امیرحسین دهقانی·۴ روز پیشاز SQL Injection تا افشای اطلاعات نزدیک به ۲۰۰۰ کاربرچند وقت پیش موقع بررسی امنیت یک سامانه دانشگاهی به یک SQL Injection برخوردم. اولش فکر میکردم مثل خیلی از موارد دیگه با یک آسیبپذیری معمول…
امیرحسین دهقانی·۵ روز پیشتست نفوذ وبسرویسهای مبتنی بر GraphQLچند سال اخیر هر جا API مدرن میبینیم، احتمال اینکه پشتش GraphQL باشد کم نیست. خیلی از شرکتها به خاطر انعطاف بیشتر و کاهش تعداد درخواستها…
امیرحسین دهقانی·۵ ماه پیشوقتی اطلاعات دیتابیس اشتباهی توی فرانتاند لو میرههمهچی از دنبال XSS گشتن شروع شد.ماجرا عجیب نبود. داشتم مثل همیشه دنبال XSS میگشتم و نگاهی به سورس صفحه انداختم. همونجا یه چیز عجیب توجه…
امیرحسین دهقانی·۵ ماه پیشبررسی کشف آسیبپذیری SQL Injection در وبسایت یک نهاد دولتی حساسچکیدهامنیت سامانههای دولتی، بهویژه نهادهای مرتبط با زیرساختهای حساس، از اهمیت بالایی برخوردار است. یکی از آسیبپذیریهایی که با وجود شنا…
امیرحسین دهقانی·۵ ماه پیشآسیبپذیری CORS Misconfiguration و نحوه سوءاستفاده از آندرود دوستان اول ببینیم CORS چیه و اصلاً چرا به وجود اومده؟CORS یا Cross-Origin Resource Sharing یک مکانیزم امنیتی در سمت مرورگره که به سرور…
امیرحسین دهقانی·۸ ماه پیشنصب و راهاندازی Burp Suite روی UbuntuBurp Suite یکی از محبوبترین ابزارهای تست امنیت وب است که توسط PortSwigger توسعه داده شده. در این مقاله گامبهگام نصب و پیکربندی Burp Suit…
امیرحسین دهقانی·۱۰ ماه پیشیک تغییر کوچک، یک باگ بزرگ: وقتی حروف بزرگ و کوچک امنیت را دور میزنند!داستان از جایی شروع شد که در حال بررسی امنیتی یک وبسایت بودم. در این وبسایت، با مسیری به شکل زیر مواجه شدم:index.php?cpath=23همانطور که ه…
