💥 #پخش_زنده‌ شکار آسیب‌پذیری DOM با برنا نعمت‌زاده آغاز شد!
‌
🌐 کانال توییچ

‌
🎙گپ‌وگفتی با پردرآمدترین شکارچی‌ راورو در سال 1400 داشته‌ایم: مهدی مرادلو

👤 مهدی اهل زنجان است

یک سالی ست که به‌طورتخصصی در حوزه‌ی امنیت سایبری مشغول به فعالیت است.

در بین شکارچی‌های آسیب پذیری راورو، بیش‌ترین تعداد گزارش را با موضوع آسیب‌پذیری‌های درگاه‌های پرداخت، ثبت کرده است.

معتقد است :"‌بعد از یک مدت، هیجان و اهمیت کشف آسیب پذیری و دریافت بانتی کم‌‌رنگ‌تر می‌شود. و سناریویی که داری اجرا می‌کنی، از بانتی و باگ برایت جذاب‌تر می‌شود. من به مرور در کارهایم متوجه می‌شوم که این‌ سناریوها، راه‌های مختلف و ... هی دارند تکمیل‌تر می‌شوند... مثلا داری سناریوی قبلی را انجام می‌دهی و به جایی می‌رسی که قبلا انجامش نداده‌ای و باید سناریوی جدیدی را امتحان کنی. من گاهی برای تست یک آسیب پذیری، 30،40 تا سناریو را امتحان کرده‌ام! "

در #بلاگ راورو بخوانید:

🌐 گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال 1400؛ مهدی مرادلو
‌
@Ravro_ir
‌
‌

‌

❓" آیا حفره‌های امنیتی موجود در درگاه‌های پرداخت منجر به نشت دیتا هم می‌شوند؟"

🎙پاسخ مهدی مرادلو، که بیش‌ترین گزارش‌های آسیب‌پذیری مربوط به درگاه‌های پرداخت را در پلتفرم باگ بانتی راورو ثبت کرده است، را بشنوید.

متن کامل #گپ_و_گفت ما با مهدی مرادلو را می‌توانید در #بلاگ راورو بخوانید.

🌐 گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال 1400؛ مهدی مرادلو
‌
@Ravro_ir
‌

‌
👤 محقق امنیتی؛ رامین فرج‌پور

🐞در این ویدئو آسیب‌پذیربودن درگاه پرداخت نسبت به آسیب‌پذیری Race Condition را بررسی می‌کند؛
اگر تلاش کنیم که درخواست‌هایی را به صورت هم‌زمان ارسال کنیم، چه اتفاقی می‌افتد؟
‌
@Ravro_ir
‌

‌‌‌
❓چه آسیب‌پذیری‌هایی در درگاه‌های پرداخت ایرانی، رایج‌ترند؟

💵 5 آسیب‌پذیری رایج درمیان گزارش‌های آسیب‌پذیری ثبت‌شده‌‌‌‌‌ی مربوط به درگاه‌های پرداخت، در اهداف پلتفرم باگ‌بانتی راورو، را بشناسید.
‌
@Ravro_ir
‌

‌
🐞 ما در کتابچه‌ی راهنمای برنامه‌نویسی امن
به معرفی ۷ کُلُنی مرکزی باگ‌‌های امنیتی در سامانه‌های ایرانی پرداخته بودیم.
‌
🕸 همان‌طور که در این گزارش نیز به آن اشاره کرده بودیم؛
"درگاه‌های پرداخت" یکی از کُلُنی‌های رایج باگ‌های امنیتی در سامانه‌های ایرانی هستند.

اگر مایلید با این کلنی و 6 کلنی دیگر باگ‌های امنیتی آشنا شوید، شما را به خواندن این کتابچه دعوت می‌کنیم:

📙 کتابچه راهنمای برنامه‌نویسی امن
‌
@Ravro_ir
‌

‌
📌اطلاعیه

کاربران عزیز، به اطلاع شما می‌رسانیم که دسترسی به وب‌سایت راورو در تاریخ ۱۴۰۱/۰۴/۰۲ ساعت ۰۰:۰۰ به مدت حداکثر ۳ ساعت به‌دلیل اعمال به‌روزرسانی وب‌سایت، امکان‌پذیر نخواهد بود.

چنان‌چه در این زمان برای انجام فرآیندهای موردنظر خود در وب‌سایت به همراهی و پشتیبانی نیاز داشتید، می‌توانید با ما در ارتباط باشید:
💬 @RavroSupport
✉️ [email protected]
ممنون از صبوری شما.
به محض رفع این مشکل، اطلاع خواهیم داد.
‌
@Ravro_ir
‌

🔖 گزارش:
دسترسی به وب‌سایت راورو در تاریخ ۱۴۰۱/۰۴/۰۲ ساعت ۰۰:۰۰ به مدت ۳ ساعت به‌دلیل اعمال به‌روزرسانی وب‌سایت، امکان‌پذیر نبود.

از صبوریتون ممنونیم و متاسفیم اگر در این مدت زمان، در انجام فرآیندهای موردنظرتون با مشکل روبه‌رو شدید.

✔️ در حال حاضر، این مشکل حل شده و می‌تونید بدون مشکل روندهای مختلف رو طی کنید.

چنان‌چه در این زمان برای انجام فرآیندهای موردنظر خود در وب‌سایت به مشکل برخودید و مایلید که باهامون در میونش بذارید، می‌تونید باهامون در ارتباط باشید:

💬 @RavroSupport
✉️ [email protected]

‌
@Ravro_ir

‌

👤 محقق امنیتی؛ رامین فرج‌پور

🐞در این ویدئو آسیب‌پذیربودن درگاه پرداخت نسبت به آسیب‌پذیری Double Spending را بررسی می‌کند؛
آیا حواس درگاه به این هست که ما شاید برای پرداخت چندین بار پشت‌سرهم درخواست ارسال کنیم؟
‌
@Ravro_ir
‌

‌
💻 ابزارها، دستیارهای یک شکارچی‌ آسیب‌پذیری‌اند.

🕵🏻‍♂️دوست داری در شکارت دستیارهای بیش‌تری داشته باشی؟
و انجام بعضی کارها را به آن‌ها بسپاری؟
و باگ‌های بیش‌تری شکار کنی؟

در این قسمت از #پخش_زنده
👤 رامین فرج‌پور برایمان می‌گوید که چطور ابزار اختصاصی موردنیاز خود برای شکار آسیب‌پذیری را به زبان برنامه‌‌نویسی Golang بنویسیم. ؛)

📆 پنج‌شنبه، 9 و 23 تیر
🕘 ساعت 21

🌐 اطلاعات بیش‌تر
‌
@Ravro_ir
‌

‌
💬 به قول رامین:
" همیشه چیزهای جدیدی برای یادگرفتن وجود دارند..."

❓برای یادگرفتن ابزارنویسی به زبان برنامه‌نویسی Golang آماده‌اید؟

پخش زنده‌‌ی "ابزارنویسی برای باگ‌هانتینگ" تا ساعاتی دیگر در کانال توییچ راورو آغاز می‌شود!

🕘 ساعت ۲۱

🌐 کانال توییچ راورو
‌
@Ravro_ir
‌

‌
💥 #پخش_زنده‌ "ابزارنویسی برای باگ‌هانتینگ" آغاز شد!
‌
🌐 کانال توییچ
‌
@Ravro_ir
‌‌

‌

👤 محقق امنیتی؛رامین فرج‌پور

🐞در این ویدئو آسیب‌پذیربودن درگاه پرداخت نسبت به آسیب‌پذیری IDOR یا همان Insecure Direct Object References را بررسی می‌کند؛
اگه بعد از یک پرداخت موفق، با Order IDها بازی کنیم و جای هم قرارشان دهیم، ممکن است آسیب‌پذیری‌ای کشف شود؟ ؛)
‌‌
@Ravro_ir
‌

‌
👤محقق امنیتی؛ رامین فرج‌پور

📄 در این رایتاپ
وجود ۵ آسیب‌پذیری رایج در درگاه‌های پرداخت را،
برروی درگاه پرداخت هدف راورو بررسی کرده است.

🐞چه آسیب‌پذیری‌هایی؟
‏InputValidation, DoS, RaceCondition, DoubleSpending و IDOR


#رایتاپ رامین را در #بلاگ راورو بخوانید:

🌐 بررسی وجود ۵ آسیب پذیری رایج برروی درگاه پرداخت هدف راورو
‌
@Ravro_ir
‌

‌
👤علیرضا دهقانی، راهبر استراتژی راورو ست.

کارهای مرتبط با سیاست‌گذاری‌های کلان، ارتباط دپارتمان‌های موجود با یک‌دیگر، ایجاد دپارتمان‌های موردنیاز جدید و ... از کارهای علیرضا و تیم همراهش است.

🎙گپ‌وگفتی با علیرضا داشتیم.
در این گپ‌وگفت از علیرضا، راجع به نقشش در راورو، مسئولیت‌ها، دغدغه‌ها، چالش‌ها و آرزوهایش پرسیدیم.

در #بلاگ راورو بخوانید:

🌐 حضور در استارتاپ‌های حوزه‌ی امنیت سایبری از نگاه یک استراتژیست
‌‌‌

‌
می‌خواهی سریع‌تر حفره‌های امنیتی و آسیب‌پذیری‌ها را کشف کنی؟
انجام برخی کارها را به دستیارانت بسپار. ؛)

🏹 ابزارهای اختصاصی در شکار آسیب‌پذیری، مانند دستیاران شکارچیان آسیب‌پذیری اند.
هر شکارچی با نوشتن ابزار اختصاصی خود، می‌تواند تک‌به‌تک کارهایی که خودش در فرآیند کشف آسیب‌پذیری انجام می‌دهد، را به ابزارش بسپارد.

👤 رامین فرج‌پور
در این قسمت از پخش زنده، به ابزارنویسی برای شکار آسیب‌پذیری ( به زبان برنامه‌نویسی Golang ) می‌پردازد.

📆 پنج‌شنبه، 23 تیر
🕘 ساعت 21

🌐 اطلاعات بیش‌تر
‌
@Ravro_ir
‌

‌
در قسمت اول #پخش_زنده‌ " ابزارنویسی برای باگ‌هانتینگ" چه گذشت؟

👤 رامین فرج‌پور به برخی مقدمات پرداخت:
1- Port Scan
- Normal Scan
- Fast Scan
- No Auth Database Scan
2- Arvan CDN Finder
3- Arvan bucket enumeration

و بعد به سراغ نوشتن ابزار برای کشف برخی آسیب‌پذیری‌ها رفت:
4- CORS
5- Click jacking
6- Denial of Service (DoS)
7- OGNL Injection

تماشای قسمت قبلی را از دست داده‌اید؟ می‌توانید ویدئوی ضبط‌شده‌‌‌ی آن را تماشا کنید.
📼 ابزارنویسی برای باگ‌هانتینگ به زبان برنامه‌نویسی Golang

هم‌چنین می‌توانید به کدهای مربوط به این قسمت، در گیتهاب راورو دسترسی داشته باشید.
📄 ابزارنویسی برای باگ‌هانتینگ به زبان برنامه‌نویسی Golang

در این قسمت از پخش زنده‌ی "ابزارنویسی برای باگ‌هانتینگ" چه خواهد گذشت؟
👤 رامین فرج‌پور قرار است به سراغ نوشتن ابزار برای کشف آسیب‌پذیری‌های دیگری برود:
1- SubDomainTakeOver
2- DependencyConfusion
3-S3 Bucket TakeOver
4- PathTraversal
5- SSRF
6- RaceCondition

📆 پنج‌شنبه، 23 تیر
🕘 ساعت 21

🌐 اطلاعات بیش‌تر
‌
@Ravro_ir
‌

‌‌‌
🏹می‌خواهی ابزار اختصاصی خودت را برای شکار آسیب‌پذیری بنویسی؟
می‌خواهی دستیار اختصاصی‌ خودت را برای کشف آسیب‌پذیری داشته باشی؟

پس امشب، #پخش_زنده‌ "ابزارنویسی برای باگ‌هانتینگ" با رامین فرج‌پور را از دست نده! ؛)

📆 پنج‌شنبه، 23 تیر
🕘 ساعت 21

🌐 Twitch.tv/Ravro
‌
@Ravro_ir
‌

💥 #پخش_زنده‌ "ابزارنویسی برای باگ‌هانتینگ به زبان برنامه‌نویسی Golang" آغاز شد!
‌
🌐 twitch.tv/ravro
‌
@Ravro_ir

‌‌
❓آدم‌ها از شغل خود تاثیر می‌پذیرند؟
آیا شغل شما باعث شکل‌گیری ویژگی‌هایی در رفتار و شخصیتتان شده است؟

🎙پاسخ آرمان محمدتاش، متخصص تست نفوذ برنامه‌های تحت وب، را بشنوید.
‌
@Ravro_ir
‌‌