آکادمی لیان

آموزش‌های لیان

  • راه‌اندازی آزمایشگاه Web Application Pentest با استفاده از Docker
    سجاد تیموری2 روز پیش
    ۰ 3

    راه‌اندازی آزمایشگاه Web Application Pentest با استفاده از Docker

    در حوزه امنیت سایبری، Penetration Testing و Vulnerability Assessment از گام‌های کلیدی برای شناسایی و کاهش تهدیدات امنیتی بالقوه محسوب می‌شوند. با توجه به افزایش چشمگیر تعداد برنامه‌های تحت وب، نیاز به محیط‌های آزمایشی امن و پایدار بیش از هر زمان دیگری اهمیت پیدا کرده است. در این مقاله، به بررسی مفهوم Vulnerable Web Applications، اهمیت آن‌ها در فرآیند Penetration…

    بیشتر بخوانید »
  • از کلیک تا نفوذ: بررسی دقیق حمله مهندسی اجتماعی Clickfix
    سجاد تیموری1 هفته پیش
    ۰ 4

    از کلیک تا نفوذ: بررسی دقیق حمله مهندسی اجتماعی Clickfix

    نگاهی دقیق به یک کمپین واقعی ClickFix، نسخه بعدی آن (FileFix) و روش‌های پیشگیری پیش از به خطر افتادن دستگاه ClickFix : کپی بی‌صدا در کلیپ‌بورد ClickFix یک تکنیک فریبنده مهندسی اجتماعی است که توسط مهاجمان برای فریب کاربران بی‌اطلاع مورد استفاده قرار می‌گیرد تا آن‌ها را به‌طور ناخودآگاه وادار کنند اجازه دهند یک صفحه وب، به‌صورت بی‌صدا محتوایی را…

    بیشتر بخوانید »
  • شناسایی نقص‌های API با ابزار رایگان Free Autoswagger
    سجاد تیموری2 هفته پیش
    ۰ 9

    شناسایی نقص‌های API با ابزار رایگان Free Autoswagger

    APIها: همچنان اهدافی آسان در سال ۲۰۲۵ APIها ستون فقرات برنامه‌های مدرن هستند ـ و در عین حال یکی از در معرض‌ترین بخش‌های زیرساخت یک سازمان محسوب می‌شوند. این موضوع آن‌ها را به هدفی ایده‌آل برای مهاجمان تبدیل می‌کند. یکی از نمونه‌های پرسر‌و‌صدای این مسئله، رخنه Optus در سال ۲۰۲۲ بود که در آن مهاجمان از طریق یک unauthenticated API…

    بیشتر بخوانید »
  • راهنمای جامع ابزار Certipy
    سجاد تیموری4 هفته پیش
    ۰ 2

    راهنمای جامع ابزار Certipy

    راهنمای جامع سوءاستفاده از Active Directory با استفاده از Certipy در این راهنمای سوءاستفاده از Active Directory با استفاده از Certipy، بررسی خواهیم کرد که چگونه از Certipy—یک ابزار مجموعه‌ای تهاجمی و تدافعی طراحی شده برای سرویس‌های گواهی‌نامه Active Directory (AD CS)—برای شناسایی پیکربندی‌های نادرست و سوءاستفاده از الگوهای CA استفاده کنیم. چه در حال هدف‌گیری بردارهای حمله ESC1 تا…

    بیشتر بخوانید »
  • بررسی حمله Kerberos Username Bruteforce در Active Directory
    سجاد تیموریخرداد ۱۱, ۱۴۰۴
    ۰ 16

    بررسی حمله Kerberos Username Bruteforce در Active Directory

    در این مقاله، تکنیک بهره‌برداری (Exploitation) موسوم به Kerberos Username Bruteforce یا حمله brute-force پیش‌احراز هویت Kerberos مورد بررسی قرار می‌گیرد. این حمله با سوء‌استفاده از پاسخ‌های پروتکل Kerberos، امکان شناسایی نام‌های کاربری معتبر و انجام brute-force برای رمزهای عبور را فراهم می‌کند. مقاله حاضر روش‌های بهره‌برداری و تکنیک‌های مقابله را تشریح می‌کند و آن‌ها را برای شفافیت بیشتر به…

    بیشتر بخوانید »
  • ADCS ESC5 : آسیب‌پذیری در کنترل دسترسی به اشیاء زیرساخت کلید عمومی
    سجاد تیموریخرداد ۶, ۱۴۰۴
    ۰ 8

    ADCS ESC5 : آسیب‌پذیری در کنترل دسترسی به اشیاء زیرساخت کلید عمومی

    حمله ESC5 یکی از حملات با ریسک بالا علیه زیرساخت سرویس‌های گواهی‌نامه‌ی Active Directory Certificate Services (ADCS) محسوب می‌شود. این نوع حمله با سوء‌استفاده از دسترسی ناایمن به کلید خصوصی مرجع صدور گواهی‌نامه (Certificate Authority – CA) انجام می‌گیرد. در شرایطی که مهاجم بتواند به سطح دسترسی مدیر محلی (Local Administrator) در سرور CA دست یابد، قادر خواهد بود کلید…

    بیشتر بخوانید »
  • بررسی ماژول Autorize در نرم افزار Burp Suite
    سجاد تیموریخرداد ۵, ۱۴۰۴
    ۰ 24

    بررسی ماژول Autorize در نرم افزار Burp Suite

    برای محافظت از دارایی‌های آنلاین، تست امنیتی برنامه‌های تحت وب یکی از ارکان اساسی در فرآیند ایمن‌سازی آن‌ها محسوب می‌شود. ابزار Burp Suite سال‌هاست که به‌عنوان یکی از پیشروترین پلتفرم‌ها در این حوزه شناخته می‌شود و همچنان توسط کارشناسان امنیت سایبری و هکرهای کلاه‌سفید (Ethical Hackers) به‌طور گسترده مورد استفاده قرار می‌گیرد. در میان افزونه‌های مختلفی که در جامعه‌ی تست…

    بیشتر بخوانید »
  • تست نفوذ Tomcat
    سجاد تیموریخرداد ۳, ۱۴۰۴
    ۰ 23

    تست نفوذ Tomcat

    Tomcat Penetration Testing نقش حیاتی در شناسایی آسیب‌پذیری‌های موجود در Apache Tomcat ایفا می‌کند؛ سرویسی که به‌طور گسترده به‌عنوان یک web server و servlet container در توسعه‌ی برنامه‌های تحت وب مورد استفاده قرار می‌گیرد. در ابتدا، Apache Software Foundation این پروژه را با هدف ارائه‌ی یک پلتفرم نمایشی برای فناوری‌های Java Servlet و JavaServer Pages (JSP) راه‌اندازی کرد؛ فناوری‌هایی که…

    بیشتر بخوانید »
  • تست نفوذ Jenkins
    سجاد تیموریاردیبهشت ۲۸, ۱۴۰۴
    ۰ 36

    تست نفوذ Jenkins

    تست نفوذ Jenkins برای شناسایی آسیب‌پذیری‌های امنیتی در Jenkins ضروری است. Jenkins یک سرور اتوماسیون متن‌باز است که برای پیاده‌سازی پیوسته (Continuous Integration – CI) و تحویل پیوسته (Continuous Delivery – CD) استفاده می‌شود. این ابزار که بر پایه زبان برنامه‌نویسی جاوا ساخته شده است، از یک پلتفرم اسکریپت‌نویسی بهره می‌برد تا وظایفی مانند ساخت، تست و استقرار در چرخه…

    بیشتر بخوانید »
  • تحلیل فنی بهره‌برداری از آسیب‌پذیری Race Condition با استفاده از Turbo Intruder
    سجاد تیموریاردیبهشت ۲۷, ۱۴۰۴
    ۰ 22

    تحلیل فنی بهره‌برداری از آسیب‌پذیری Race Condition با استفاده از Turbo Intruder

    سوءاستفاده از Race Condition با استفاده از Turbo Intruder یکی از تکنیک‌های مهم در حوزه امنیت برنامه‌های وب است. Race Condition زمانی رخ می‌دهد که چندین Thread یا Process به‌صورت هم‌زمان به منابع مشترک دسترسی پیدا کنند و این هم‌زمانی می‌تواند منجر به رفتارهای غیرقابل پیش‌بینی در برنامه شود. در این مقاله، نحوه بهره‌برداری از این آسیب‌پذیری را با استفاده…

    بیشتر بخوانید »
بارگذاری بیشتر
دکمه بازگشت به بالا