علی اصغر جعفری لاری

علی اصغر جعفری لاری

علی اصغر جعفری لاری هستم. از سال 82 وارد دنیای "نفوذگری در وب" شدم و به صورت فردی، فعالیتم رو در این حوزه شروع کردم. پس از شش سال، دیدگاه اصلی من نسبت به این علم، به سمت و سوی "هک اخلاقی" تغییر پیدا کرد و سعی کردم شش سال دوم تجربیات زندگیم رو به صورت قانونمند و سودمند پیش ببرم. تخصص اصلی من "تست نفوذ برنامه های کاربردی وب" و تحقیق در حوزه "امنیت سایبری" هست و از روی علاقه، به مباحثی همچون تست نفوذ حوزه هایی مثل شبکه های بیسم، برنامه های کاربردی موبایل، کلاینت ها،سیستم های صنعتی و امواج رادیویی نیز پرداختم. تاکنون شش کتاب در حوزه هک و امنیت تالیف و ترجمه کردم و تیم پارسینگ رو برای رسیدن به اهداف بلندش یاری کردم.

نشانی وبگاه: http://www.parsing.ir
پنج شنبه, 01 مهر 1395 ساعت 22:40

آشنایی با ابزار Social Engineering Toolkit

در این ویدیوی آموزشی به معرفی ابزار Social Engineering Toolkit در کالی لینوکس خواهیم پرداخت و سپس حمله فیشینگ را با جعل قالب وبسایت فیسبوک، اجرا می کنیم. محتوای تصویری ویدیو همانند ویدیوی اخیر ما به آدرس http://www.aparat.com/v/0xKOe می باشد اما محتوای صوتی قرار گرفته شده بروی ویدیو، با ویدیوی قبلی ما متفاوت است. این ویدیو نیز با صدای مهندس علی اصغر جعفری لاری برای تمام علاقه مندان تهیه شده است.

پنج شنبه, 01 مهر 1395 ساعت 22:33

نحوه کار با ابزار Searchsploit

در این ویدیوی آموزشی، نحوه کار با ابزار Searchsploit در کالی لینوکس به شما دوستان عزیز آموزش داده می شود. این ویدیو با صدای مهندس علی اصغر جعفری لاری و برای تمام علاقه مندان به حوزه امنیت اطلاعات، تهیه گردیده شده است.

یکشنبه, 21 شهریور 1395 ساعت 21:38

برنامه های هک

برنامه های هک (که منظورمان هک اخلاقی است) به دسته بندی های مختلفی تقسیم می شود. بعضی ابزارها را از حیث استفاده هکرها با رنگ کلاه تقسیم بندی می کنند، بعضی دیگر را از حیث نوع تست نفوذپذیری (مثلا تست جعبه سیاه) تقسیم بندی می کنند، بعضی را از حیث نوع زبان برنامه نویسی ابزار و یا نوع سیستم عامل مورد نیاز اجرای برنامه و... اما به طور فنی بهتر است برنامه های هک را از حیث نوع تارگت و یا تکنیک و یا آسیب پذیری تقسیم بندی کنیم. به عنوان مثال برنامه Nikto را باید در دسته بندی برنامه های آنالیز آسیب پذیری قرار دهیم و برنامه متاسپلویت را در دسته بندی برنامه های بهره برداری از آسیب پذیری، برنامه dnsenum را باید در دسته بندی برنامه های جمع آوری اطلاعات قرار دهیم و برنامه hydra را در دسته بندی حملات گذرواژه. این دسته بندی می تواند هم فنی باشد و هم تست کننده نفوذ را کمک کند که یک نظم خاصی در فرایند تست خود داشته باشد. از سایت های داخلی که به فروش آنلاین برنامه های مفید و کمیاب هک اخلاقی می پردازد، می توان به سایت http://darkmarket.ir اشاره نمود.
یکشنبه, 21 شهریور 1395 ساعت 21:19

هک برنامه

برنامه ها به طور کلی و رایج به سه دسته نقسیم می شوند، برنامه های کاربردی تحت وب، برنامه های کاربردی دسکتاپ و برنامه های کاربردی موبایل. هک کردن برنامه ها به معنای این است که بتوان آسیب پذیری های این برنامه ها را بدست آورد و از آنها بهره برداری نمود. عنوان "هک" در تیتر این مطلب دلالت بر هک اخلاقی دارد و منظور هکر قانونمند است. برنامه های کاربردی وب که منظورمان همان وبسایت ها و پورتال ها می باشد متداولا طبق استاندارد OWASP مورد تحلیل و بررسی قرار می گیرد. این استاندارد هر از چند سال، ده آسیب پذیری برتر را معرفی می کند تا متخصصین امنیت سایبری بتوانند طبق این استاندارد جهانی به تست نفوذپذیری برنامه های کاربردی وب بپردازند. خوشبختانه تیم پارسینگ نیز با توجه به این استاندارد، سرویس های کاربردی و مفیدی را به مشتریان عزیز ارائه می کند. آنالیز برنامه های کاربردی دسکتاپ منظور بررسی امنیتی برنامه های اتوماسیون و آن دسته از برنامه ها می باشد که در محیط دسکتاپ سیستم عامل اجرا می شود و خدماتی را به بخشی از کاربران ارائه می کند. این برنامه ها نیز در بعضی از آسیب پذیری ها با برنامه های کاربردی وب مشترک هستند مثل آسیب پذیری های SQL Injection و یا حملات گذرواژه. در دنیای کنونی که در دستان اکثر مردم یک تلفن همراه قرار دارد، امنیت گوشی ها نیز به تبع حائز اهمیت است. معمولا هسته سیستم عامل و اجزای آن، از امنیت خوبی برخوردار است اما برنامه های کاربردی نصب شده بروی گوشی ها اکثر دارای آسیب پذیری های مختلفی می باشد. بعضی از برنامه ها بدون اینکه نیاز به دسترسی به بخش های گوشی را داشته باشند، از کاربر اجازه تایید این دسترسی ها را در هنگام نصب برنامه خواهند گرفت و بعضی از برنامه ها و بازی ها از ضعف هایی در برنامه نویسی و توسعه کدها رنج می برند.
یکشنبه, 14 شهریور 1395 ساعت 22:02

آموزش تست نفوذ

تست کننده نفوذ و یا یک هکر قانونمند که مسولیت تست نفوذ یک هدف مشخص را به عهده دارد، شاید فردی باشد که به اکثر علوم هک و امنیت تسلط کافی را داشته باشد.درست است که تست نفوذ به شاخه های مختلفی از حیث نوع هدف مورد نظر (شبکه بیسیم، برنامه کاربردی وب، شبکه داخلی و...) تقسیم بندی می شود اما تست کننده نفوذ باید بروی یک شاخه تسلط بسیار کامل و بروی شاخه های دیگر نیز نسبتا تسلط کاملی داشته باشد. علاقه مندان بسیاری جهت آموزش تست نفوذ به تیم پارسینگ تماس می گیرند و تمایل دارند در این حوزه بدون هیچ پیش زمینه ای فعالیت کنند. در جواب باید به این دوستان عزیز گفت که عنصر کلیدی تست نفوذ، تجربه است. شما می توانید با شرکت در دوره های آموزشی مختلفی که تیم پارسینگ و یا دیگر گروه ها برگزار می کنند، دانش خود را در این حوزه افزایش دهید اما به عنوان وارد شدن به این حوزه و فعالیت در این حوزه، به نظر می رسد که کمی زود باشد. تست نفوذ علاوه بر پیوند چند شاخه از علم هک و تسلط بر تمام ابزارها و تکنیک ها، مسولیتی دارد که اگر تست کننده نفوذ ناشی، به اشتباه مراحلی را طی کند و به اشتباه، آسیب پذیری را نادیده بگیرد، ممکن است خود را درگیر مسولیت های مدنی و حتی کیفری نیز کند. پس نیاز است دانشجویی که علاقه مند به آموزش تست نفوذ است، ابتدا به کسب علم در سال های متمادی بپردازد و با تحقیقات سایبری و بروز بودن دانش خود، به این مسیر ادامه دهد و سپس با انجام پروژه های کوچک در قالب تیم ها و شرکت های معتبر داخلی، به صورت زنده و واقعی با دنیای تست نفوذ آشنا شود.
یکشنبه, 14 شهریور 1395 ساعت 21:52

مراحل تست نفوذ

در تست نفوذ پذیری، مراحل مختلفی بروی تارگت مورد نظر انجام می شود. به طور کلی و رایج، پنج مرحله در تست نفوذ پذیری طی می شود: مرحله اول) شناسایی، مرحله دوم) پویش، مرحله سوم) کسب دسترسی، مرحله چهارم) حفظ دسترسی و مرحله پنجم) پاک کردن رد پا. این مراحل را که هکرها هم فارغ از رنگ کلاه آنها پشت سر می گذارند، برای تست کننده های نفوذ کمی متفاوت است. یعنی تیم تست نفوذ موظف است که علاوه بر ارائه گزارش نهایی در مرحله آخر، ایمن سازی تارگت مورد نظر را نیز به عهده بگیرد و آن را به طور کامل انجام دهد. باید خاطرنشان کرد که نخستین بار این مراحل در کتاب CEH تشریح شد و به مرور جز سرفصل های دوره های آموزشی موسسات جهان قرار گرفت.
یکشنبه, 14 شهریور 1395 ساعت 21:40

نرم افزارهای تست نفوذ

نرم افزارهای بسیاری در حوزه تست نفوذ به صورت رایگان بروی اینترنت در دسترس قرار دارد. به طور کلی هر تیم یا هر تست کننده نفوذ با توجه به تجربیات، دانش و سلیقه خود می تواند با نرم افزارهای مختلفی که در این زمینه ارائه شده است، کار کند و در اصطلاح آنهایی که کاربرد بیشتری دارند را برای تست نفوذهای خود، گلچین نماید. برای هر فرایند و هر مرحله تست نفوذ و برای هر نوع تست نفوذ که مثلا تست نفوذ جعبه سیاه باشد یا جعبه سفید نیز، ابزارهای خاصی طراحی شده است اما به طور کلی، با توجه به نوع تارگت که مثلا یک شبکه بیسیم باشد یا یک برنامه کاربردی وب، نرم افزارها نیز متفاوت است. به طور اختصار می توانیم به ابزارهایی نظیر Nmap، Nessus، Metasploit، Cain & Able، Acunetix، Burp Suite، Aircrack، Wireshark، W3af و Canvas اشاره کنیم.
یکشنبه, 14 شهریور 1395 ساعت 21:26

تست نفوذ

تست نفوذ یا تست نفوذپذیری، شبیه سازی حمله بروی سیستم کامپیوتری، شبکه یا برنامه های کاربردی وب است که برای یافتن آسیب پذیری ها که ممکن است توسط نفوذگر مورد بهره برداری قرار گیرد، انجام می شود. تست نفوذ می تواند به صورت اتوماتیک و با ابزار و یا به صورت دستی انجام شود. در هر روش، فرایند شامل جمع آوری اطلاعات درباره هدف پیش از تست، شناسایی نقاط ورود، تلاش برای نقض و در اصلاح هک کردن و در نهایت، گزارش کامل در زمینه تست های انجام شده، می باشد. هدف اصلی تست نفوذ، تعیین نقاط ضعف امنیتی است. تیم پارسینگ با دارا بودن هکرهای متعهد و قانونمند که در زمینه کاری خود جز برترین متخصصین هستند و با دارا بودن آرشیوی کامل از ابزارهای عمومی، نیمه خصوصی و خصوصی، تست نفوذ خود را با سرورهای قدرتمند انجام می دهد. برای کسب اطلاعات بیشتر به منوی خدمات مراجعه نمایید.
شنبه, 13 شهریور 1395 ساعت 22:30

هک سایت با نرم افزار

اکثر آن دسته از افراد که تازه به دنیای هک وارد شده اند، علاقه مند هستند که با نرم افزارهای هک کار کنند، به طوری که ساعت ها وقت خود را صرف تست امنیت سایت ها با نرم افزارهایی را می کنند که از هوش انسانی برخوردار نیست و ممکن است دچار اشتباهاتی در تشخیص آسیب پذیری های سایت ها شود. با فراگیری اصولی هک اخلاقی، افراد در می یابند که برای تست امنیت سایت ها، ابتدا تکنیک های دستی را آزمایش کنند و سپس به سراغ نرم افزارهای ارزیابی امنیتی بروند. چراکه آنچه که به صورت دستی تست می شود، احتمال اشتباه در آن به مراتب کمتر از استفاده از نرم افزارهای اتوماتیک است. در دوره های تیم پارسینگ نیز، ابتدا تکنیک های دستی ارزیابی آسیب پذیری ها آموزش داده می شود و سپس به سراغ آموزش با استفاده از نرم افزارها خواهیم رفت. از نرم افزارهایی که برای تست امنیتی سایت ها استفاده می شود و نسبتا رایج است می توان به Acunetix، Burp Suite، Nikto و W3af اشاره نمود.
شنبه, 13 شهریور 1395 ساعت 22:16

آموزش هک سایت

هکرهای قانونمند برای تست نفوذپذیری سایت ها و پورتال ها با برنامه های مختلفی که در این زمینه توسعه و طراحی شده است، کار می کنند. آنها به ابزارهای لینوکسی علاقه بسیاری دارند، چراکه در لینوکس همه چیز برای یک تست کننده نفوذ مهیا است. دانشی که برای تست امنیت سایت و یا کلا فراگیری علم هک اخلاقی، نیاز است شامل فراگیری علم شبکه، مبانی امنیت اطلاعات، لینوکس و امنیت شبکه است. علوم برنامه نویسی همنیاز علم هک است و پیشنیاز آن نیست. یعنی دانشجو می تواند در کنار فراگیری علم هک اخلاقی برای بهبود در عملکردهای خود و سرعت بخشیدن به اهداف خود، مبانی برنامه نویسی و زبان هایی که نیاز است به تست امنیت سایت ها بپردازد را فرا بگیرد. زبان های پرل و پایتون زبان های بسیار مناسبی برای آن دسته از کاربرانی است که قصد دارند وارد دنیای امنیت وب شوند. سایت ها به روش های مختلفی تست و ایمن سازی می شود. از نکات مهم یک کاربر تازه وارد به این حوزه، بروز بودن دانش وی در حوزه مقالات امنیت سایبری، منابع تحقیقاتی، ابزارهای نوین و شناخت آسیب پذیری های نوین می باشد. تیم پارسینگ با برگزاری دوره آموزشی امنیت وب و تکنیک های ایمن سازی، شما را با دنیای امنیت وب آشنا خواهد کرد.

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: