اگر یک صفحه ورود JSON پیدا کردید، بلافاصله تلاش کنید تا یک آسیب‌پذیری تزریق SQL کور را روی فیلدهای نام کاربری و رمز عبور امتحان کنید. همان‌طور که در تصویر نشان داده شده است، ما از یک payload تأخیر زمانی استفاده کردیم.

If you find a JSON login page, immediately try a blind SQL injection vulnerability on the username and password fields. As shown in the picture, we used a time delay payload.

در زمینه تست نفوذ اخلاقی، مرحله پیش‌آزمون (Recon) یا شناسایی بسیار مهم است تا قبل از شروع آزمون به خوبی آماده شوید. در اینجا یک برنامه شناسایی مختصر برای شروع آورده شده است:

1. جمع‌آوری اطلاعات عمومی:
   شروع کنید به جمع‌آوری اطلاعات در مورد سازمان هدف، مانند: نام دامنه، زیر دامنه‌ها، آدرس‌های ایمیل، شماره تلفن‌ها و اطلاعات کارکنان. می‌توانید از ابزارهایی مانند WHOIS و Google Dorks و جستجو در وب استفاده کنید تا در این فرآیند به شما کمک کنند.

2. شناسایی منابع:
   پس از جمع‌آوری اطلاعات، منابع هدف را شناسایی کنید، مانند سیستم ورود، برنامه‌های وب، سرورها و نقاط دسترسی به شبکه.

3. اسکن دامنه‌ها و زیر دامنه‌ها:
   از ابزارهایی مانند Nmap و Sublist3r و Amass برای اسکن دامنه‌ها و زیر دامنه‌ها و شناسایی وب‌سایت‌ها و سرویس‌های استفاده شده استفاده کنید.

4. اسکن شبکه:
   شبکه را با استفاده از ابزارهایی مانند Nmap و Wireshark و ZMap اسکن کنید تا اطلاعاتی در مورد پورت‌های باز، سرویس‌های استفاده شده و سیستم‌عامل‌ها جمع‌آوری کنید.

5. تحلیل نتایج:
   پس از جمع‌آوری همه اطلاعات، نتایج را تحلیل کرده و نقاط ضعف و اهداف را شناسایی کنید.

6. استفاده از تکنیک‌های اجتماعی:
   ممکن است مفید باشد که اطلاعات کارکنان و سیستم‌هایشان را از طریق روش‌های مهندسی اجتماعی مانند فیشینگ و مهندسی اجتماعی جمع‌آوری کنید.

7. مستندسازی شناسایی:
   یک گزارش دقیق از نتایج مرحله پیش‌آزمون تهیه کنید و مطمئن شوید که همه اطلاعات جمع‌آوری شده و نتایج بدست آمده را مستند کرده‌اید.

پس از اتمام این برنامه، آماده خواهید بود که آزمون نفوذ اخلاقی را بر اساس اطلاعات جمع‌آوری شده و نقاط ضعف احتمالی شناسایی شده آغاز کنید. همیشه به یاد داشته باشید که قبل از شروع هر آزمون، از سازمان مربوطه اجازه بگیرید.

In the field of ethical penetration testing, the reconnaissance (Recon) or pre-testing phase is crucial for thorough preparation before starting the actual test. Here's a brief reconnaissance program to get you started:

1. Gather General Information:
   Start by collecting information about the target organization, such as domain names, subdomains, email addresses, phone numbers, and employee information. Tools like WHOIS, Google Dorks, and web searches can help you in this process.

2. Identify Resources:
   After gathering information, identify the target's resources, such as login systems, web applications, servers, and network access points.

3. Scan Domains and Subdomains:
   Use tools like Nmap, Sublist3r, and Amass to scan domains and subdomains to identify websites and services in use.

4. Network Scanning:
   Scan the network using tools like Nmap, Wireshark, and ZMap to gather information about open ports, services in use, and operating systems.

5. Analyze Results:
   After collecting all the information, analyze the results to identify vulnerabilities and targets.

6. Use Social Engineering Techniques:
   It may be beneficial to gather information about employees and their systems through social engineering methods like phishing and other social engineering techniques.

7. Document Reconnaissance:
   Prepare a detailed report of the pre-testing phase results, ensuring that all collected information and findings are well documented.

After completing this program, you will be ready to begin the ethical penetration test based on the collected information and identified potential vulnerabilities. Always remember to obtain permission from the respective organization before starting any test.

شرکت Broadcom با ادغام Symantec و VMware Carbon Black یک واحد جدید به نام Enterprise Security Group ایجاد کرده است. VMware Carbon Black به عنوان محصول کلیدی این واحد، با استفاده از هوش مصنوعی و یادگیری ماشین، امنیت چندلایه‌ای در برابر تهدیدات سایبری فراهم می‌کند. این پلتفرم شامل تشخیص و پاسخ به تهدیدات، پیشگیری از نشت داده، کنترل برنامه‌ها، محافظت از نقاط پایانی و شبکه و محافظت از بار کاری است. این ترکیب نویدبخش آینده‌ای روشن در امنیت سایبری است و راهکار جامعی برای شناسایی، پیشگیری و پاسخ به تهدیدات ارائه می‌دهد.

Broadcom has created a new unit called the Enterprise Security Group by merging Symantec and VMware Carbon Black. VMware Carbon Black, as a key product of this unit, uses artificial intelligence and machine learning to provide multi-layered security against cyber threats. This platform includes threat detection and response, data leak prevention, application control, endpoint and network protection, and workload protection. This combination promises a bright future in cybersecurity, offering a comprehensive solution for identifying, preventing, and responding to threats.

چگونه می‌توان از طریق یک آدرس ایمیل Gmail نام کامل یک شخص را بدون آگاهی او بدست آورد:

- با استفاده از ایمیل خود:
- یک سند گوگل بسازید.
- سند را با حساب Gmail هدف به اشتراک بگذارید.
- جعبه "اطلاع دادن به افراد" را غیرفعال کنید.
- نام به شما نشان داده خواهد شد.

فراموش نکنید که پس از بدست آوردن نام، اشتراک سند را لغو کنید. ??✌️?

How to obtain a person's full name through a Gmail email address without them knowing:

- Using your email:
- Create a Google document.
- Share the document with the target's Gmail account.
- Uncheck the "Notify people" box.
- The name will be revealed.

Don't forget to unshare the document after obtaining the name. ??✌️?

⚠️ توجه کاربران وردپرس!

یک آسیب‌پذیری حیاتی SQL injection (CVE-2024-27956) در افزونه WP-Automatic در حال استفاده فعال است. با شدت حداکثری 9.9 از 10، این باگ امکان تصرف وب‌سایت و فعالیت‌های خبیث را فراهم می‌کند.
جزئیات: https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html
استفاده: https://github.com/diego-tella/CVE-2024-27956-RCE

? Attention WordPress users!

A critical SQL injection vulnerability (CVE-2024-27956) in the WP-Automatic plugin is being actively exploited. With a max severity of 9.9/10, this bug enables site takeovers and malicious activities.
Details: https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html
Exploit: https://github.com/diego-tella/CVE-2024-27956-RCE

امروز همه چیز خصوصی است.

چگونه اطلاعات درباره فردی که می‌خواهید هدف قرار دهید را از طریق برنامه Duolingo بدست آورید:

تعداد کاربران برنامه: 525 میلیون دانلود.

چگونه می‌توانید عکس پروفایل و اطلاعاتی مانند شناسه Google و شناسه Facebook و دیگر اطلاعات را با استفاده از ایمیل آنها دریافت کنید:

پیوند را وارد کنید و ایمیل را به ایمیل قربانی تغییر دهید:

https://www.duolingo.com/2017-06-30/[email protected]

حتماً تلاش کنید تا اطلاعات ممکن‌ه‌ای را جمع آوری کنید تا فرایند راحت‌تر شود ?✌️

Today everything is private.

How to get information about a person you want to target through the Duolingo application:

Number of application users: 525 million downloads.

How to retrieve their profile picture and information like Google ID and Facebook ID and others using their email:

Enter the link and change the email to the victim's email:

https://www.duolingo.com/2017-06-30/[email protected]

Make sure to gather as much information as possible to make the process easier ?✌️

وقتی میگه پشتیبانی مثل ما کسی نیست ولی بیای بلاک میشی ?

(آسیب پذیری ذخیره سازی صفحه حساس)
تست کردن آن بسیار آسان است

1- وارد حساب کاربری خود در وب سایت شرکت شوید.
2- به صفحه تغییر رمز عبور بروید.
3- زمانی که در صفحه تغییر رمز عبور هستید از سیستم خارج شوید.
4- به مرورگر برگردید.

اگر صفحه تغییر رمز عبور با شما باز شد، تبریک می گویم، آن را گزارش دهید

این جایزه از 50 تا 200 دلار متغیر است

(Sensitive page storage vulnerability)
Testing it is very easy

1- Log in to your account on the company’s website.
2- Go to the change password page.
3- Log out while you are on the password change page.
4- Go back in the browser.

If the password change page opens with you, congratulations, report it

The reward ranges from $50 to $200

Urls =
https://houseofmakeye.com/
http://avta-africa.com/Mr.html
https://_wildcard_.avta-africa.com/
https://makstroyirk.ru/
https://mikebrin.com/
https://bizbuilder.mikebrin.com/
http://fernandogarces.com/
http://support-users.fernandogarces.com/
http://securesyseteref.nit.fernandogarces.com/
http://acn.org.in/
http://acprr.org.in/
http://bhdamch.com/
http://bimup.co/
http://cedarspringshighschool.com/
http://davuniversity.in/
http://deshbhagatuniversity.co.in/
http://fullentertainment.in/
http://gursewacollegesgarhshankar.com/
http://gvppdc.org/
http://hcos.co.in/
http://himssitapur.com/
http://icsedelhi.co.in/
http://ikgptu.org/
http://jkboard.org/
http://jkcollection.co.in/
http://jppgc.org/
http://khmchtt.org/
http://mspedu.in/
http://opminstitutes.com/
http://punjabmedicalcouncil.org/
http://rajgroupedu.org/
http://result.acprr.org.in/
http://result.himssitapur.com/
http://result.jppgc.org/
http://resultsnios.co.in/
http://simtroopnagar.in/
http://smartwinzsolutions.in/
https://sriguruharkrishanpublicschool.org/
http://sssgroup.in/
http://thewes.in/
http://umsdavuniversity.org/
http://up.mspedu.in/
http://uppharmacycouncil.in/
http://www.eco-materials.org.tw/
http://segesco.fr/

URLS = http://mail.santhanucare.com/Mr.html http://www.ipool.net.au/Mr.html https://cambridge.vixeemo.com/Mr.html https://barrie.vixeemo.com/Mr.html https://hamilton.vixeemo.com/Mr.html https://london.vixeemo.com/Mr.html http://hosting.vixeemo.com/Mr.html…