آکادمی لیان

کتاب و مقالات

  • Burp Suite برای تست نفوذ: افزونه Autorize
    سجاد تیموری1 هفته پیش
    ۰ 7

    Burp Suite برای تست نفوذ: افزونه Autorize

    به‌منظور حفاظت از دارایی‌های آنلاین، تست امنیتی وب‌اپلیکیشن یکی از عناصر حیاتی در راستای ایمن‌سازی آن‌ها محسوب می‌شود. Burp Suite طی سال‌های متمادی در این حوزه پیشرو بوده و همچنان توسط متخصصان امنیت و هکرهای اخلاقی مورد استفاده قرار می‌گیرد. یکی از افزونه‌هایی که در جامعه تست امنیت وب برجسته است، Autorize نام دارد که مجموعه‌ای گسترده از قابلیت‌های اضافی…

    بیشتر بخوانید »
  • ۶ سناریوی حمله‌ی Browser-Based که امنیت سازمان‌ها را در ۲۰۲۵ به چالش می‌کشد
    سجاد تیموری1 هفته پیش
    ۰ 3

    ۶ سناریوی حمله‌ی Browser-Based که امنیت سازمان‌ها را در ۲۰۲۵ به چالش می‌کشد

    تیم‌های امنیتی باید چه نکاتی را درباره‌ی تکنیک‌های حمله‌ی مبتنی بر مرورگر که عامل اصلی نقض‌های امنیتی در سال ۲۰۲۵ هستند، بدانند؟ «مرورگر میدان نبرد جدید است.» «مرورگر نقطه‌ی پایانی جدید است.» این‌ها جملاتی هستند که بارها و بارها هنگام مطالعه‌ی مقالات در وب‌سایت‌هایی مشابه این با آن‌ها مواجه می‌شوید. اما این عبارات از منظر امنیتی دقیقاً چه معنایی دارند؟…

    بیشتر بخوانید »
  • روش نوین حملات هوش مصنوعی با سوءاستفاده از Downscaled Images برای سرقت داده‌ها
    سجاد تیموری3 هفته پیش
    ۰ 8

    روش نوین حملات هوش مصنوعی با سوءاستفاده از Downscaled Images برای سرقت داده‌ها

    پژوهشگران یک حمله نوین طراحی کرده‌اند که با inject کردن malicious prompts در تصاویر پردازش‌شده توسط سامانه‌های AI، داده‌های کاربران را سرقت می‌کند و سپس این داده‌ها را به یک Large Language Model (LLM) منتقل می‌سازد. این روش مبتنی بر تصاویر full-resolution است که حاوی دستورالعمل‌هایی نامرئی برای چشم انسان می‌باشند اما پس از کاهش کیفیت از طریق resampling algorithms…

    بیشتر بخوانید »
  • راهنمای جامع در مورد Bypass کردن AMSI
    سجاد تیموری3 هفته پیش
    ۰ 11

    راهنمای جامع در مورد Bypass کردن AMSI

    مایکروسافت استاندارد Antimalware Scan Interface (AMSI) را توسعه داد که به توسعه‌دهندگان امکان می‌دهد مکانیزم‌های دفاع در برابر بدافزار را در نرم‌افزار خود ادغام کنند. AMSI این قابلیت را فراهم می‌کند که یک برنامه با هر آنتی‌ویروس نصب‌شده روی سیستم تعامل داشته باشد و از اجرای بدافزارهای پویا  و مبتنی بر اسکریپت جلوگیری کند. در این مقاله، به بررسی دقیق‌تر…

    بیشتر بخوانید »
  • سجاد تیموریمرداد ۲۶, ۱۴۰۴
    ۰ 19

    بررسی حمله Kerberoasting در Active Directory

    در این مقاله به بررسی حمله Kerberoasting می‌پردازیم؛ حمله‌ای مخفیانه در Active Directory که با سوءاستفاده از Service Principal Names (SPNs)، هش‌های بلیت TGS را استخراج و کرک کرده و منجر به افشای گذرواژه‌های حساب‌های سرویس می‌شود. برخلاف AS-REP Roasting، این روش از درخواست‌های مشروع Kerberos بهره‌برداری می‌کند. در این مطلب، پیکربندی آزمایشگاهی، اجرای حمله با استفاده از ابزارهای Impacket،…

    بیشتر بخوانید »
  • راه‌اندازی آزمایشگاه Web Application Pentest با استفاده از Docker
    سجاد تیموریمرداد ۱۹, ۱۴۰۴
    ۰ 44

    راه‌اندازی آزمایشگاه Web Application Pentest با استفاده از Docker

    در حوزه امنیت سایبری، Penetration Testing و Vulnerability Assessment از گام‌های کلیدی برای شناسایی و کاهش تهدیدات امنیتی بالقوه محسوب می‌شوند. با توجه به افزایش چشمگیر تعداد برنامه‌های تحت وب، نیاز به محیط‌های آزمایشی امن و پایدار بیش از هر زمان دیگری اهمیت پیدا کرده است. در این مقاله، به بررسی مفهوم Vulnerable Web Applications، اهمیت آن‌ها در فرآیند Penetration…

    بیشتر بخوانید »
  • بررسی موانع زیرساختی و راه‌حل‌های نوین در پیاده‌سازی Desktop & Application Virtualization
    سجاد تیموریتیر ۲۲, ۱۴۰۴
    ۰ 0

    بررسی موانع زیرساختی و راه‌حل‌های نوین در پیاده‌سازی Desktop & Application Virtualization

    ایمن‌سازی محیط‌های مجازی در مواجهه با تهدیدات در حال تکامل با گسترش روزافزون رویکردهای کاری Remote و Hybrid در سازمان‌ها، استفاده از راهکارهای Desktop Virtualization و Application Virtualization به عنوان استراتژی‌هایی کلیدی برای افزایش انعطاف‌پذیری، مقیاس‌پذیری و امنیت، اهمیت فزاینده‌ای یافته است. با این حال، پیاده‌سازی این راهکارها چالش‌های فنی متعددی را به همراه دارد که مدیران فناوری اطلاعات باید…

    بیشتر بخوانید »
  • بررسی حمله Kerberos Username Bruteforce در Active Directory
    سجاد تیموریخرداد ۱۱, ۱۴۰۴
    ۰ 20

    بررسی حمله Kerberos Username Bruteforce در Active Directory

    در این مقاله، تکنیک بهره‌برداری (Exploitation) موسوم به Kerberos Username Bruteforce یا حمله brute-force پیش‌احراز هویت Kerberos مورد بررسی قرار می‌گیرد. این حمله با سوء‌استفاده از پاسخ‌های پروتکل Kerberos، امکان شناسایی نام‌های کاربری معتبر و انجام brute-force برای رمزهای عبور را فراهم می‌کند. مقاله حاضر روش‌های بهره‌برداری و تکنیک‌های مقابله را تشریح می‌کند و آن‌ها را برای شفافیت بیشتر به…

    بیشتر بخوانید »
  • ADCS ESC5 : آسیب‌پذیری در کنترل دسترسی به اشیاء زیرساخت کلید عمومی
    سجاد تیموریخرداد ۶, ۱۴۰۴
    ۰ 10

    ADCS ESC5 : آسیب‌پذیری در کنترل دسترسی به اشیاء زیرساخت کلید عمومی

    حمله ESC5 یکی از حملات با ریسک بالا علیه زیرساخت سرویس‌های گواهی‌نامه‌ی Active Directory Certificate Services (ADCS) محسوب می‌شود. این نوع حمله با سوء‌استفاده از دسترسی ناایمن به کلید خصوصی مرجع صدور گواهی‌نامه (Certificate Authority – CA) انجام می‌گیرد. در شرایطی که مهاجم بتواند به سطح دسترسی مدیر محلی (Local Administrator) در سرور CA دست یابد، قادر خواهد بود کلید…

    بیشتر بخوانید »
  • بررسی ماژول Autorize در نرم افزار Burp Suite
    سجاد تیموریخرداد ۵, ۱۴۰۴
    ۰ 29

    بررسی ماژول Autorize در نرم افزار Burp Suite

    برای محافظت از دارایی‌های آنلاین، تست امنیتی برنامه‌های تحت وب یکی از ارکان اساسی در فرآیند ایمن‌سازی آن‌ها محسوب می‌شود. ابزار Burp Suite سال‌هاست که به‌عنوان یکی از پیشروترین پلتفرم‌ها در این حوزه شناخته می‌شود و همچنان توسط کارشناسان امنیت سایبری و هکرهای کلاه‌سفید (Ethical Hackers) به‌طور گسترده مورد استفاده قرار می‌گیرد. در میان افزونه‌های مختلفی که در جامعه‌ی تست…

    بیشتر بخوانید »
بارگذاری بیشتر
دکمه بازگشت به بالا