باگ بانتی (Bug Bounty)
زاویه دید یه هکر یا همون بانتر به 4 چیزه:
#article
☕️ Telegram | Website | Discord
یه پلتفرم و حوزه (برد - برد) در دنیای امنیت سایبریه(حوزه مورد علاقه خودم)
تو این حوزه سازمانها از شرکتهای بزرگی مثل گوگل و متا گرفته تا بانکها، به صورت قانونی به متخصصای امنیت اجازه میدن تا سیستم هاشونو هک کنن
به این متخصصان که با هدف ارتقای امنیت و دریافت پاداش کار میکنن باگ بانتر (Bug Hunter) یا هکر کلاهسفید میگن(بستگی داره بعضی وقتام کلاه سیاه میشن اگه یکی اذیتشون کنه😔 )
برنامههای باگ بانتی به دو صورت برگزار میشن:
عمومی (Public) که همه هکرها بهش دسترسی دارن
خصوصی (Private) که فقط هکرهای باسابقه و دعوتشده میتونن روش کار کنن
حالا یه برنامه دیگه هم داریم که به طور مسابقه برگذار میشه و به دزدیدن پرچم معروفه که بعدا اون رو هم توضیح میدم
کار بانتر با بررسی سند برنامه (Policy) شروع میشه در این سند یا صفحه، قلمرو کاری (In-Scope) مشخص میکنه که هکر مجازه به چه سایتها یا سرورهایی حمله کنه و چه بخشهایی خط قرمز یا Out-of-Scope هستند. همچنین قوانینی مثل عدم تخریب دادهها و ممنوعیت حملات منع سرویس (DoS/DDoS) در اینجا ذکر میشه اگر مثال بزنیم مثلا یه سایتی مثل اسنپ توی قلمرو کاری یا بخش باگ بانتی نوشته که دیداس زدن بانتی نداره و پاداشی نداره و شما نمیتونید با این کار پاداشی بگیرین و فقط آسیب پذیری های مهم رو میتونید گزارش کنید یا امتحان کنید
زاویه دید یه هکر یا همون بانتر به 4 چیزه:
1️⃣ . شناسایی (Recon): جمعآوری اطلاعات از زیردامنهها، پورتها و ساختار هدف بدون جلب توجه و کاملا مخفی
2️⃣ اسکن و تحلیل: یافتن شکاف ها, متغیرها و رفتارهای مشکوک سیستم و یا هم نقطه ای برای ورود یا شکستن
3️⃣ . بهرهبرداری (Exploitation): تست نفوذ برای اطمینان از وجود باگ یا همون اکسپلویت خودمون که بیشتر با اسکریپت صورت میگیره
4️⃣ . مستندسازی: ثبت دقیق مراحل بازتولید باگ و راه حل برای رفع باگ
پس از کشف باگ، بانتر باید یه گزارش فنی و دقیق از باگ و طریقه رفع باگ بنویسه که شامل پو سی (PoC - Proof of Concept) یا همان نمونه اثبات ادعا (فیلم یا کد مخرب بیخطر) است تا ثابت کنه آسیبپذیری واقعیه. آسیبپذیریها معمولاً بر اساس استاندارد OWASP Top 10 دسته بندی میشن که شامل موارد معروفی مثل XSS (تزریق کد به مرورگر کاربران)، SQLi (دسترسی به پایگاه داده)، و IDOR (دسترسی به اطلاعات کاربران دیگر) است و موارد دیگه
پس از ارسال گزارش در پلتفرمهایی مثل HackerOne یا Bugcrowd، تیم داوری (Triage) اونو بررسی میکنن. اگه باگ قبلاً توسط کسی گزارش نشده باشه وضعیتش New و بعد Triaged میشه. ولی اگه تکراری باشه برچسب Duplicate میخوره و پاداشی تعلق نمیگیره
شدت خطرات باگها بر اساس استاندارد جهانی CVSS (یک سیستم نمرهدهی از ۰ تا ۱۰) سنجیده شده و به ۴ دسته Low، Medium، High و Critical تقسیم میشن. با وجود همین، مبلغی به عنوان پاداش یا Bounty به هکر پرداخت میشه. علاوه بر پول، هکرها امتیاز مهارتی یا Reputation دریافت میکنن که رتبه آنها را در لیدربورد پلتفرم بالا میره. در نهایت، پس از حل مشکل توسط سازمان، وضعیت گزارش به Resolved تغییر میکنه و هکرها با اجازه سازمان میتونن گزارششون رو برا آموزش بقیه به صورت عمومی منتشر کنن (Disclosure).
#article
☕️ Telegram | Website | Discord
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👏3❤🔥1😁1
📚کتاب Claude Code from Source به طور عمیق به معماری، پترن ها و استراتژی های پیاده سازی Claude Code اشاره میکنه.
این کتاب فقط سراغ مفاهیم تئوری نرفته و تکنیک هایی مثل بهینه سازی حافظه، کاهش هزینه های پردازش و مدیریت ابزارها در مقایس بزرگ رو توضیح داده.
با ارائه 18 فصل کاربردی یه کتاب خیلی خوب برای یادگیری استاندارد های معماری هوش مصنوعیه👌
برای مطالعه:
🔗 https://claude-code-from-source.com
#book #ai #claudecode
☕️ Telegram | Website | Discord
این کتاب فقط سراغ مفاهیم تئوری نرفته و تکنیک هایی مثل بهینه سازی حافظه، کاهش هزینه های پردازش و مدیریت ابزارها در مقایس بزرگ رو توضیح داده.
با ارائه 18 فصل کاربردی یه کتاب خیلی خوب برای یادگیری استاندارد های معماری هوش مصنوعیه👌
برای مطالعه:
🔗 https://claude-code-from-source.com
#book #ai #claudecode
☕️ Telegram | Website | Discord
🔥12😍5👏3❤🔥1
یکی از دوستان کتاب های Let's Go و Let's Go Further
دوتا از بهترین کتاب ها برای یادگیری مفاهیم GoLang رو بصورت رایگان ترجمه کرده و برای یادگیری میتونید ازش استفاده کنید.
کتاب Let's Go یه راهنمای کاربردی برای ساختن وب اپ های استاندارد با تمرکز روی بهترین الگو های ساختاری هست و از لینک زیر میتونید بهش دسترسی پیدا کنید:
🔗 https://lets-go-fa.ir
و کتاب Let's Go Further منبع مفیدی برای تسلط به مفاهیم پیشرفته تر و یادگیری الگو ها یا همون پترن ها برای مدیریت API ها و وب اپ ها که در حال ترجمست.
🔗 https://lets-go-further-fa.ir
#book #golang
☕️ Telegram | Website | Discord
دوتا از بهترین کتاب ها برای یادگیری مفاهیم GoLang رو بصورت رایگان ترجمه کرده و برای یادگیری میتونید ازش استفاده کنید.
کتاب Let's Go یه راهنمای کاربردی برای ساختن وب اپ های استاندارد با تمرکز روی بهترین الگو های ساختاری هست و از لینک زیر میتونید بهش دسترسی پیدا کنید:
🔗 https://lets-go-fa.ir
و کتاب Let's Go Further منبع مفیدی برای تسلط به مفاهیم پیشرفته تر و یادگیری الگو ها یا همون پترن ها برای مدیریت API ها و وب اپ ها که در حال ترجمست.
🔗 https://lets-go-further-fa.ir
#book #golang
☕️ Telegram | Website | Discord
🔥9⚡4❤🔥2
چند تا پست قبل تر یه جایگزین برای Postman معرفی کردیم که توی کامنت ها Bruno رو پیشنهاد دادن و قرار شد پستشو بزاریم💯
Bruno یه API client اوپن سورس و Git native هست که باهاش میتونید کالکشن هارو بصورت فایل Text توی ریپازیتوری یا سیستمتون به شکل لوکال نگه دارید.
با گیت هم کار میکنه و هماهنگه🔥
👌چون لوکال هست و ذخیره سازی لوکال هم داره موقع عدم دسترسی به اینترنت هم به دیتاهاتون دسترسی دارید و کارتون رو راه میندازه.
🔗 https://usebruno.com
#bruno #api
☕️ Telegram | Website | Discord
Bruno یه API client اوپن سورس و Git native هست که باهاش میتونید کالکشن هارو بصورت فایل Text توی ریپازیتوری یا سیستمتون به شکل لوکال نگه دارید.
با گیت هم کار میکنه و هماهنگه🔥
👌چون لوکال هست و ذخیره سازی لوکال هم داره موقع عدم دسترسی به اینترنت هم به دیتاهاتون دسترسی دارید و کارتون رو راه میندازه.
🔗 https://usebruno.com
#bruno #api
☕️ Telegram | Website | Discord
❤🔥13⚡2🔥2😍1
بیاید ببینیم چیا به لاراول 13 اضافه شده؟🔥
1⃣ اضافه شدن AI SDK که امکان کار با مدل های مختلف هوش مصنوعی رو از طریق API فراهم میکنه.
همچنین از تولید تصویر، صدا، Embedding و Vector Storeها هم پشتیبانی میکنه.
2⃣ لاراول الان از JSON:API Resources به صورت رسمی پشتیبانی میکنه و امکاناتی مثل Resource Serialization ،Relationship Inclusion و Sparse Fieldsets رو در اختیارتون قرار میده.
3⃣ همچنین قابلیت Semantic Search بر اساس مفهوم متن با استفاده از Vector Embedding اضافه شده.
4⃣ لاراول با قابلیت Queue Routing کاری کرده که حالا میشه به صورت دقیق مشخص کرد هر Job روی کدوم Queue و Connection اجرا بشه.
5⃣ توی این ورژن استفاده از PHP Attribute ها رو گسترش داده شده و حالا میشه بخشی از تنظیمات مربوط به Middleware، Authorization و Queueها رو مستقیما کنار کلاسها و متدها تعریف کرد تا کدها خواناتر و تمیز تر باشن.
6⃣ میدلور جدید PreventRequestForgery معرفی شده که علاوه بر CSRF Token، اعتبارسنجی مبدا درخواستها رو هم انجام میده.
7⃣ قابلیت جدید Cache::touch هم برای افزایش زمان اعتبار کش بدون نیاز به خوندن و ذخیره مجدد دیتا کاربرد داره.
🔗 منبع: Laravel Doc
#laravel #new #update
☕️ Telegram | Website | Discord
1⃣ اضافه شدن AI SDK که امکان کار با مدل های مختلف هوش مصنوعی رو از طریق API فراهم میکنه.
use App\Ai\Agents\SalesCoach;
$response = SalesCoach::make()
->prompt('Analyze this sales transcript...');
همچنین از تولید تصویر، صدا، Embedding و Vector Storeها هم پشتیبانی میکنه.
2⃣ لاراول الان از JSON:API Resources به صورت رسمی پشتیبانی میکنه و امکاناتی مثل Resource Serialization ،Relationship Inclusion و Sparse Fieldsets رو در اختیارتون قرار میده.
3⃣ همچنین قابلیت Semantic Search بر اساس مفهوم متن با استفاده از Vector Embedding اضافه شده.
$documents = DB::table('documents')
->whereVectorSimilarTo('embedding', 'Best wineries in Napa Valley')
->limit(10)
->get();4⃣ لاراول با قابلیت Queue Routing کاری کرده که حالا میشه به صورت دقیق مشخص کرد هر Job روی کدوم Queue و Connection اجرا بشه.
Queue::route(ProcessPodcast::class, connection: 'redis', queue: 'podcasts');
5⃣ توی این ورژن استفاده از PHP Attribute ها رو گسترش داده شده و حالا میشه بخشی از تنظیمات مربوط به Middleware، Authorization و Queueها رو مستقیما کنار کلاسها و متدها تعریف کرد تا کدها خواناتر و تمیز تر باشن.
#[Middleware('auth')]
class CommentController
{
#[Middleware('subscribed')]
#[Authorize('create', [Comment::class, 'post'])]
public function store(Post $post)
{
// ...
}
}6⃣ میدلور جدید PreventRequestForgery معرفی شده که علاوه بر CSRF Token، اعتبارسنجی مبدا درخواستها رو هم انجام میده.
7⃣ قابلیت جدید Cache::touch هم برای افزایش زمان اعتبار کش بدون نیاز به خوندن و ذخیره مجدد دیتا کاربرد داره.
Cache::touch('users');🔗 منبع: Laravel Doc
#laravel #new #update
☕️ Telegram | Website | Discord
❤🔥6⚡3🔥2
این ریپازیتوری از Ebook foundation مجموعه ای از چیت شیت های رایگان بیشتر زبان های برنامه نویسی رو از منابع مختلف جمع کرده و قرارشون داده🔥
🔰البته چیزای بیشتری مثل کتاب و پادکست و... هم داره که اونارو هم قرارشون میدیم (خودتون هم میتونید از لینکش بهش دسترسی داشته باشید).
👈🏻 چیت شیت
🔗 لینک ریپازیتوری
#cheatsheet #repo
☕️ Telegram | Website | Discord
🔰البته چیزای بیشتری مثل کتاب و پادکست و... هم داره که اونارو هم قرارشون میدیم (خودتون هم میتونید از لینکش بهش دسترسی داشته باشید).
👈🏻 چیت شیت
🔗 لینک ریپازیتوری
#cheatsheet #repo
☕️ Telegram | Website | Discord
🔥9❤🔥3🤩3👏1
سرویس GitHub Enterprise Local چیه و چه کاربردی داره؟ 💣
گیت هاب قابلیت جدیدی (فعلا به شکل Preview) معرفی کرده که این امکان رو میده تا GitHub Enterprise Server رو روی سرور های Azure Local اجرا کنید.
📌این قابلیت برای شرکت ها و تیم های بزرگ کارآمده.
در واقع اکثر امکاناتی که توی خود گیت هاب ارائه میشه رو داره اما ممکنه توی حالت connected یا disconnected بعضی قابلیت ها در دسترس نباشن.
این سرویس دادهها، ریپازیتوریها، متادیتا و اجرای workflow هارو داخل سرور ها نگه میداره و ذخیره میکنه✅
🤖 برای هوش مصنوعی هم توی حالت آنلاین میتونید از Github Copilot استفاده کنید و توی حالت آفلاین هم میشه مدل های AI رو بر بستر Foundry Local راه اندازی و استفاده کرد.
منبع: Microsoft
#github #Local #enterprise
☕️ Telegram | Website | Discord
گیت هاب قابلیت جدیدی (فعلا به شکل Preview) معرفی کرده که این امکان رو میده تا GitHub Enterprise Server رو روی سرور های Azure Local اجرا کنید.
📌این قابلیت برای شرکت ها و تیم های بزرگ کارآمده.
در واقع اکثر امکاناتی که توی خود گیت هاب ارائه میشه رو داره اما ممکنه توی حالت connected یا disconnected بعضی قابلیت ها در دسترس نباشن.
این سرویس دادهها، ریپازیتوریها، متادیتا و اجرای workflow هارو داخل سرور ها نگه میداره و ذخیره میکنه✅
🤖 برای هوش مصنوعی هم توی حالت آنلاین میتونید از Github Copilot استفاده کنید و توی حالت آفلاین هم میشه مدل های AI رو بر بستر Foundry Local راه اندازی و استفاده کرد.
منبع: Microsoft
#github #Local #enterprise
☕️ Telegram | Website | Discord
❤🔥2⚡1🔥1