Image Cover
Avatar

Sun* Cyber Security Team

level partner

Silver Content Creator

Let's hack all the things!

Pinned Posts

Giới thiệu

WordPress là một hệ thống quản lý nội dung (CMS) phổ biến trên thế giới, được sử dụng rộng rãi cho việc xây dựng và quản lý các trang web và blog. Với giao diện người dùng dễ sử dụng và một cộng đồng đông đảo, WordPress đã trở thành một lựa chọn phổ biến cho cả người mới bắt đầu và những người có kinh nghiệm trong việc tạo nội dung trực tuyến.

Một trong những lợi ích lớn nhất của W...

4.1K
10
1 1

All posts

Thumbnail Image
6.5K
16
8 0
Avatar Ngo Van Thien Nov 1st, 2022 1:43 a.m.
13 min read

Bảo mật cho ứng dụng API theo OWASP TOP 10 (Part 2)

I. Tổng quan

Ở phần 1 chúng ta đã tìm hiểu 3 lỗ hổng bảo mật trong API OWASP TOP 10:

  • API1:2019 — Broken object level authorization
  • API2:2019 — Broken authentication
  • API3:2019 — Excessive data exposure

Ở phần tiếp theo chúng ta sẽ tìm hiểu 3 lỗ hổng tiếp theo trong danh sách top 10:

  • API4:2019 — Lack of resources and rate limiting
  • API5:2019 — Broken function level authorization
  • AP...
Thumbnail Image
7.5K
17
5 0
Avatar Bụng Rỗng Oct 24th, 2022 8:50 a.m.
10 min read

Bypass PowerShell execution policies trên Windows

[IMG]

Tổng quan về Powershell

Lịch sử

Năm 2002, Snover của Microsoft nhận ra rằng Command Prompt (cmd.exe) không có khả năng viết script và tự động hóa các tác vụ tốt như shell của Linux (lẽ dĩ nhiên). Để thay đổi điều này, ông đã phát hành tài liệu mang tên Monad, phác thảo các kế hoạch về một công cụ thay thế - thứ sau này sẽ trở thành Powershell.

Từ năm 2006, Monad được đổi tên thành Powershel...

Thumbnail Image
5.9K
16
5 0
Avatar Nguyen Xuan Chien Oct 24th, 2022 7:16 a.m.
15 min read

Giới thiệu về kiểm thử xâm nhập - Phần 2

I. Penetration Testing Tiếp tục với Series Giới thiệu về kiểm thử xâm nhập, chúng ta sẽ cùng nhau tìm hiểu rõ hơn Pentest là gì và những hiểu biết cơ bản về quá trình Pentest. Nếu ai chưa đọc phần 1 thì các bạn có thể xem lại tại đây.

Định nghĩa: Kiểm thử xâm nhập (Penetration testing) là một phương pháp chủ động đánh giá sự an toàn của mạng hoặc hệ thống thông tin bằng cách mô phỏng các cuộc ...

Thumbnail Image
5.6K
13
5 0
Avatar Ngocanh Le Oct 20th, 2022 4:14 a.m.
7 min read

Remote debug java bằng Visual Studio Code. Bạn đã thử chưa?

Việc thực hiện code java trên Visual Studio Code có lẽ không phải lựa chọn cho nhiều người, bởi lẽ đã có nhiều IDE hỗ trợ rất tốt cho lập trình viên java như Intelij, eclipse,... Tuy nhiên, nếu mục đích của bạn không phải lập trình mà chỉ muốn debug xem cách thức mà đoạn code thực hiện như thế nào thì bài viết này dành cho bạn. Trong bài viết này, tôi sẽ hướng dẫn các bạn debug và remote debug ...

Thumbnail Image
6.2K
21
11 0
Avatar Nguyen Xuan Chien Oct 12th, 2022 8:13 a.m.
12 min read

Giới thiệu về kiểm thử xâm nhập (Penetration Testing) - Phần 1

I. Giới thiệu Trong series này mình sẽ giới thiệu cho các bạn những khái niệm cơ bản, mục tiêu cũng như các bước khai thác trong Kiểm thử xâm nhập (Penetration Testing).

Để bắt đầu tìm hiểu về Pentest, chúng ta cần xác định một số thuật ngữ để sử dụng trong suốt phần còn lại của series. Bên cạnh đó ta sẽ phân biệt giữa Pentest, Red team, Vulns Assessment và Security Audit. II. Vulns, Threat, E...

Thumbnail Image
5.6K
21
4 0
Avatar Bụng Rỗng Oct 6th, 2022 9:37 a.m.
20 min read

Kỹ thuật Persistence trong Red Teaming (Phần 1)

[IMG]

  1. Persistence là gì ? Theo nguyên nghĩa tiếng Anh :

Theo nghĩa kỹ thuật : Chúng ta tìm hiểu một mô hình mình bịa ra như sau :

Mô hình này mô tả con đường tấn công của một Hacker vào một cơ quan hay tổ chức. Theo đó, Hacker đứng từ Internet sau đó chiếm quyền điều khiển được máy A , từ máy A -> B, từ máy B -> C , từ máy C -> DC (Domain Controller) chuyện không có gì đáng nói.

Nhưng vấn đề ...

Thumbnail Image
6.1K
25
11 2
Avatar Ngo Van Thien Sep 29th, 2022 6:46 a.m.
14 min read

Bảo mật cho ứng dụng API theo OWASP TOP 10 (Part 1)

TỔNG QUAN

The Open Web Application Security Project (OWASP) - Dự án Bảo mật ứng dụng web mã nguồn mở là một cộng đồng trực tuyến hợp tác phi lợi nhuận. Họ tạo ra các bài báo, phương pháp, tài liệu, công cụ và công nghệ để cải thiện tính bảo mật của ứng dụng. Dự án tập trung vào việc đưa ra các tiêu chuẩn, checklist, guideline giúp các nhà nghiên cứu bảo mật có thể dễ dàng tiếp cận, học học và...

Thumbnail Image
5.0K
18
5 3
Avatar Tran Minh Nhat Sep 28th, 2022 4:42 a.m.
23 min read

[Write up] Cyber Space OSINT Playground - Travelling

Lâu lắm mình mới làm CTF và viết write up, nên lần này chúng ta sẽ cùng thử thách với một thể loại rất là thú vị trong CTF nhé. Mục tiêu lần này của chúng ta là thể loại OSINT tại trang OSINT playground do Cyber Space tổ chức.

Giới thiệu Cyber Space Cyber Space là một nhóm hoạt động trong lĩnh vực an toàn thông tin, họ có một fanpage tại https://www.facebook.com/cyberg0100 (trên này cũng thườn...

Thumbnail Image
5.7K
26
6 2
Avatar Nguyen Anh Tien Sep 27th, 2022 6:28 a.m.
11 min read

[Write-up] Romhack CTF 2022 - [Forensics] Chiếc email nguy hiểm...

Giới thiệu

You got Mail là một challenge có độ khó Medium, nằm trong mảng Forensics (điều tra số), mô phỏng lại một Incident (sự cố) khi công ty X phát hiện ra máy tính của một nhân viên trong công ty bị dính mã độc. Team IR (Incident Response) đã ngay lập tức thu thập chứng cứ trên máy tính này. Nhiệm vụ của chúng ta là phải tìm hiểu xem mã độc thâm nhập vào bằng cách nào (với tiêu đề như tr...

Thumbnail Image
5.3K
17
6 1
Avatar Tran Minh Nhat Sep 22nd, 2022 9:25 a.m.
12 min read

Thuật toán mã hoá khối và một số trường hợp tấn công trong CTF (Phần 1)

[IMG]

Mã hoá luôn là một trong những biện pháp hiệu quả nhất trong việc đảm bảo tính bí mật của thông tin. Các thuật toán mã hoá được ứng dụng rộng rãi, tồn tại trong nhiều sản phẩm công nghệ. Một số ứng dụng phổ biến có thể kể đến như: SSL/TLS, VPN, WPA2, chữ ký số, truyền tin bí mật end to end (E2EE),...

Ngày nay đã có rất nhiều thuật toán mã hoá mạnh được cung cấp sẵn trong các thư viện của mỗi...

Thumbnail Image
8.4K
30
9 9
Avatar Minh Tuấn Ngụy Sep 22nd, 2022 7:02 a.m.
9 min read

Cùng tìm hiểu về RFID, công nghệ "tiên tiến" Việt Nam đang sử dụng với ETC (thu phí không dừng)

Bữa lâu lâu rồi mình có đọc được thông tin này từ 1 page có tích xanh

Thông tin real nó ở đây, các bạn có thể vào đọc 😄 https://www.facebook.com/thongtinchinhphu/posts/pfbid0Uuqh9DKGVVES7T5ApQDepxa6WNw3YMuDtsMxFKERc5QttHWgBNvVJvVNVRZUNkxpl

Ờ thì mình cũng có tính tò mò, sao cái công nghệ RFID Việt Nam đang áp dụng cho thu phí không dừng (ETC) nó lại tiên tiến thế, hơn cả Sing (thật ra là mìn...

Thumbnail Image
6.5K
23
22 4
Avatar Ngo Van Thien Sep 21st, 2022 6:37 a.m.
17 min read

Bạn "hack" được website, tôi cũng có thể !!!

I. TỔNG QUAN Đã khi nào bạn vào một website và tự đặt ra câu hỏi rằng website này đang hoạt động như thế nào? Liệu chúng ta có thể làm gì để xem website này có thể bị "hack" hay không? Hoặc khi bạn đang là chủ nhân của một website, bạn có từng lo lắng rằng website của chúng ta liệu có bị kẻ xấu tấn công hay phá hoại hay không? Để góp phần giải đáp được một phần thắc mắc này của chúng ta, bài vi...

Thumbnail Image
3.5K
20
9 2
Avatar Nguyen Anh Tien Sep 19th, 2022 9:48 a.m.
10 min read

Biến đổi payload trong Burp Suite nhanh chóng và dễ dàng hơn cùng với extension Hackvertor

Mở đầu

Trong thực tế khi thực hiện pentest, sẽ có những trường hợp các payload của chúng ta là không chỉ đơn giản là text, number, json mà cần phải được encode (VD: base64, hex,..), encrypt (VD: AES) thành dạng dữ liệu khác nhau để phù hợp với yêu cầu của server. Một trong những trang cho phép làm điều này một cách nhanh chóng và hỗ trợ nhiều loại nhất là: https://gchq.github.io/CyberChef/. Tu...

Thumbnail Image
2.6K
22
10 1
Avatar Nguyen Xuan Chien Sep 16th, 2022 7:57 a.m.
10 min read

Các Browser Extensions nên có dành cho Pentester

Giới thiệu Browser Extensions là add-on được thêm vào trình duyệt để giúp bạn sử dụng được những tính năng nâng cao mà trình duyệt không hỗ trợ sẵn. Người dùng có thể cài đặt các tiện ích mở rộng này để điều chỉnh trải nghiệm duyệt web theo nhu cầu của mình. Có nhiều danh mục Extension có sẵn cho các trình duyệt phổ biến như Mozilla Firefox, Google Chrome, Microsoft edge, v.v.

Trong bài đăng n...

Thumbnail Image
2.8K
17
10 1
Avatar Ngocanh Le Aug 26th, 2022 10:02 a.m.
7 min read

Phân tích CVE-2022-24787: Lỗ hổng .NET deserialization dẫn đến SSRF

Tiếp nối những bài phân tích về lỗ hổng trên C1 CMS. Hôm nay tôi sẽ phân tích một lỗ hổng khá thú vị, đó là CVE-2022-24787, lỗ hổng Deserialization dẫn đến SSRF hoặc cắt nội dung file tùy ý trên C1 CMS. Theo thông tin về lỗ hổng này tại https://securitylab.github.com/advisories/GHSL-2022-001OrckestraC1_CMS/. Ta được biết lỗ hổng tồn tại trên C1 CMS < 6.12. Không hiểu vì sao, mà tôi không thể cà...

Thumbnail Image
3.7K
16
9 0
Avatar Nguyen Xuan Chien Aug 23rd, 2022 10:07 a.m.
14 min read

Bug bounty writeup: Một vài lưu ý khi bắt đầu tham gia vào các nền tảng Bug bounty

I. Bug Bounty là gì? Bug Bounty là chương trình trao thưởng của các tổ chức cho các nhà nghiên cứu, các hacker có các phát hiện về lỗ hổng bảo mật trên hệ thống và các sản phẩm của tổ chức đó. Phần thưởng dành cho các nhà nghiên cứu khi báo cáo lỗ hổng phụ thuộc vào chương trình Bug bounty có thể là tiền mặt, quà tặng, vinh danh … Các nhà phát triển phần mềm tạo ra các chương trình bug bounty t...

Thumbnail Image
2.8K
20
10 1
Avatar Nguyen Xuan Chien Aug 1st, 2022 6:55 a.m.
8 min read

Bug bounty writeup: Lỗ hổng Stored XSS và bug bounty đầu tiên đầy sóng gió

I. Lời mở đầu Bug Bounty là chương trình trao thưởng của các tổ chức cho các nhà nghiên cứu, các hacker có các phát hiện về lỗ hổng bảo mật trên hệ thống và các sản phẩm của tổ chức đó. Phần thưởng dành cho các nhà nghiên cứu khi báo cáo lỗ hổng phụ thuộc vào chương trình Bug bounty có thể là tiền mặt, quà tặng, vinh danh … Các nhà phát triển phần mềm tạo ra các chương trình bug bounty trực tiế...

Thumbnail Image
17.8K
21
7 26
Avatar Minh Tuấn Ngụy Aug 1st, 2022 3:13 a.m.
8 min read

FlipperZero - Trợ thủ đắc lực cho pentesters và geeks

Dạo gần đây mình lên Twitter thấy mọi người share 1 tool (gần như là 1 đồ chơi) thú vị quá, nên mình share lên đây cho mọi người biết và tiếp cận đến nó 😄 Bài viết này không phải quảng cáo, mình cũng chưa được cầm trên tay thiết bị này nữa 😂 FlipperZero

Theo như mô tả từ trang chủ thì Flipper Zero is a portable multi-tool for pentesters and geeks in a toy-like body. It loves researching d...

Thumbnail Image
9.5K
23
3 7
Avatar Tran Minh Nhat Jul 26th, 2022 3:32 a.m.
26 min read

Lộ SỐ TÀI KHOẢN ngân hàng, tôi đã mất TẤT CẢ!!!

[IMG]

Ngày nay, việc sở hữu một tài khoản ngân hàng đã trở nên vô cùng đơn giản. Kể cả khi bạn lười ra ngân hàng thì chúng ta vẫn được phép đăng ký trực tuyến và thẻ cùng với thông tin tài khoản sẽ được gửi tới tận nơi. Ít nhất thì khi lên đại học chúng ta cũng đều đăng ký tài khoản ngân hàng để gia đình tiện gửi tiền cho mình. Thậm chí, một số trường đại học ký hợp đồng liên kết với ngân hàng còn ...

Thumbnail Image
2.8K
7
5 0
Avatar Bụng Rỗng Jul 25th, 2022 4:23 a.m.
16 min read

Tìm hiểu cơ bản về Process Injection

[IMG]

Bài toán đặt ra là trường hợp chúng ta đã chiếm quyền điều khiển Victim thành công (RCE), tuy nhiên cần duy trì sự hiện diện thường xuyên, đồng thời che mắt AntiVirus và đội ngũ Blue Team. Trong quá trình hoạt động thông thường, nạn nhân có thể đóng ứng dụng hay mã độc bị phát hiện và bị xóa đi. Do đó chúng ta cần quá trình process injection

Để kéo dài tuổi thọ của Malware, chúng ta có thể "...

Featured member
Viblo
Let's register a Viblo Account to get more interesting posts.