בלוג ומחקרים בתחום אבטחת המידע

  • 1. תלמדו נושא חדש
  • 2. תחקרו אותו בעצמכם
  • 3. שלחו לנו מאמר או סרטון

אזור המחקר של ITSAFE היא ספריית הידע וחוד החנית של מחקר חופשי בתחומי הסייבר בו תוכלו ללמוד נושאים חדשים ולפתח את היכולות והידע שלכם מלמידה של עשרות מחקרים ופרויקטים מעניינים ושימושיים בתחומי הסייבר והיי-טק. אנו מגיעים מתעשיית היי-טק ולכן תגלו מחקרים ושימושים פרקטיים בטכנולוגיות הכי חדשות בתעשייה. המחקרים והפרויקטים נערכים על ידי מומחים מהתעשייה והאקרים בשיתוף פעולה עם הצוות המקצועי של מכללת ITSAFE.

אנחנו מעודדים אתכם ללמוד דברים חדשים ולחקור, רוצים להיות חלק מקהילת ההאקרים של ITSafe? אנו מזמינים אתכם ליצור קשר ולשתף איתנו נושאים מעניינים ולעלות אותם לאזור הזה באתר.

הצטרפו לקהילה שלנו ובנו את הניסיון שלכם 10,000+

פרצת אבטחה בעוזרת האישית Alexa המאפשרת השתלטות על מוצרים חכמים רומן זאיקין,דיקלה ברדה,יערה שריקי אלכסה של אמזון הייתה חשופה לפריצות אבטחה, במחקר שבצעה חברת צ'ק פוינט גילו דקלה ברדה, יערה שריקי ורומן זאיקין כי האקרים יכלו לקבל גישה מוחלטת למידע של משתמשים, להסיר ולהתקין אפליקציות ומרחוק ולהשתלט על המוצרים החכמים שלכם.
הזרקת קוד AliExpress רומן זאיקין & דקלה ברדה בבלוג זה אציג לכם כיצד הצלחנו להזריק קוד לתוך AliExpress ולעקוף מספר הגנות מעניינות כגון שימוש ב-referer להגנה ומעקף באמצעות open redirect.
Bug Bounty במהלך הקורס מאור דיין מאור דיין, חניך בקורס לוחמת הסייבר שלנו מצא מספר ליקויי אבטחה בחברות מוכרות כגון - IMDb, Alibaba, Fotor, Pango וכל זה עוד לפני שסיים את הקורס! אנו גאים במאור וצופים לו עתיד בתחום הסייבר, המון הצלחה בהמשך הדרך!
Covid-19 בעולם הסייבר צוות ITSafe האקרים ניצלו את הפחד של הציבור על מנת לייצר קמפיינים שקשורים לוירוס הקורונה על מנת להדביק מחשבים במלווארים ולגנוב מידע ובעיקר לייצר נזק אבל תקיפה אחת ספיציפית עלתה וקיבלה כותרות מסביב לעולם בכל מדיה אפשרית.
הדגמה לליקוי האבטחה CVE-2020-0796 דודו מויאל ליקוי אבטחה חדש שהתגלה במיקרוספט אשר מאפשר לתוקף להשתלט על מערכת Windows המשתמשת בשירות ה-SMB מגרסה SMBv1 ועד SMBv3.
כניסה לעולם הסייבר, הכיצד? שי אלפסי רבים שואלים אותי כיצד ניתן להיכנס לעולם הסייבר ובפרט לתחום ה-Penetration testing אך לפני שאענה על השאלה הזו ואפרוט לכם את הדרך אספר קצת על עצמי ועל הניסיון האישי שלי בתחום הסייבר.
הזרקת קוד eBay רומן זאיקין בבלוג זה אסביר כיצד איתרתי את ליקוי האבטחה ב-eBay. ליקוי אבטחה זה מאפשר להזריק קוד דינמי בשפת JavaScript לחנות ב-eBay וכל מי שהיה נכנס לחנות הזדונית היה מושפע מקוד זה.
תלמידי הקורס מצאו ליקוי אבטחה ב-eBay אורי לוי ודביר אלימלך בבלוג זה דביר אלימלך ואורי לוי יציגו לכם ממצא שמצאו יחד בענקית הקניות העולמית eBay
ליקוי אבטחה ב- Messenger שי אלפסי שי אלפסי חוקר אבטחה ב-ReasonLabs ומרצה במכללת ITSAFE מצא ליקוי אבטחה בפייסבוק מסנג'ר אשר מאפשר לנוזקות לבצע persistency במחשב. שי דיווח על הבאג לפייסבוק והם תיקנו את ליקוי האבטחה.
LG Account Takeover דיקלה ברדה & רומן זאיקין במחקר זה בחנו את התשתיות של LG מקרוב ועקפנו את כל ההגנות של התשתית והאפליקציה,ובכך מצאנו דרך להשתלט על השואב האבק החכם של LG מרחוק ללא אינטראקציה עם המשתמש.
העלאת קוד זדוני Facebook רומן זאיקין & דקלה ברדה בבלוג זה אציג בפניכם מחקר שביצעתי ביחד עם דקלה ברדה. במחקר זה הצלחנו להעלות קובץ זדוני ל-CDN של Facebook על ידי ביצוע מניפולציה לדפדפן ויצרנו Fuzzer פשוט שעזר לנו לעקוף את ה-Image Parser של Facebook אשר מחק את הקוד הזדוני מהתמונה.
מניפולצה להודעות Facebook רומן זאיקין בבלוג זה אציג את ליקוי האבטחה שמצאתי ב-Facebook Messenger, ליקוי אבטחה זה מאפשר לערוך את הצ'ט ולשנות הודעות שנשלחו.
המוסד 2018 חלק 1 דיקלה ברדה& רומן זאיקין במהלך המאמר אנחנו נתאר את הפתרונות ואת הדרך להגעת הפתרון, באתגרים מהסוג הזה צריך הרבה חשיבה מחוץ לקופסא וניסיון בפתירת אתגרים אחרים לא מזיק כמובן :)
המוסד 2018 חלק 2 דיקלה ברדה & רומן זאיקין במהלך המאמר אנחנו נתאר את הפתרונות ואת הדרך להגעת הפתרון, באתגרים מהסוג הזה צריך הרבה חשיבה מחוץ לקופסא וניסיון בפתירת אתגרים אחרים לא מזיק כמובן :)
המוסד 2018 חלק 3 דיקלה ברדה & רומן זאיקין במהלך המאמר אנחנו נתאר את הפתרונות ואת הדרך להגעת הפתרון, באתגרים מהסוג הזה צריך הרבה חשיבה מחוץ לקופסא וניסיון בפתירת אתגרים אחרים לא מזיק כמובן :)
המוסד 2020 מאור דיין במהלך המאמר אנחנו נתאר את הפתרונות ואת הדרך להגעת הפתרון, באתגרים מהסוג הזה צריך הרבה חשיבה מחוץ לקופסא וניסיון בפתירת אתגרים אחרים לא מזיק כמובן :)
איך להשתמש ב-NTLMRelayx בסביבת Active Directory עידן מליחי כיום, רוב חברות ההייטק משתמשות בסביבת Active Directory. ולכן אנחנו האקרים צריכים לדעת כמה שיותר התקפות בסביבת AD כדי שנוכל להשלים את משימתנו. במאמר זה, אני מראה לכם איך ניתן להשתמש בNTLMRelayx בשביל לפרוץ לAD ובנוסף לקבל הרשאות של Domain Admin!
מניפולציה על חשבונית PayPal דיקלה ברדה & רומן זאיקין בבלוג זה אציג ממצא אותו מצאתי יחד עם דקלה ברדה ב-PayPal אשר מאפשר לתוקף זדוני לבצע מניפולציה על חשבוניות ובכך לקבל תשלום על מוצרים במקום המוכר.
איך ליצור קוד QR זדוני דרך Excel עידן מליחי בלוג זה מדבר על מתקפה הנדסה חברתית שהיא לא מוכרת, לא הרבה משתמשים בה ולכן אכיר לכם מתקפה 'חדשה' אשר נותנת לנו אפשרות לייצר קוד QR זדוני ששם נוכל לשים כל קישור שנרצה אם זה פישינג / הורדה וכו'.
השתלטות על חשבונות Snapchat דיקלה ברדה & רומן זאיקין על מנת לממש את ההשתלטות על החשבונות היינו צריכים לאתר XSS ב-Domain לא מוכר של Snapchat ולעקוף את הגנת ה-CSP על ידי Unrestricted File Upload.
השתלטות על חשבונות Telegram רומן זאיקין & דיקלה ברדה & ערן וקנין במחקר זה הצלחנו לבצע השתלטות על חשבונות Telegram באמצעות פלטפורמת ה-Telegram Web, חשוב לציין שגרסאות ה-Web הינן העתק מלא של כל הנעשה במכשיר הנייד.
השתלטות על חשבונות TikTok ערן וקנין & אלון בוקסינר & דיקלה ברדה & רומן זאיקין & אלכסיי וולודין במחקר שבצענו על האפליקציה TikTok מצאנו מספר ליקויי אבטחה שאפשרו לנו להשתלט על האפליקציה ולבצע פעולות בתור משתמש אחר
השתלטות על חשבונות WhatsApp רומן זאיקין & דיקלה ברדה & ערן וקנין במחקר זה הצלחנו לבצע השתלטות על חשבונות WhatsApp באמצעות פלטפורמת ה-WhatsApp Web. חשוב לציין שגרסאות ה-Web הינן העתק מלא של כל הנעשה במכשיר הנייד.
הקרסת אפליקציה WhatsApp רומן זאיקין & דיקלה ברדה & יערה שריקי בבלוג הזה אנו נציג לכם מחקר חדש הממשיך את המחקר הקודם ומציג כיצד ניתן להקריס למישהו את ה-WhatsApp ולהכניס אותו ל-Crash Loop (כל פתיחה של האפליקציה תוביל לקריסה נוספת).
אתגר חומרית ZeroNights רומן זאיקין & ניקיטה קורטין בבלוג זה אציג את הפתרון שלי ושל ניקיטה קרוטין לאתגר החומרתי שהתקיים בכנס ZeroNights. במהלך האתגר היה עלינו לבצע הנדסה לאחור לשיטת התקשורת של המחסום החשמלי ולפתוח אותו מרחוק.
איך להתחיל ללמוד אבטחת מידע רומן זאיקין איך אני מתחיל ללמוד סייבר?
קורס באבטחת מידע במכללה?
קורס באבטחת מידע אונליין?
האם נדרש ניסיון באבטחת מידע על מנת להתקבל לתפקיד ראשוני?

אודות הצוות

צוות האתר מתעסק באבטחת מידע מזה שנים ועובד בחברות מפתח בתחום הסייבר, אנחנו מנסים להשתתף באתגרים ולומדים כל יום דברים חדשים.