آسیبپذیری میتوانند از راه دور دستورات دلخواه با استفاده از تابع سیستمی execv() با سطح دسترسی ریشه بر روی سامانه هدف اجرا کنند، بدون اینکه تخریب حافظهای رخ بدهد یا نیاز به استفاده از تکنیک برنامهنویسی بازگشتی «Return-Oriented Programming» باشد.
#security_advisory
#analysis
@pishgaman_kaipod
مهاجمین با بهره برداری از این آسیبپذیری میتوانند از راه دور دستورات دلخواه با استفاده از تابع سیستمی execv() با سطح دسترسی ریشه بر روی سامانه هدف اجرا کنند، بدون اینکه تخریب حافظهای رخ بدهد یا نیاز به استفاده از تکنیک برنامهنویسی بازگشتی «Return-Oriented Programming» باشد.
#security_advisory
#analysis
@pishgaman_kaipod
KA-9804132 - The Return of the WIZard - RCE in Exim.pdf
442.6 KB
کد گزارش آسیب پذیری: KA-9804132
عنوان گزارش: بازگشت جادوگر - آسیبپذیری اجرای کد از راه دور بر روی Exim
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
عنوان گزارش: بازگشت جادوگر - آسیبپذیری اجرای کد از راه دور بر روی Exim
#security_advisory
#report
#threat_intelligence
@pishgaman_kaipod
باسلام خدمت اعضای محترم کانال
ضمن تبریک به مناسبت فرارسیدن سال جدید به اطلاع می رساند:
پیرو تغییر سیاست های هیات مدیره شرکت در سال ۹۹، انجام خدمات و سرویس های امنیتی پیشگامان کی پاد به شرکت امن افزار گستر آپادانا منتقل می گردد، لذا این شرکت مستقلاً فعالیت های این حوزه را با رویکردی جدید و مشتری محور، ادامه داده و از این پس با نام امن افزار گستر آپادانا در خدمت شما بزرگواران خواهیم بود.
سپاس از همراهی شما
ضمن تبریک به مناسبت فرارسیدن سال جدید به اطلاع می رساند:
پیرو تغییر سیاست های هیات مدیره شرکت در سال ۹۹، انجام خدمات و سرویس های امنیتی پیشگامان کی پاد به شرکت امن افزار گستر آپادانا منتقل می گردد، لذا این شرکت مستقلاً فعالیت های این حوزه را با رویکردی جدید و مشتری محور، ادامه داده و از این پس با نام امن افزار گستر آپادانا در خدمت شما بزرگواران خواهیم بود.
سپاس از همراهی شما
Routing & Tunneling Protocol Attacks.pdf
1.6 MB
شرح سناریوهای حمله در لایه های ۲ و ۳ شبکه
@amnafzar
@amnafzar
اگر علاقه دارید یک فیلد تخصصی را در حوزه امنیت انتخاب و به درستی در آن اطلاعات عمیقی به دست آورید میتوانید از لینک زیر شروع کنید :
https://t.co/8qN4ny0cjv?amp=1
باتشکر از آقای حمید کشفی
@amnafzar
https://t.co/8qN4ny0cjv?amp=1
باتشکر از آقای حمید کشفی
@amnafzar
Google Docs
Security & Hacking related books
Basic OS & Networking: The Linux Command Line 2nd ed. Linux Bible 10th Ed. (Must-read for beginners as a reference book) Network+ Study guide. (Must-read for beginners.) Security+ Study guide. Basic intro to security. MCSA Windows 10 Study Guide MCSA Networking…
آخرین نسخه ITIL 4، ITIL است اما شاید برای شما هم جالب باشد که علت نامگذاری آن اصلا ربطی به نسخه بعد از 3 بودن ITIL ندارد! بلکه علت نامگذاری این ویرایش از ITIL، همزمانی انتشار آن با دوره ای است که در آن زندگی می کنیم و آن هم «چهارمین انقلاب صنعتی» تاریخ بشر است. انقلاب صنعتی چهارم، دوره ای است که در آن ظهور فناوری های نوین در حوزه های رباتیک، هوش مصنوعی، نانوتکنولوژی، پردازش کوانتومی، زیست فناوری، اینترنت اشیا و خودروهای خودران صورت می گیرد و عصر حاضر تمامی موارد این انقلاب صنعتی را در بر گرفته است.
از این رو، با توجه به اینکه امروزه فناوری اطلاعات در هسته مرکزی همه کسب و کارها واقع شده است و متخصصان فناوری اطلاعات در سازمان ها و صنایع گوناگون، اهمیت فوق العاده ای پیدا کرده اند، نام گذاری آخرین نسخه ITIL به نام ITIL 4 اشاره ای بر همسویی نسخه جدید، با انقلاب صنعتی چهارم می باشد و منظور نسخه یا ورژن چهارم از این چارچوب، نیست.
@amnafzar
از این رو، با توجه به اینکه امروزه فناوری اطلاعات در هسته مرکزی همه کسب و کارها واقع شده است و متخصصان فناوری اطلاعات در سازمان ها و صنایع گوناگون، اهمیت فوق العاده ای پیدا کرده اند، نام گذاری آخرین نسخه ITIL به نام ITIL 4 اشاره ای بر همسویی نسخه جدید، با انقلاب صنعتی چهارم می باشد و منظور نسخه یا ورژن چهارم از این چارچوب، نیست.
@amnafzar
❇️در شرایطی که ممکن است به خاطر مقوله کرونا ویروس وقت فراقت بیشتری را در بیزینس و کسب و کار خود داشته باشید، زمان خوبی است تا به مقوله امنیت نرم افزارها، محصولات و سامانه های شرکت خود بپردازید تا پس از عبور از این مرحله رکود، قدرتمند تر به بازار برگردید.
تیم متخصص ما اماده است تا با در نظر گرفتن وضعیت اقتصادی فعلی شرکت ها سرویس های زیر را به صورت غیرحضوری به انجام برساند:
🔅تست نفوذ و ارزیابی امنیتی اپ های موبایلی (Mobile App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار ها سامانه ها (Web App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار و پروتکل (Software and Protocol Analysis)
🔅بررسی و تحلیل امنیتی کد (Source Code Auditing)
🔅تست کارایی (Load/Stress) سامانه های نرم افزاری (Performance Testing)
🔅مشاوره ISO-15408/CC در جهت اخذ مجوز امنیتی محصول از آزمایشگاه های افتا
🔅ارزیابی وضع موجود، مشاوره و دریافت راهکارها جهت بهبود امنیت و کیفیت خدمات
🔅ماشین مجازی امن (VPS) ۳ ماهه
📩کافی است درخواست خود حداکثر تا 31 فروردین ماه با ایمیل info@amnafzar.net در میان بگذارید تا از شرایط ویژه بهرمند شوید.
@amnafzar
تیم متخصص ما اماده است تا با در نظر گرفتن وضعیت اقتصادی فعلی شرکت ها سرویس های زیر را به صورت غیرحضوری به انجام برساند:
🔅تست نفوذ و ارزیابی امنیتی اپ های موبایلی (Mobile App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار ها سامانه ها (Web App Analysis)
🔅تست نفوذ و ارزیابی امنیتی نرم افزار و پروتکل (Software and Protocol Analysis)
🔅بررسی و تحلیل امنیتی کد (Source Code Auditing)
🔅تست کارایی (Load/Stress) سامانه های نرم افزاری (Performance Testing)
🔅مشاوره ISO-15408/CC در جهت اخذ مجوز امنیتی محصول از آزمایشگاه های افتا
🔅ارزیابی وضع موجود، مشاوره و دریافت راهکارها جهت بهبود امنیت و کیفیت خدمات
🔅ماشین مجازی امن (VPS) ۳ ماهه
📩کافی است درخواست خود حداکثر تا 31 فروردین ماه با ایمیل info@amnafzar.net در میان بگذارید تا از شرایط ویژه بهرمند شوید.
@amnafzar
اگر اکانت توییتر دارید حتما به این موتور جستجو سر بزنید
https://en.whotwi.com/
(واقعا هیچ جا امنیت نداریم).
@amnafzar
https://en.whotwi.com/
(واقعا هیچ جا امنیت نداریم).
@amnafzar
🔵محصول Fortify WebInspect نسخه 19.20
با قابلیت های جدید
✅API (Rest and SOAP) advanced pentest
✅Modern Web application Pentest
✅Support Compiliance PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP, and HIPPAA.
✅Intgration with Burp, Postman and Selenium WebDriver
لایسنس غیررسمی به فروش می رسد، جهت ثبت سفارش لطفا با ادرس ایمیل : info@amnafzar.net در ارتباط باشید.
با قابلیت های جدید
✅API (Rest and SOAP) advanced pentest
✅Modern Web application Pentest
✅Support Compiliance PCI DSS, DISA STIG, NIST 800-53, ISO 27K, OWASP, and HIPPAA.
✅Intgration with Burp, Postman and Selenium WebDriver
لایسنس غیررسمی به فروش می رسد، جهت ثبت سفارش لطفا با ادرس ایمیل : info@amnafzar.net در ارتباط باشید.
کشف چند آسیب پذیری از WhatsApp web:
Open Redirect + CSP Bypass + Persistent XSS + FS read permissions + potential for RCE
https://github.com/weizman/CVE-2019-18426
@amnafzar
Open Redirect + CSP Bypass + Persistent XSS + FS read permissions + potential for RCE
https://github.com/weizman/CVE-2019-18426
@amnafzar
GitHub
GitHub - weizman/CVE-2019-18426
Contribute to weizman/CVE-2019-18426 development by creating an account on GitHub.
با WAF شاید چند ثانیه دیرتر به نرم افزار شما حمله شود!
ترکیب packet filtering و یا بهره گیری از RASP محافظت بهتری را ارائه خواهد داد!
@amnafzar
ترکیب packet filtering و یا بهره گیری از RASP محافظت بهتری را ارائه خواهد داد!
@amnafzar
#ITIL4
مدیریت دسترس پذیری در ITIL 4
توجه به میزان در دسترس بودن سرویس، امری ضروری در چرخه ایجاد ارزش سرویس به شمار می رود.
مدیریت دسترس پذیری متاثر از ظرفیت سنجی صحیح، توجه به رویدادها، سرعت پاسخ دهی به رخدادها و تشخیص سریع و پاسخ بهینه به مشکلات است.
1️⃣ گام نخست در مدیریت دسترس پذیری هر سرویس، سنجش سطح انتظار از دسترس پذیری سرویس براساس مدیریت سطح خدمات (SLM) است. این موضوع با توجه به نیاز مشتریان و ذینفعان سرویس، زمان ارائه خدمت ⏱ (به عنوان مثال، 7*24)، میزان عرضه و تقاضا ⚖️ و نیز ظرفیت متناسب با آن و از طریق مدیریت ظرفیت 📈، تعیین می گردد.
2️⃣ گام دوم در مدیریت دسترس پذیری، توجه به رویدادهایی است که می تواند باعث بروز وقفه در ارائه سرویس شود، که راهکار آن استفاده از مدیریت رویدادها می باشد. 🛎
3️⃣ گام سوم موثر بر دسترس پذیری سرویس، شناسایی به موقع مشکلات جهت حل ریشه ای 🔍 آن و جلوگیری از بروز مجدد رخدادها است.
نتیجه گیری: محاسبه دوره ای وقفه های موجود در سرویس براساس شاخصهای کلیدی عملکرد می تواند سطح مغایرت با توافقنامه های سطح سرویس را تعیین و نقاط قوت و ضعف و بحرانی سرویس را مشخص کند.
لذا تعیین و محاسبه شاخص های کلیدی عملکرد 🔢📊 ، توسط افراد خبره، موجب بهبود سطح دسترس پذیری سرویس شده و تداوم کسب و کار را به ارمغان خواهد آورد.
@amnafzar
مدیریت دسترس پذیری در ITIL 4
توجه به میزان در دسترس بودن سرویس، امری ضروری در چرخه ایجاد ارزش سرویس به شمار می رود.
مدیریت دسترس پذیری متاثر از ظرفیت سنجی صحیح، توجه به رویدادها، سرعت پاسخ دهی به رخدادها و تشخیص سریع و پاسخ بهینه به مشکلات است.
1️⃣ گام نخست در مدیریت دسترس پذیری هر سرویس، سنجش سطح انتظار از دسترس پذیری سرویس براساس مدیریت سطح خدمات (SLM) است. این موضوع با توجه به نیاز مشتریان و ذینفعان سرویس، زمان ارائه خدمت ⏱ (به عنوان مثال، 7*24)، میزان عرضه و تقاضا ⚖️ و نیز ظرفیت متناسب با آن و از طریق مدیریت ظرفیت 📈، تعیین می گردد.
2️⃣ گام دوم در مدیریت دسترس پذیری، توجه به رویدادهایی است که می تواند باعث بروز وقفه در ارائه سرویس شود، که راهکار آن استفاده از مدیریت رویدادها می باشد. 🛎
3️⃣ گام سوم موثر بر دسترس پذیری سرویس، شناسایی به موقع مشکلات جهت حل ریشه ای 🔍 آن و جلوگیری از بروز مجدد رخدادها است.
نتیجه گیری: محاسبه دوره ای وقفه های موجود در سرویس براساس شاخصهای کلیدی عملکرد می تواند سطح مغایرت با توافقنامه های سطح سرویس را تعیین و نقاط قوت و ضعف و بحرانی سرویس را مشخص کند.
لذا تعیین و محاسبه شاخص های کلیدی عملکرد 🔢📊 ، توسط افراد خبره، موجب بهبود سطح دسترس پذیری سرویس شده و تداوم کسب و کار را به ارمغان خواهد آورد.
@amnafzar
#شاخص_کلیدی_عملکرد
شاخص های کلیدی عملکرد، عنوانی است که به متریک های سنجش میزان اثربخشی استراتژی ها، به روش ها، فرایندها و... در یک دوره زمانی مشخص و در راستای رسیدن کسب و کار به یک هدف معین مورد استفاده قرار می گیرد.
به عبارتی، شاخص ها پرسش هایی هستند که میزان موفقیت ما در رسیدن به هدف کسب و کار را در یک دوره زمانی و پس از انجام مجموعه ای مشخص از فعالیت ها را نشان می دهند، که به آن
🔑 #Key_Performance_Indicator
یا به اختصار
🗝 #KPI
گفته می شود.
شاخص های کلیدی عملکرد، در تمامی زمینه های کسب و کار مورد استفاده هستند که از جمله می توان به شاخص های کلیدی عملکرد در #سیستم_مدیریت_امنیت_اطلاعات (#ISMS) اشاره نمود.
این شاخصها در سیستم مدیریت امنیت اطلاعات معیاری هستند برای تشخیص میزان تحقق الزامات استاندارد #ISO27001 که نشان دهنده درصد پیشرفت سازمان در رسیدن به سطح مطلوب امنیت است.
شاخص های کلیدی عملکرد، در زمینه #کتابخانه_مدیریت_خدمات_فناوری_اطلاعات (#ITIL) میزان تحقیق استراتژی های تدوین شده برای خلق ارزش سرویس را مورد پایش قرار می دهد.
نکته حیاتی در زمینه شاخص های کلیدی عملکرد، انتخاب مناسب شاخص ها می باشد. شاخص ها باید به گونه ای انتخاب شوند که هم سازگار با کسب و کار و فرایندهای تدوین شده باشند و هم منطبق بر استاندارد های جهانی. از سوی دیگر شاخص ها باید ملموس و هر دو بعد کمیت و کیفیت را پوشش دهند، لذا نیاز به تجربه و شناخت نسبت به سیستم مورد پایش می باشد تا بتوان حداکثر نتیجه را از سیستم استخراج نمود. تیم تخصصی #امن_افزار_گستر_آپادانا با یک دهه تجربه در حوزه اجرای سیستم های استاندارد جهانی در زمینه امنیت اطلاعات، و نیز سابقه ای درخشان در شناسایی شاخص ها در سازمان هایی مانند وزارت نفت و گاز، وزارت نیرو و نیز شرکت های خصوصی و دولتی گوناگون، آماده است تا شما را در این امر مهم یاری نماید.
@amnafzar
شاخص های کلیدی عملکرد، عنوانی است که به متریک های سنجش میزان اثربخشی استراتژی ها، به روش ها، فرایندها و... در یک دوره زمانی مشخص و در راستای رسیدن کسب و کار به یک هدف معین مورد استفاده قرار می گیرد.
به عبارتی، شاخص ها پرسش هایی هستند که میزان موفقیت ما در رسیدن به هدف کسب و کار را در یک دوره زمانی و پس از انجام مجموعه ای مشخص از فعالیت ها را نشان می دهند، که به آن
🔑 #Key_Performance_Indicator
یا به اختصار
🗝 #KPI
گفته می شود.
شاخص های کلیدی عملکرد، در تمامی زمینه های کسب و کار مورد استفاده هستند که از جمله می توان به شاخص های کلیدی عملکرد در #سیستم_مدیریت_امنیت_اطلاعات (#ISMS) اشاره نمود.
این شاخصها در سیستم مدیریت امنیت اطلاعات معیاری هستند برای تشخیص میزان تحقق الزامات استاندارد #ISO27001 که نشان دهنده درصد پیشرفت سازمان در رسیدن به سطح مطلوب امنیت است.
شاخص های کلیدی عملکرد، در زمینه #کتابخانه_مدیریت_خدمات_فناوری_اطلاعات (#ITIL) میزان تحقیق استراتژی های تدوین شده برای خلق ارزش سرویس را مورد پایش قرار می دهد.
نکته حیاتی در زمینه شاخص های کلیدی عملکرد، انتخاب مناسب شاخص ها می باشد. شاخص ها باید به گونه ای انتخاب شوند که هم سازگار با کسب و کار و فرایندهای تدوین شده باشند و هم منطبق بر استاندارد های جهانی. از سوی دیگر شاخص ها باید ملموس و هر دو بعد کمیت و کیفیت را پوشش دهند، لذا نیاز به تجربه و شناخت نسبت به سیستم مورد پایش می باشد تا بتوان حداکثر نتیجه را از سیستم استخراج نمود. تیم تخصصی #امن_افزار_گستر_آپادانا با یک دهه تجربه در حوزه اجرای سیستم های استاندارد جهانی در زمینه امنیت اطلاعات، و نیز سابقه ای درخشان در شناسایی شاخص ها در سازمان هایی مانند وزارت نفت و گاز، وزارت نیرو و نیز شرکت های خصوصی و دولتی گوناگون، آماده است تا شما را در این امر مهم یاری نماید.
@amnafzar
سازمان جهانی بهداشت: روزهداری خطر ابتلا به کرونا را افزایش نمیدهد
سازمان جهان بهداشت (WHO) در خصوص روزهداری در ماه مبارک رمضان اعلام کرد:
🔹هیچ مدرکی که نشان دهد روزهداری خطر ابتلا به COVID-19 را افزایش میدهد وجود ندارد.
🔹فاصله فیزیکی حداقل 1 متر را رعایت کنید.
🔹از حضور در تجمعات و مکانهای شلوغ خودداری کنید.
🔹مرتباً و مکررا دستهای خود را بشویید.
🔹 آداب بهداشتی تنفس بویژه هنگام سرفه و عطسه را رعایت کنید.
🟣حلول ماه مبارک رمضان، مبارک. التماس دعا
@amnafzar
سازمان جهان بهداشت (WHO) در خصوص روزهداری در ماه مبارک رمضان اعلام کرد:
🔹هیچ مدرکی که نشان دهد روزهداری خطر ابتلا به COVID-19 را افزایش میدهد وجود ندارد.
🔹فاصله فیزیکی حداقل 1 متر را رعایت کنید.
🔹از حضور در تجمعات و مکانهای شلوغ خودداری کنید.
🔹مرتباً و مکررا دستهای خود را بشویید.
🔹 آداب بهداشتی تنفس بویژه هنگام سرفه و عطسه را رعایت کنید.
🟣حلول ماه مبارک رمضان، مبارک. التماس دعا
@amnafzar
#سیستم_مدیریت_امنیت_اطلاعات (#ISMS)
در دنیای تکنولوژی توجه به مقوله #امنیت امری ضروری و غیر قابل انکار است و جنگ های سایبری گواهی بر این مهم، هستند.
سیستم مدیریت امنیت اطلاعات، برگرفته از استاندارد ISO27001 به بیان بایدها و نبایدها یا به عبارتی الزامات امنیتی کسب و کار می پردازد.
در این سیستم 14 هدف و 114 کنترل به بیان هر آنچه می تواند امنیت یک سازمان را ارتقا دهد و برای بقای سازمان حائز اهمیت است، اشاره دارد.
این الزامات به نگاه امنیتی در ساختار سازمانی و استراتژی و اهداف، مدیریت منابع انسانی، قراردادها و نیز مباحث فنی و تکنولوژیکی در کنار هم اشاره دارد.
همچنین بحث پایش و ممیزی از سیستم در راستای انطباق سنجی ✍ سازمان با الزامات استاندارد را در بر میگیرد.
📜استاندارد ISO27001 نیز مانند هر استاندارد دیگری پس از اجرا در سازمان، منجر به اخذ گواهینامه خواهد شد.
📄 گواهینامه های استاندارد ISO27001 در دو قالب داخلی و خارجی قابل دریافت است.
👩💻👨💻 متخصصین شرکت امن افزار گستر آپادانا با سابقه ای درخشان در حوزه #مشاوره و #پیاده_سازی سیستم مدیریت امنیت اطلاعات در سازمان های خصوصی و دولتی، شما را تا رسیدن به سطح ایده آلی از امنیت، و اخذ گواهینامه یاری می نمایند.
#ISMS
#ISO27001
🆔 @amnafzar
در دنیای تکنولوژی توجه به مقوله #امنیت امری ضروری و غیر قابل انکار است و جنگ های سایبری گواهی بر این مهم، هستند.
سیستم مدیریت امنیت اطلاعات، برگرفته از استاندارد ISO27001 به بیان بایدها و نبایدها یا به عبارتی الزامات امنیتی کسب و کار می پردازد.
در این سیستم 14 هدف و 114 کنترل به بیان هر آنچه می تواند امنیت یک سازمان را ارتقا دهد و برای بقای سازمان حائز اهمیت است، اشاره دارد.
این الزامات به نگاه امنیتی در ساختار سازمانی و استراتژی و اهداف، مدیریت منابع انسانی، قراردادها و نیز مباحث فنی و تکنولوژیکی در کنار هم اشاره دارد.
همچنین بحث پایش و ممیزی از سیستم در راستای انطباق سنجی ✍ سازمان با الزامات استاندارد را در بر میگیرد.
📜استاندارد ISO27001 نیز مانند هر استاندارد دیگری پس از اجرا در سازمان، منجر به اخذ گواهینامه خواهد شد.
📄 گواهینامه های استاندارد ISO27001 در دو قالب داخلی و خارجی قابل دریافت است.
👩💻👨💻 متخصصین شرکت امن افزار گستر آپادانا با سابقه ای درخشان در حوزه #مشاوره و #پیاده_سازی سیستم مدیریت امنیت اطلاعات در سازمان های خصوصی و دولتی، شما را تا رسیدن به سطح ایده آلی از امنیت، و اخذ گواهینامه یاری می نمایند.
#ISMS
#ISO27001
🆔 @amnafzar