🔵 عنوان مقاله
Sign-in to AWS Console Mobile Application with an AWS Access Portal or Third-Party IdP URL (5 minute read)
🟢 خلاصه مقاله:
AWS به تازگی قابلیت ورود از طریق SSO (Single Sign-On) را به اپلیکیشن موبایلی AWS Console اضافه کرده است. این ویژگی به کاربران امکان میدهد تا با وارد کردن URL ورود خود در اپلیکیشن، مستقیماً به صفحه ورود هدایت شوند و تجربهای مشابه با ورود از طریق وب را تجربه کنند. این مقاله شامل راهنمای گام به گامی از جریان جدید ورود است و به تفصیل توضیح میدهد که کاربران چگونه میتوانند از این ویژگی جدید برای دسترسی آسانتر و مدیریت بهتر منابع AWS خود بهرهمند شوند. این تغییر با هدف افزایش انعطافپذیری و بهبود تجربه کاربری در دسترسی موبایلی به سرویسهای AWS انجام شده است.
🟣لینک مقاله:
https://aws.amazon.com/blogs/mt/sign-in-to-aws-console-mobile-application-with-an-aws-access-portal-or-third-party-idp-url/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Sign-in to AWS Console Mobile Application with an AWS Access Portal or Third-Party IdP URL (5 minute read)
🟢 خلاصه مقاله:
AWS به تازگی قابلیت ورود از طریق SSO (Single Sign-On) را به اپلیکیشن موبایلی AWS Console اضافه کرده است. این ویژگی به کاربران امکان میدهد تا با وارد کردن URL ورود خود در اپلیکیشن، مستقیماً به صفحه ورود هدایت شوند و تجربهای مشابه با ورود از طریق وب را تجربه کنند. این مقاله شامل راهنمای گام به گامی از جریان جدید ورود است و به تفصیل توضیح میدهد که کاربران چگونه میتوانند از این ویژگی جدید برای دسترسی آسانتر و مدیریت بهتر منابع AWS خود بهرهمند شوند. این تغییر با هدف افزایش انعطافپذیری و بهبود تجربه کاربری در دسترسی موبایلی به سرویسهای AWS انجام شده است.
🟣لینک مقاله:
https://aws.amazon.com/blogs/mt/sign-in-to-aws-console-mobile-application-with-an-aws-access-portal-or-third-party-idp-url/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Amazon
Sign-in to AWS Console Mobile Application with an AWS Access Portal or third-party IdP URL | Amazon Web Services
AWS customers rely on the AWS Console Mobile Application to monitor, manage, and receive notifications to stay informed about their AWS resources while away from their desktop devices. Customers who use Single-Sign-On (SSO) can face a unique set of challenges…
👍1
🔵 عنوان مقاله
Internet Archive Hacked Again During Service Restoration (2 minute read)
🟢 خلاصه مقاله:
مؤسسه آرشیو اینترنت پس از بهبودی از یک نقض دادهها و حمله DDoS، گزارش داده است که مورد حمله دیگری قرار گرفته است. این حمله اخیر شامل سوء استفاده از یک توکن Zendesk دستکاری شده بوده که منجر به ارسال ایمیل توسط مهاجم به کاربران شده است. اطلاعاتی که ممکن است در معرض خطر قرار گرفته باشند شامل دادههای حساسی است که در موارد پشتیبانی ارسال شدهاند. این رویداد نشاندهنده اهمیت امنیت سیستمهای اطلاعاتی و ضرورت اتخاذ تدابیر امنیتی محکمتر برای حفاظت از دادهها و کاربران در برابر تهدیدات فزاینده سایبری است.
🟣لینک مقاله:
https://www.securityweek.com/new-internet-archive-hack-conducted-during-service-restoration-efforts/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Internet Archive Hacked Again During Service Restoration (2 minute read)
🟢 خلاصه مقاله:
مؤسسه آرشیو اینترنت پس از بهبودی از یک نقض دادهها و حمله DDoS، گزارش داده است که مورد حمله دیگری قرار گرفته است. این حمله اخیر شامل سوء استفاده از یک توکن Zendesk دستکاری شده بوده که منجر به ارسال ایمیل توسط مهاجم به کاربران شده است. اطلاعاتی که ممکن است در معرض خطر قرار گرفته باشند شامل دادههای حساسی است که در موارد پشتیبانی ارسال شدهاند. این رویداد نشاندهنده اهمیت امنیت سیستمهای اطلاعاتی و ضرورت اتخاذ تدابیر امنیتی محکمتر برای حفاظت از دادهها و کاربران در برابر تهدیدات فزاینده سایبری است.
🟣لینک مقاله:
https://www.securityweek.com/new-internet-archive-hack-conducted-during-service-restoration-efforts/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
SecurityWeek
Internet Archive Hacked Again During Service Restoration Efforts
The Internet Archive has suffered an email hack while working to restore services impacted by the recent cyberattacks.
👍1
اشتراکگذاری دادهها در میکروسرویسها: تعادل بین Consistency و Scalability
سالها پیش وقتی شروع به کار با میکروسرویسها کردم، قانون «هر سرویس نباید دیتابیس خودش رو با سرویس دیگه به اشتراک بذاره» رو خیلی جدی گرفتم. این قانون منطقی به نظر میومد. سرویسها باید مالک دادههاشون باشن و بتونن بدون مشکل تغییرات خودشونو اعمال کنن. اما نکتهای که من اول متوجه نشدم این بود که تفاوتی بزرگ بین Sharing a data source (دیتابیس مرکزی) و Sharing data وجود داره.
در دنیای میکروسرویسها، دادهها مثل یک زنجیره برای ارتباط بین سرویسها عمل میکنن. مثلا سرویس Trips نیاز به اطلاعات مسافران از سرویس Passenger یا اطلاعات رانندگان از سرویس Driver داره. خیلی منطقی به نظر میاد که این دادهها رو به صورت Synchronous درخواست کنیم، اما این روش در مقیاسهای بزرگ چالشهایی رو به همراه داره.
چرا درخواستهای Synchronous برای دادهها نمیتونند به خوبی مقیاسپذیر باشند؟
درخواستهای همزمان و دریافت دادههای بهروز اول به نظر منطقی میاد. در نهایت همه ما میخواهیم دادههای جدید و دقیق داشته باشیم، درست؟ اما وقتی این روال رو برای مدت طولانی ادامه میدیم، مشکلاتی پیش میاد:
- زنجیرههای وابستگی: وقتی هر سرویس برای دریافت دادههاش به سرویس دیگهای وابسته باشه، در طول زمان تبدیل به یک شبکه پیچیده میشه. مثلا سرویس Leaderboard نیاز به اطلاعات User Service برای نمایش نام و آواتار کاربران داره، و این باعث میشه که یک زنجیره از درخواستها به وجود بیاد.
- نقطههای شکست یا SPOF: وقتی سرویسهای زیادی به یک سرویس مشترک مثل User Service وابسته هستند، اون سرویس تبدیل به یک گلوگاه میشه. اگه این سرویس خراب بشه، میتونه کل سیستم رو تحت تاثیر قرار بده.
- تاخیر در پردازش: هر درخواست اضافی در زنجیره باعث افزایش تاخیر میشه.
با این شرایط، باید این سوال رو بپرسیم: آیا همیشه به دادههای آپدیت نیاز داریم؟
کار با Eventual Consistency: یک راهحل مقیاسپذیر
به جای اینکه هر سرویس برای دادههای خودش درخواستهای همزمان ارسال کنه، میشه هر سرویس کپی محلی از دادههای مورد نیاز خودش رو نگهداری کنه و اونها رو از طریق Event ها یا Caching آپدیت کنه. این رویکرد ممکنه باعث بشه دادهها در نهایت سازگار یا Consistent باشن، یعنی دادهها ممکنه کمی دیر بهروزرسانی بشن، ولی هیچوقت قدیمی و از تاریخ گذشته نمیمونن. این روش معمولاً بهترین انتخاب هست. چرا؟
- مقیاسپذیری: سرویسها میتونن دادههایی رو که نیاز دارن به طور محلی ذخیره کنن و دیگه نیازی به درخواست همزمان به سرویسهای دیگه نیست.
- کاهش SPOF: دادههای محلی به این معنی هستند که سرویسها میتونن مستقل عمل کنن و وابستگی به سرویسهای دیگه رو کاهش بدن.
- عملکرد بهتر: چون هر سرویس دسترسی سریع به دادههای ضروری خودش داره، دیگه نیازی به درخواستهای همزمان نیست که باعث افزایش تاخیر بشه.
سازگاری دادهها در عمل
سرویسها به دادههای مختلف نیاز دارند و هر کدوم سازگاری یا Consistency متفاوتی میطلبند:
- سرویس Leaderboard: نیاز به دادههای کاربری داره، ولی ممکنه آواتارها و نامهای نمایشی کمی قدیمی هم مشکلی ایجاد نکنه. این سرویس میتونه یک کپی محلی از دادههای کاربران داشته باشه.
- سرویس Notification: این سرویس نیاز به ایمیلهای بهروز داره تا به درستی به کاربران پیام ارسال کنه. اینجا شاید نیاز به همگامسازی دقیقتری باشه.
| <Massimo Dev/>
سالها پیش وقتی شروع به کار با میکروسرویسها کردم، قانون «هر سرویس نباید دیتابیس خودش رو با سرویس دیگه به اشتراک بذاره» رو خیلی جدی گرفتم. این قانون منطقی به نظر میومد. سرویسها باید مالک دادههاشون باشن و بتونن بدون مشکل تغییرات خودشونو اعمال کنن. اما نکتهای که من اول متوجه نشدم این بود که تفاوتی بزرگ بین Sharing a data source (دیتابیس مرکزی) و Sharing data وجود داره.
در دنیای میکروسرویسها، دادهها مثل یک زنجیره برای ارتباط بین سرویسها عمل میکنن. مثلا سرویس Trips نیاز به اطلاعات مسافران از سرویس Passenger یا اطلاعات رانندگان از سرویس Driver داره. خیلی منطقی به نظر میاد که این دادهها رو به صورت Synchronous درخواست کنیم، اما این روش در مقیاسهای بزرگ چالشهایی رو به همراه داره.
چرا درخواستهای Synchronous برای دادهها نمیتونند به خوبی مقیاسپذیر باشند؟
درخواستهای همزمان و دریافت دادههای بهروز اول به نظر منطقی میاد. در نهایت همه ما میخواهیم دادههای جدید و دقیق داشته باشیم، درست؟ اما وقتی این روال رو برای مدت طولانی ادامه میدیم، مشکلاتی پیش میاد:
- زنجیرههای وابستگی: وقتی هر سرویس برای دریافت دادههاش به سرویس دیگهای وابسته باشه، در طول زمان تبدیل به یک شبکه پیچیده میشه. مثلا سرویس Leaderboard نیاز به اطلاعات User Service برای نمایش نام و آواتار کاربران داره، و این باعث میشه که یک زنجیره از درخواستها به وجود بیاد.
- نقطههای شکست یا SPOF: وقتی سرویسهای زیادی به یک سرویس مشترک مثل User Service وابسته هستند، اون سرویس تبدیل به یک گلوگاه میشه. اگه این سرویس خراب بشه، میتونه کل سیستم رو تحت تاثیر قرار بده.
- تاخیر در پردازش: هر درخواست اضافی در زنجیره باعث افزایش تاخیر میشه.
با این شرایط، باید این سوال رو بپرسیم: آیا همیشه به دادههای آپدیت نیاز داریم؟
کار با Eventual Consistency: یک راهحل مقیاسپذیر
به جای اینکه هر سرویس برای دادههای خودش درخواستهای همزمان ارسال کنه، میشه هر سرویس کپی محلی از دادههای مورد نیاز خودش رو نگهداری کنه و اونها رو از طریق Event ها یا Caching آپدیت کنه. این رویکرد ممکنه باعث بشه دادهها در نهایت سازگار یا Consistent باشن، یعنی دادهها ممکنه کمی دیر بهروزرسانی بشن، ولی هیچوقت قدیمی و از تاریخ گذشته نمیمونن. این روش معمولاً بهترین انتخاب هست. چرا؟
- مقیاسپذیری: سرویسها میتونن دادههایی رو که نیاز دارن به طور محلی ذخیره کنن و دیگه نیازی به درخواست همزمان به سرویسهای دیگه نیست.
- کاهش SPOF: دادههای محلی به این معنی هستند که سرویسها میتونن مستقل عمل کنن و وابستگی به سرویسهای دیگه رو کاهش بدن.
- عملکرد بهتر: چون هر سرویس دسترسی سریع به دادههای ضروری خودش داره، دیگه نیازی به درخواستهای همزمان نیست که باعث افزایش تاخیر بشه.
سازگاری دادهها در عمل
سرویسها به دادههای مختلف نیاز دارند و هر کدوم سازگاری یا Consistency متفاوتی میطلبند:
- سرویس Leaderboard: نیاز به دادههای کاربری داره، ولی ممکنه آواتارها و نامهای نمایشی کمی قدیمی هم مشکلی ایجاد نکنه. این سرویس میتونه یک کپی محلی از دادههای کاربران داشته باشه.
- سرویس Notification: این سرویس نیاز به ایمیلهای بهروز داره تا به درستی به کاربران پیام ارسال کنه. اینجا شاید نیاز به همگامسازی دقیقتری باشه.
| <Massimo Dev/>
اگر در دنیای برنامهنویسی حرفهای وارد شدید و میخواهید به سطح بالاتری برسید، سایت Refactoring.Guru میتونه یکی از بهترین منابعی باشه که میتونید برای یادگیری Design Patterns استفاده کنید. این سایت به زبان ساده و با مثالهای کاربردی، به شما توضیح میده که چرا و چطور از این الگوها برای نوشتن کدهایی تمیزتر، منعطفتر و قابل نگهداری استفاده کنید.
الگوهای طراحی، به طور کلی، به شما کمک میکنن تا مشکلات پیچیده رو با استفاده از راهحلهای اثباتشده و استاندارد، در قالب ساختارهایی خاص و قابلاستفاده در پروژههای مختلف، حل کنید. این یعنی دیگه مجبور نیستید هر بار از صفر شروع کنید.
یکی از ویژگیهای مهم این سایت اینه که شما نه تنها با هر الگو آشنا میشید، بلکه میفهمید کجا و چرا باید از اون استفاده کنید. به همین دلیل، Refactoring.Guru یه مرجع عالی برای هر برنامهنویسیه که میخواد در کدنویسی حرفهای و بهینهتر بشه.
<Reza Annabestani/>
الگوهای طراحی، به طور کلی، به شما کمک میکنن تا مشکلات پیچیده رو با استفاده از راهحلهای اثباتشده و استاندارد، در قالب ساختارهایی خاص و قابلاستفاده در پروژههای مختلف، حل کنید. این یعنی دیگه مجبور نیستید هر بار از صفر شروع کنید.
یکی از ویژگیهای مهم این سایت اینه که شما نه تنها با هر الگو آشنا میشید، بلکه میفهمید کجا و چرا باید از اون استفاده کنید. به همین دلیل، Refactoring.Guru یه مرجع عالی برای هر برنامهنویسیه که میخواد در کدنویسی حرفهای و بهینهتر بشه.
<Reza Annabestani/>
شرکت های بزرگی مثل Microsoft مخازن جالبی در GitHub دارند مثل Security-101 که مخصوص آموزش امنیت برای کاربرانی است که قصد دارند نکات اولیه امنیتی را یاد بگیرند!
https://github.com/microsoft/Security-101
<Vahid Nameni/>
https://github.com/microsoft/Security-101
<Vahid Nameni/>
GitHub
GitHub - microsoft/Security-101: 8 Lessons, Kick-start Your Cybersecurity Learning.
8 Lessons, Kick-start Your Cybersecurity Learning. - microsoft/Security-101
تستهای API واقعاً مهم و فوقالعاده تأثیرگذارند! یعنی نسبت به حجمشون، تأثیرشون تو رصد وضعیت سیستم خیلی زیاده. حالا برای طرفداران مارتین فاولر (فالور بازها! ) بزارید یه نقل قول ازش بگم: “تستهای API بخشی حیاتی از استراتژی تست شما هستند. آنها کمک میکنند تا اطمینان حاصل کنید که سرویسهای شما به درستی ارتباط برقرار میکنند و برنامه شما مطابق انتظار عمل میکند.”
اما من نکتهای که مایک کوهن (نویسنده و متخصص Agile) میگه رو خیلی مهمتر میدونم:
“وقتی درباره تست فکر میکنیم، معمولاً به unit_test ها فکر میکنیم. اما تستهای API میتوانند مشکلاتی را شناسایی کنند که تستهای واحد از دست میدهند، به ویژه آنهایی که مربوط به یکپارچگی و جریان دادهها هستند.”
حالا بریم سراغ ۹ مدل تست در APIها:
تست دودی (Smoke_Testing)
این تست بعد از اینکه توسعه API به پایان رسید، انجام میشه. هدفش اینه که ببینیم آیا APIها کار میکنند و چیزی خراب نشده.
چه چیزی باید در Smoke Testing تست بشه:
- - عملکرد اصلی: بررسی عملکردهای کلیدی مثل ورود به سیستم، ثبتنام و دسترسی به صفحات مهم.
- - پاسخگویی API: اطمینان از اینکه APIها به درستی پاسخ میدهند و وضعیتهای HTTP مناسب (مثل 200، 404، 500) رو برمیگردونند.
- - یکپارچگی سیستم: تأیید اینکه اجزای مختلف سیستم به درستی با هم کار میکنند.
- - نصب و راهاندازی: بررسی اینکه نرمافزار به درستی نصب و راهاندازی شده.
چه چیزی نباید در Smoke Testing تست بشه:
- - جزئیات داخلی: تست منطق داخلی و جزئیات پیادهسازی (مثل تستهای واحد).
- - سناریوهای پیچیده: تست سناریوهای پیچیده و خاص که نیاز به تستهای عمیقتر دارند.
- - عملکرد: تست بار و عملکرد (مثل Load Testing) که نیاز به آزمایشهای جداگانه دارند.
- - امنیت: تستهای امنیتی که نیاز به بررسیهای تخصصی دارند.
تست عملکردی (Functional_Testing)
در این نوع تست، یک برنامه تست بر اساس نیازهای عملکردی تهیه میشه و نتایج با آنچه انتظار میرفت مقایسه میشه.
تست یکپارچگی (Integration_Testing)
این تست چندین فراخوانی API رو با هم ترکیب میکنه تا تستهای انتها به انتها انجام بشه. ارتباطات بین سرویسها و انتقال دادهها مورد آزمایش قرار میگیره.
تست رگرسیون (Regression_Testing)
هدف این تست اینه که اطمینان حاصل کنیم که رفع اشکالات یا اضافه کردن ویژگیهای جدید، رفتارهای موجود APIها رو خراب نمیکنه.
تست بار (Load_Testing)
این تست عملکرد برنامهها رو با شبیهسازی بارهای مختلف ارزیابی میکنه. بعد از این تست، میتونیم ظرفیت برنامه رو محاسبه کنیم.
تست استرس (Stress_Test)
در این تست، به عمد بارهای سنگین به APIها وارد میکنیم و بررسی میکنیم که آیا APIها میتونند به طور عادی کار کنند یا نه.
تست امنیت (Security_Test)
این تست APIها رو در برابر همه تهدیدات خارجی ممکن آزمایش میکنه.
تست رابط کاربری (UI_Test)
این تست تعاملات رابط کاربری با APIها رو بررسی میکنه تا مطمئن بشیم که دادهها به درستی نمایش داده میشوند.
تست فاز (Fuzz_Test)
در این تست، دادههای نامعتبر یا غیرمنتظره به API وارد میشه و سعی میکنیم API رو خراب کنیم. به این ترتیب، نقاط ضعف API شناسایی میشن.
حالا که همه چیز رو میدونید، وقتشه که با قدرت به سمت تستهای API برید!
<Hossein Dadkhah/>
اما من نکتهای که مایک کوهن (نویسنده و متخصص Agile) میگه رو خیلی مهمتر میدونم:
“وقتی درباره تست فکر میکنیم، معمولاً به unit_test ها فکر میکنیم. اما تستهای API میتوانند مشکلاتی را شناسایی کنند که تستهای واحد از دست میدهند، به ویژه آنهایی که مربوط به یکپارچگی و جریان دادهها هستند.”
حالا بریم سراغ ۹ مدل تست در APIها:
تست دودی (Smoke_Testing)
این تست بعد از اینکه توسعه API به پایان رسید، انجام میشه. هدفش اینه که ببینیم آیا APIها کار میکنند و چیزی خراب نشده.
چه چیزی باید در Smoke Testing تست بشه:
- - عملکرد اصلی: بررسی عملکردهای کلیدی مثل ورود به سیستم، ثبتنام و دسترسی به صفحات مهم.
- - پاسخگویی API: اطمینان از اینکه APIها به درستی پاسخ میدهند و وضعیتهای HTTP مناسب (مثل 200، 404، 500) رو برمیگردونند.
- - یکپارچگی سیستم: تأیید اینکه اجزای مختلف سیستم به درستی با هم کار میکنند.
- - نصب و راهاندازی: بررسی اینکه نرمافزار به درستی نصب و راهاندازی شده.
چه چیزی نباید در Smoke Testing تست بشه:
- - جزئیات داخلی: تست منطق داخلی و جزئیات پیادهسازی (مثل تستهای واحد).
- - سناریوهای پیچیده: تست سناریوهای پیچیده و خاص که نیاز به تستهای عمیقتر دارند.
- - عملکرد: تست بار و عملکرد (مثل Load Testing) که نیاز به آزمایشهای جداگانه دارند.
- - امنیت: تستهای امنیتی که نیاز به بررسیهای تخصصی دارند.
تست عملکردی (Functional_Testing)
در این نوع تست، یک برنامه تست بر اساس نیازهای عملکردی تهیه میشه و نتایج با آنچه انتظار میرفت مقایسه میشه.
تست یکپارچگی (Integration_Testing)
این تست چندین فراخوانی API رو با هم ترکیب میکنه تا تستهای انتها به انتها انجام بشه. ارتباطات بین سرویسها و انتقال دادهها مورد آزمایش قرار میگیره.
تست رگرسیون (Regression_Testing)
هدف این تست اینه که اطمینان حاصل کنیم که رفع اشکالات یا اضافه کردن ویژگیهای جدید، رفتارهای موجود APIها رو خراب نمیکنه.
تست بار (Load_Testing)
این تست عملکرد برنامهها رو با شبیهسازی بارهای مختلف ارزیابی میکنه. بعد از این تست، میتونیم ظرفیت برنامه رو محاسبه کنیم.
تست استرس (Stress_Test)
در این تست، به عمد بارهای سنگین به APIها وارد میکنیم و بررسی میکنیم که آیا APIها میتونند به طور عادی کار کنند یا نه.
تست امنیت (Security_Test)
این تست APIها رو در برابر همه تهدیدات خارجی ممکن آزمایش میکنه.
تست رابط کاربری (UI_Test)
این تست تعاملات رابط کاربری با APIها رو بررسی میکنه تا مطمئن بشیم که دادهها به درستی نمایش داده میشوند.
تست فاز (Fuzz_Test)
در این تست، دادههای نامعتبر یا غیرمنتظره به API وارد میشه و سعی میکنیم API رو خراب کنیم. به این ترتیب، نقاط ضعف API شناسایی میشن.
حالا که همه چیز رو میدونید، وقتشه که با قدرت به سمت تستهای API برید!
<Hossein Dadkhah/>
👍1
🔵 عنوان مقاله
Nudge (GitHub Repo)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی اپلیکیشنی با نام "Nudge" میپردازد که وظیفه آن یادآوری به کاربران برای بهروزرسانی سیستم عامل macOS است. این اپلیکیشن به گونهای طراحی شده است که از طریق اعلانهای کاربر پسند و نه چندان مزاحم، کاربران را از وجود بهروزرسانیهای جدید آگاه میکند و به آنها توصیه میکند تا اقدام به نصب آنها نمایند. استفاده از Nudge میتواند به افزایش امنیت و کارایی سیستم کمک کند، زیرا معمولاً بهروزرسانیها شامل رفع باگها و بهبودهای امنیتی هستند. این اپلیکیشن برای سازمانهایی که مایلند تمامی دستگاههای تحت مدیریت خود را به طور یکپارچه و موثر بهروز نگه دارند، بسیار مفید است. Nudge با استفاده از رابط کاربری ساده و مؤثر، تجربه کاربری راحتی را فراهم میکند و به کاربران امکان میدهد با تعیین تنظیمات شخصی، نحوه دریافت یادآوریها را شخصیسازی کنند.
🟣لینک مقاله:
https://github.com/macadmins/nudge?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Nudge (GitHub Repo)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی اپلیکیشنی با نام "Nudge" میپردازد که وظیفه آن یادآوری به کاربران برای بهروزرسانی سیستم عامل macOS است. این اپلیکیشن به گونهای طراحی شده است که از طریق اعلانهای کاربر پسند و نه چندان مزاحم، کاربران را از وجود بهروزرسانیهای جدید آگاه میکند و به آنها توصیه میکند تا اقدام به نصب آنها نمایند. استفاده از Nudge میتواند به افزایش امنیت و کارایی سیستم کمک کند، زیرا معمولاً بهروزرسانیها شامل رفع باگها و بهبودهای امنیتی هستند. این اپلیکیشن برای سازمانهایی که مایلند تمامی دستگاههای تحت مدیریت خود را به طور یکپارچه و موثر بهروز نگه دارند، بسیار مفید است. Nudge با استفاده از رابط کاربری ساده و مؤثر، تجربه کاربری راحتی را فراهم میکند و به کاربران امکان میدهد با تعیین تنظیمات شخصی، نحوه دریافت یادآوریها را شخصیسازی کنند.
🟣لینک مقاله:
https://github.com/macadmins/nudge?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - macadmins/nudge: A tool for encouraging the installation of macOS security updates.
A tool for encouraging the installation of macOS security updates. - macadmins/nudge
🔵 عنوان مقاله
Spoofing Internal Packets for Multihomed Linux Devices (4 minute read)
🟢 خلاصه مقاله:
مقاله مورد بررسی یک آسیبپذیری در دستگاههای لینوکسی چندمنزله را تشریح میکند که میتوان از آن برای جعل و تزریق بستهها در جریانهای ارتباطی داخلی سوءاستفاده کرد. این مشکل میتواند توسط مهاجمان با دسترسی به شبکههای مجاور برای دستکاری جریان دادهها در دستگاههایی نظیر مسیریابهای NAT و ماشینهای مجازی استفاده شود. اقدامات تخفیفدهنده نظیر قوانین ضد جعل در فایروال و اتصال سوکت میتواند به محافظت در برابر این حملات کمک کند. این خلاصه اشارهای به روشهایی برای شناسایی و مقابله با تهدید مذکور میکند، که این شامل استفاده از تنظیمات امنیتی درون فایروال و دقت در نحوه برقراری اتصالات شبکه به منظور جلوگیری از دسترسیهای نامناسب است.
🟣لینک مقاله:
https://www.anvilsecure.com/blog/spoofing-internal-packets-for-multihomed-linux-devices.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Spoofing Internal Packets for Multihomed Linux Devices (4 minute read)
🟢 خلاصه مقاله:
مقاله مورد بررسی یک آسیبپذیری در دستگاههای لینوکسی چندمنزله را تشریح میکند که میتوان از آن برای جعل و تزریق بستهها در جریانهای ارتباطی داخلی سوءاستفاده کرد. این مشکل میتواند توسط مهاجمان با دسترسی به شبکههای مجاور برای دستکاری جریان دادهها در دستگاههایی نظیر مسیریابهای NAT و ماشینهای مجازی استفاده شود. اقدامات تخفیفدهنده نظیر قوانین ضد جعل در فایروال و اتصال سوکت میتواند به محافظت در برابر این حملات کمک کند. این خلاصه اشارهای به روشهایی برای شناسایی و مقابله با تهدید مذکور میکند، که این شامل استفاده از تنظیمات امنیتی درون فایروال و دقت در نحوه برقراری اتصالات شبکه به منظور جلوگیری از دسترسیهای نامناسب است.
🟣لینک مقاله:
https://www.anvilsecure.com/blog/spoofing-internal-packets-for-multihomed-linux-devices.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Anvil Secure
Spoofing Internal Packets for Multihomed Linux Devices - Anvil Secure
In short, the conntrack module, which tracks connections for the stateful firewall, does not account for the interface on which a connection was established. As a result, a firewall rule allowing…
🔵 عنوان مقاله
Permiso State of Identity Security Report 2024 (20 minute read)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی امنیت هویت پرداخته است و نشان میدهد که تقریباً نیمی از سازمانها (۴۵٪) هنوز «نگران» یا «بسیار نگران» از توانایی خود در تشخیص و محافظت در برابر حملات امنیت هویت هستند. این نگرانیها نشاندهنده یک مسئله جدی در حوزه امنیت سایبری است، که ضرورت واکنشی فوری و مؤثر را افزایش میدهد. افزایش حملات هویتی و پیچیدگیهای آنها بر اهمیت استراتژیهای امنیتی دقیقتر و فراگیرتر تأکید دارد. این مقاله همچنین بر لزوم پیادهسازی راهکارهای پیشرفتهتر امنیتی و ارتقاء سطح آمادگی سازمانها در مقابله با این تهدیدات تأکید میکند. ارائه آموزشهای لازم به کارکنان برای شناسایی و مقابله با حملات امنیتی، همراه با بهروزرسانی فناوریهای امنیتی به منظور تقویت دفاعهای سازمانی، از جمله تدابیر مهمی است که باید اتخاذ شود.
🟣لینک مقاله:
https://20407698.fs1.hubspotusercontent-na1.net/hubfs/20407698/Permiso_State_of_Identity_Security_2024%20.pdf?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Permiso State of Identity Security Report 2024 (20 minute read)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی امنیت هویت پرداخته است و نشان میدهد که تقریباً نیمی از سازمانها (۴۵٪) هنوز «نگران» یا «بسیار نگران» از توانایی خود در تشخیص و محافظت در برابر حملات امنیت هویت هستند. این نگرانیها نشاندهنده یک مسئله جدی در حوزه امنیت سایبری است، که ضرورت واکنشی فوری و مؤثر را افزایش میدهد. افزایش حملات هویتی و پیچیدگیهای آنها بر اهمیت استراتژیهای امنیتی دقیقتر و فراگیرتر تأکید دارد. این مقاله همچنین بر لزوم پیادهسازی راهکارهای پیشرفتهتر امنیتی و ارتقاء سطح آمادگی سازمانها در مقابله با این تهدیدات تأکید میکند. ارائه آموزشهای لازم به کارکنان برای شناسایی و مقابله با حملات امنیتی، همراه با بهروزرسانی فناوریهای امنیتی به منظور تقویت دفاعهای سازمانی، از جمله تدابیر مهمی است که باید اتخاذ شود.
🟣لینک مقاله:
https://20407698.fs1.hubspotusercontent-na1.net/hubfs/20407698/Permiso_State_of_Identity_Security_2024%20.pdf?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
چگونه یک سیستم رزرو بلیت هواپیما با معماری Event-Driven و Saga پیادهسازی کنیم؟
تو این مقاله توضیح دادم چطور با ترکیب Event-Driven Architecture، RabbitMQ و Saga Pattern تونستم سیستمهای رزرو بلیت هواپیما رو به یه سطح دیگه ببرم. اگه دنبال معماریهای مقیاسپذیر و پایدار هستی، حتماً این مطلب رو بخون!
لینک مقاله
DevTwitter | <mostafa jafarzadeh/>
➖➖➖➖➖➖➖➖
👑 @software_Labdon
تو این مقاله توضیح دادم چطور با ترکیب Event-Driven Architecture، RabbitMQ و Saga Pattern تونستم سیستمهای رزرو بلیت هواپیما رو به یه سطح دیگه ببرم. اگه دنبال معماریهای مقیاسپذیر و پایدار هستی، حتماً این مطلب رو بخون!
لینک مقاله
DevTwitter | <mostafa jafarzadeh/>
➖➖➖➖➖➖➖➖
👑 @software_Labdon
ویرگول
چگونه یک سیستم رزرو بلیت هواپیما با معماری Event-Driven و Saga پیادهسازی کنیم؟ - ویرگول
مقدمه:در دنیای نرمافزارهای بزرگ و توزیعشده، مدیریت تراکنشهای پیچیده و حفظ همزمانی دادهها به چالشهای مهمی تبدیل شده است. یکی از نمونههای کار…
🔥1🍓1💅1
Presentation Slides for Developers. easy to learn and use.
ابزار راحت و خوبی برای درست کردن اسلاید مخصوص برنامهنویسها :)
#slide #presentation #dev #easy #markdown #text #tools
https://sli.dev
ابزار راحت و خوبی برای درست کردن اسلاید مخصوص برنامهنویسها :)
#slide #presentation #dev #easy #markdown #text #tools
https://sli.dev
🔵 عنوان مقاله
Fortinet Warns of New Critical FortiManager Flaw Used in 0-Day Attacks (4 minute read)
🟢 خلاصه مقاله:
شرکت Fortinet از کشف یک آسیبپذیری بسیار حاد با شدت 9.8 در API FortiManager خبر داده است که امکان دسترسی و سرقت اطلاعات حساس از جمله اعتبارنامهها، فایلهای حساس و آدرسهای IP را فراهم میآورد. این نقص امنیتی مربوط به دور زدن سیستم احراز هویت در API FGFM دستگاه FortiManager است. Fortinet تایید کرده که این آسیبپذیری به صورت فعال مورد استفاده قرار گرفته است و به همین دلیل، نسخههای بهروزرسانی شده، راهکارهای کاهش دهنده خطر و نشانگرهای تهدید (IoCs) را برای مقابله با این آسیبپذیری ارائه داده است. این اقدام به منظور کمک به کاربران در محافظت از زیرساختهای IT خود و جلوگیری از سوءاستفادههای بیشتر انجام شده است.
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Fortinet Warns of New Critical FortiManager Flaw Used in 0-Day Attacks (4 minute read)
🟢 خلاصه مقاله:
شرکت Fortinet از کشف یک آسیبپذیری بسیار حاد با شدت 9.8 در API FortiManager خبر داده است که امکان دسترسی و سرقت اطلاعات حساس از جمله اعتبارنامهها، فایلهای حساس و آدرسهای IP را فراهم میآورد. این نقص امنیتی مربوط به دور زدن سیستم احراز هویت در API FGFM دستگاه FortiManager است. Fortinet تایید کرده که این آسیبپذیری به صورت فعال مورد استفاده قرار گرفته است و به همین دلیل، نسخههای بهروزرسانی شده، راهکارهای کاهش دهنده خطر و نشانگرهای تهدید (IoCs) را برای مقابله با این آسیبپذیری ارائه داده است. این اقدام به منظور کمک به کاربران در محافظت از زیرساختهای IT خود و جلوگیری از سوءاستفادههای بیشتر انجام شده است.
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Fortinet warns of new critical FortiManager flaw used in zero-day attacks
Fortinet publicly disclosed today a critical FortiManager API vulnerability, tracked as CVE-2024-47575, that was exploited in zero-day attacks to steal sensitive files containing configurations, IP addresses, and credentials for managed devices.
🔵 عنوان مقاله
The Windows Registry Adventure #4: Hives and the registry layout (35 minute read)
🟢 خلاصه مقاله:
مقالهای که بررسی شده به شرح ساختار دادههایی به نام Hive در سیستمهای رایانهای میپردازد که در ذخیرهسازی کلیدها، زیرکلیدها و مقادیر برای پیکربندی سیستم و تنظیمات کاربر به کار میروند. Hiveها بنا به کاربردشان انواع مختلفی دارند. به عنوان مثال، Hiveهای مربوط به برنامهها (application hives) که اهداف خاصی دارند و ملاحظات امنیتی خاص خود را دارا هستند. در سیستمعامل ویندوز، بارگذاری Hiveها از طریق رابطهای استانداردی مانند RegLoadKey و RegLoadAppKey انجام میشود. توجه به درستی و ایمنی فرآیند بارگذاری Hive ضروری است، زیرا این عملیات مستقیماً اثرگذار بر پیکربندی و امنیت کلی سیستم است.
🟣لینک مقاله:
https://googleprojectzero.blogspot.com/2024/10/the-windows-registry-adventure-4-hives.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Windows Registry Adventure #4: Hives and the registry layout (35 minute read)
🟢 خلاصه مقاله:
مقالهای که بررسی شده به شرح ساختار دادههایی به نام Hive در سیستمهای رایانهای میپردازد که در ذخیرهسازی کلیدها، زیرکلیدها و مقادیر برای پیکربندی سیستم و تنظیمات کاربر به کار میروند. Hiveها بنا به کاربردشان انواع مختلفی دارند. به عنوان مثال، Hiveهای مربوط به برنامهها (application hives) که اهداف خاصی دارند و ملاحظات امنیتی خاص خود را دارا هستند. در سیستمعامل ویندوز، بارگذاری Hiveها از طریق رابطهای استانداردی مانند RegLoadKey و RegLoadAppKey انجام میشود. توجه به درستی و ایمنی فرآیند بارگذاری Hive ضروری است، زیرا این عملیات مستقیماً اثرگذار بر پیکربندی و امنیت کلی سیستم است.
🟣لینک مقاله:
https://googleprojectzero.blogspot.com/2024/10/the-windows-registry-adventure-4-hives.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Blogspot
The Windows Registry Adventure #4: Hives and the registry layout
Posted by Mateusz Jurczyk, Google Project Zero To a normal user or even a Win32 application developer, the registry layout may seem si...
🔵 عنوان مقاله
EasyDMARC (Product Launch)
🟢 خلاصه مقاله:
EasyDMARC یک ابزار امنیتی است که به حفظ امنیت دامنه و زیرساختهای ایمیل کمک میکند. این سیستم اطمینان میدهد که ایمیلهایی که از یک دامنه ارسال میشوند معتبر بوده و در نتیجه، از حملات فیشینگ جلوگیری میکند. همچنین، با استفاده از EasyDMARC، ارسال ایمیلها بهبود یافته و دلیوریبیلیتی (قابلیت رسیدن به مقصد) ایمیلها افزایش پیدا میکند. این فرایند از طریق تایید هویت ایمیلها و اطمینان از اصالت آنها انجام میپذیرد، که در نهایت به حفظ اعتبار و امنیت کلی دامنه کمک شایانی میکند. EasyDMARC یک راهکار موثر برای کسبوکارها است تا از دادهها و ارتباطات خود در برابر دستاندازیهای احتمالی محافظت کنند.
🟣لینک مقاله:
https://easydmarc.com/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
EasyDMARC (Product Launch)
🟢 خلاصه مقاله:
EasyDMARC یک ابزار امنیتی است که به حفظ امنیت دامنه و زیرساختهای ایمیل کمک میکند. این سیستم اطمینان میدهد که ایمیلهایی که از یک دامنه ارسال میشوند معتبر بوده و در نتیجه، از حملات فیشینگ جلوگیری میکند. همچنین، با استفاده از EasyDMARC، ارسال ایمیلها بهبود یافته و دلیوریبیلیتی (قابلیت رسیدن به مقصد) ایمیلها افزایش پیدا میکند. این فرایند از طریق تایید هویت ایمیلها و اطمینان از اصالت آنها انجام میپذیرد، که در نهایت به حفظ اعتبار و امنیت کلی دامنه کمک شایانی میکند. EasyDMARC یک راهکار موثر برای کسبوکارها است تا از دادهها و ارتباطات خود در برابر دستاندازیهای احتمالی محافظت کنند.
🟣لینک مقاله:
https://easydmarc.com/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
EasyDMARC
EasyDMARC | Your DMARC Journey Made Simple
Your smart DMARC reporting and monitoring platform. Ensure domain-level security and email deliverability with EasyDMARC’s DMARC, SPF, DKIM, and BIMI services.
🔵 عنوان مقاله
Admins better Spring into action over latest critical open source vuln (3 minute read)
🟢 خلاصه مقاله:
CVE-2024-38821 است، نقص امنیتی حیاتی جدید در اپلیکیشنهای Spring WebFlux که تنها در پیکربندیهای خاصی تأثیر میگذارد. این آسیبپذیری با درجه بندی 9.1 توسط اسپرینگ و به عنوان خطر متوسط با درجه 7.4 توسط رد هت دستهبندی شده است، به دلیل دامنه محدود تأثیرش. CVE-2024-38821 فقط بر اپلیکیشنهایی که از WebFlux استفاده میکنند و دارای منابع ثابت و قوانین مجوز غیر-PermitAll هستند، تأثیر میگذارد. این نکته مهم در ارتقاء امنیت برنامههای کاربردی است که نیازمند توجه و اقدام به روزرسانی فوری را دارد تا از بروز خطرات امنیتی جدی پیشگیری شود.
🟣لینک مقاله:
https://www.theregister.com/2024/10/29/admins_spring_into_action_over/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Admins better Spring into action over latest critical open source vuln (3 minute read)
🟢 خلاصه مقاله:
CVE-2024-38821 است، نقص امنیتی حیاتی جدید در اپلیکیشنهای Spring WebFlux که تنها در پیکربندیهای خاصی تأثیر میگذارد. این آسیبپذیری با درجه بندی 9.1 توسط اسپرینگ و به عنوان خطر متوسط با درجه 7.4 توسط رد هت دستهبندی شده است، به دلیل دامنه محدود تأثیرش. CVE-2024-38821 فقط بر اپلیکیشنهایی که از WebFlux استفاده میکنند و دارای منابع ثابت و قوانین مجوز غیر-PermitAll هستند، تأثیر میگذارد. این نکته مهم در ارتقاء امنیت برنامههای کاربردی است که نیازمند توجه و اقدام به روزرسانی فوری را دارد تا از بروز خطرات امنیتی جدی پیشگیری شود.
🟣لینک مقاله:
https://www.theregister.com/2024/10/29/admins_spring_into_action_over/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Register
Admins better Spring into action over latest critical open source vuln
Patch up: The Spring framework dominates the Java ecosystem
🔵 عنوان مقاله
Five Eyes launch shared security advice campaign for tech startups (2 minute read)
🟢 خلاصه مقاله:
مقالهای که مورد بررسی قرار گرفته به موضوع همکاری میان پنج چشم (Five Eyes)، شراکت اطلاعاتی مشترک میان پنج کشور، اشاره دارد که راهنمایی امنیتی مشترک تحت عنوان "نوآوری ایمن" را منتشر کردهاند. هدف از این راهنما حفاظت از استارتاپهای فناوری در برابر تهدیدات دولتهای ملی است. این اقدام به استارتاپها کمک میکند تا از دادهها و نوآوریهای خود در برابر دخالتهای خارجی و سرقت اطلاعاتی محافظت کنند. راهنمای "نوآوری ایمن" شامل اصول و توصیههایی است که به شرکتهای نوپا امکان میدهد امنیت سایبری و فیزیکی خود را تقویت کنند. این ابتکار عمل نه تنها به شرکتهای در مراحل اولیه کمک میکند که محیطهای کاری خود را امنتر کنند، بلکه به تقویت امنیت ملی کشورهای عضو نیز میانجامد. از این طریق، پنج چشم امیدوار است تاثیر تهدیدات سایبری بینالمللی را کاهش دهد و اکوسیستم فناوری جهانی را تقویت کند.
🟣لینک مقاله:
https://www.ncsc.gov.uk/news/five-eyes-launch-shared-advice-tech-startups?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Five Eyes launch shared security advice campaign for tech startups (2 minute read)
🟢 خلاصه مقاله:
مقالهای که مورد بررسی قرار گرفته به موضوع همکاری میان پنج چشم (Five Eyes)، شراکت اطلاعاتی مشترک میان پنج کشور، اشاره دارد که راهنمایی امنیتی مشترک تحت عنوان "نوآوری ایمن" را منتشر کردهاند. هدف از این راهنما حفاظت از استارتاپهای فناوری در برابر تهدیدات دولتهای ملی است. این اقدام به استارتاپها کمک میکند تا از دادهها و نوآوریهای خود در برابر دخالتهای خارجی و سرقت اطلاعاتی محافظت کنند. راهنمای "نوآوری ایمن" شامل اصول و توصیههایی است که به شرکتهای نوپا امکان میدهد امنیت سایبری و فیزیکی خود را تقویت کنند. این ابتکار عمل نه تنها به شرکتهای در مراحل اولیه کمک میکند که محیطهای کاری خود را امنتر کنند، بلکه به تقویت امنیت ملی کشورهای عضو نیز میانجامد. از این طریق، پنج چشم امیدوار است تاثیر تهدیدات سایبری بینالمللی را کاهش دهد و اکوسیستم فناوری جهانی را تقویت کند.
🟣لینک مقاله:
https://www.ncsc.gov.uk/news/five-eyes-launch-shared-advice-tech-startups?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.ncsc.gov.uk
Five Eyes launch shared security advice campaign for tech startups
The Secure Innovation security guidance is being utilised across the Five Eyes intelligence partnership demonstrating the increased commitment between the nations.
🔵 عنوان مقاله
CISO Conversations: Julien Soriano (Box) and Chris Peake (Smartsheet) (10 minute read)
🟢 خلاصه مقاله:
این مقاله به معرفی و تحلیل پروفایل دو مدیر ارشد امنیت اطلاعات (CISO) میپردازد و مسیر شغلی، توسعه رهبری و دیدگاههای آنها نسبت به نقشهای مدرن CISO را بررسی میکند. در این مقاله به موضوعاتی نظیر ساخت تیم، مربیگری و مشاورههایی که آنها دریافت کردهاند و توصیههایی که آنها خودشان ارائه میدهند، پرداخته شده است. بخشی از مقاله نیز به بحث در مورد تهدیدات نوظهور در امنیت سایبری اختصاص یافته، که شامل روشهای حمله در حال تکامل و چالشهای مربوط به حفاظت از دادهها میشود. این بررسیها به خواننده کمک میکند تا درک بهتری از وظایف و چالشهایی که CISOها با آن مواجه هستند، به دست آورد و نیز از تجربیات و دیدگاههای موفق آنها در عرصه رهبری امنیت سایبری بهرهمند شود.
🟣لینک مقاله:
https://www.securityweek.com/ciso-conversations-julien-soriano-box-and-chris-peake-smartsheet/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CISO Conversations: Julien Soriano (Box) and Chris Peake (Smartsheet) (10 minute read)
🟢 خلاصه مقاله:
این مقاله به معرفی و تحلیل پروفایل دو مدیر ارشد امنیت اطلاعات (CISO) میپردازد و مسیر شغلی، توسعه رهبری و دیدگاههای آنها نسبت به نقشهای مدرن CISO را بررسی میکند. در این مقاله به موضوعاتی نظیر ساخت تیم، مربیگری و مشاورههایی که آنها دریافت کردهاند و توصیههایی که آنها خودشان ارائه میدهند، پرداخته شده است. بخشی از مقاله نیز به بحث در مورد تهدیدات نوظهور در امنیت سایبری اختصاص یافته، که شامل روشهای حمله در حال تکامل و چالشهای مربوط به حفاظت از دادهها میشود. این بررسیها به خواننده کمک میکند تا درک بهتری از وظایف و چالشهایی که CISOها با آن مواجه هستند، به دست آورد و نیز از تجربیات و دیدگاههای موفق آنها در عرصه رهبری امنیت سایبری بهرهمند شود.
🟣لینک مقاله:
https://www.securityweek.com/ciso-conversations-julien-soriano-box-and-chris-peake-smartsheet/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
SecurityWeek
CISO Conversations: Julien Soriano (Box) and Chris Peake (Smartsheet)
CISOs from Box and Smartsheet discuss the route toward, the role within, and the future of being a successful CISO.
Forwarded from FingerCoder | فینگرکدر (Amir)
🔥 کد & کافی شیراز - دورهمی پنجم ☕️
برنامهنویسها و عاشقان فناوری، آمادهاید؟ 🤩
پنجشنبه 8 آذر، قراره توی پنجمین دورهمی Code & Coffee شیراز دور هم جمع بشیم و حسابی با هم گپ بزنیم! 😍
📍 کجا؟ سالن کوآنتوم، ساختمان مدیریت دانشگاه شیراز
⏰ کی؟ پنجشنبه 8 آذر، ساعت 4 تا 6 عصر
این بار هم مثل همیشه، کلی بحث جذاب و چالشهای برنامهنویسی منتظرته. از تجربههای واقعی توی دنیای کدنویسی گرفته تا کلی نکات خفن برای بهتر شدن توی کاری که عاشقش هستی! 👨💻👩💻
💼 چرا بیای؟
یه عالمه برنامهنویس دیگه مثل خودت رو میشناسی. 🤝
کلی ایده و تجربه از هم یاد میگیریم. 🧠
شاید شغل یا پروژه بعدی زندگیت همینجا باشه! 💼✨
🎯 موضوع این دورهمی؟
قراره درباره software architecture صحبت کنیم! البته که بوی قهوه هم مثل همیشه انرژی ما رو دوچندان میکنه! ☕️✨
📢 پس منتظر چی هستی؟ همین الان ثبتنام کن:
https://tilin.ir/SH_CodeAndCoffee5 👉 لینک ثبتنام
بیایید کنار هم از دنیای برنامهنویسی لذت ببریم! 🎉
منتظرت هستیم! 💻❤️
برنامهنویسها و عاشقان فناوری، آمادهاید؟ 🤩
پنجشنبه 8 آذر، قراره توی پنجمین دورهمی Code & Coffee شیراز دور هم جمع بشیم و حسابی با هم گپ بزنیم! 😍
📍 کجا؟ سالن کوآنتوم، ساختمان مدیریت دانشگاه شیراز
⏰ کی؟ پنجشنبه 8 آذر، ساعت 4 تا 6 عصر
این بار هم مثل همیشه، کلی بحث جذاب و چالشهای برنامهنویسی منتظرته. از تجربههای واقعی توی دنیای کدنویسی گرفته تا کلی نکات خفن برای بهتر شدن توی کاری که عاشقش هستی! 👨💻👩💻
💼 چرا بیای؟
یه عالمه برنامهنویس دیگه مثل خودت رو میشناسی. 🤝
کلی ایده و تجربه از هم یاد میگیریم. 🧠
شاید شغل یا پروژه بعدی زندگیت همینجا باشه! 💼✨
🎯 موضوع این دورهمی؟
قراره درباره software architecture صحبت کنیم! البته که بوی قهوه هم مثل همیشه انرژی ما رو دوچندان میکنه! ☕️✨
📢 پس منتظر چی هستی؟ همین الان ثبتنام کن:
https://tilin.ir/SH_CodeAndCoffee5 👉 لینک ثبتنام
بیایید کنار هم از دنیای برنامهنویسی لذت ببریم! 🎉
منتظرت هستیم! 💻❤️
Do you think you can write a program to handle 1 billion rows ?
این مسابقه جالبیه برای اینکه ببینید میتونید با سرعت بیشتر ۱ میلیارد رکورد توی یک فایل رو بخونید و کمترین و بیشترین و میانگینش رو تو خروجی تولید کنید. البته که مسابقه اصلی با زبان جاواعه ولی بقیه زبونها هم میتونید شرکت کنید :)
#challenge #java #billion #contest #file #database #index
https://1brc.dev
این مسابقه جالبیه برای اینکه ببینید میتونید با سرعت بیشتر ۱ میلیارد رکورد توی یک فایل رو بخونید و کمترین و بیشترین و میانگینش رو تو خروجی تولید کنید. البته که مسابقه اصلی با زبان جاواعه ولی بقیه زبونها هم میتونید شرکت کنید :)
#challenge #java #billion #contest #file #database #index
https://1brc.dev
1brc.dev
1 Billion Row Challenge
Calculate the min, max, and average of 1 billion measurements
تکنیک S3 Bucket Namesquatting چیز جدیدی نیست و چندین سالی است که در بخش Misconfigurations طبقه بندی می شود.
چیزی که دوست داشتم اطلاع رسانی کنم این است که تحت هیچ شرایطی از نامهای قابل پیشبینی برای Bucketها، حتی در حالت Self hosted هم استفاده نکنید!
https://www.securityrunners.io/post/stop-using-predictable-bucket-names-a-failed-attempt-at-hacking-satellites
<Vahid Nameni/>
➖➖➖➖➖➖➖➖
چیزی که دوست داشتم اطلاع رسانی کنم این است که تحت هیچ شرایطی از نامهای قابل پیشبینی برای Bucketها، حتی در حالت Self hosted هم استفاده نکنید!
https://www.securityrunners.io/post/stop-using-predictable-bucket-names-a-failed-attempt-at-hacking-satellites
<Vahid Nameni/>
➖➖➖➖➖➖➖➖
www.securityrunners.io
Stop Using Predictable Bucket Names: A Failed Attempt at Hacking Satellites
This blog discusses the security risks of S3 bucket namesquatting in AWS, where attackers could potentially exploit predictable bucket naming patterns that include region names, and documents the author's research finding buckets pre-created for non-existent…
🔵 عنوان مقاله
Exception Junction - Where All Vectors Meet Their Handler (10 minute read)
🟢 خلاصه مقاله:
مکانیزم Vectored Exception Handler (VEH) در ویندوز به عنوان یک سیستم جهانی برای مدیریت استثنائات عمل میکند و دارای محدودیتهای کمتری نسبت به Structured Exception Handling (SEH) است. این مقاله کدی را فراهم میکند که به صورت دینامیکی موقعیت ثبت یک VEH سفارشی را شناسایی میکند و پیچیدگیهای مرتبط با این فرآیند را بررسی میکند. علاوه بر آن، یک قانون YARA برای تشخیص الگوی ثبت شده ارائه شده است. این اطلاعات به توسعهدهندگان کمک میکند تا درک بهتری از چگونگی کار با VEH در محیطهای ویندوز داشته باشند و امکان شناسایی و تجزیه و تحلیل نمونههایی که از این مکانیزم استفاده میکنند را فراهم میآورد.
🟣لینک مقاله:
https://bruteratel.com/research/2024/10/20/Exception-Junction/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Exception Junction - Where All Vectors Meet Their Handler (10 minute read)
🟢 خلاصه مقاله:
مکانیزم Vectored Exception Handler (VEH) در ویندوز به عنوان یک سیستم جهانی برای مدیریت استثنائات عمل میکند و دارای محدودیتهای کمتری نسبت به Structured Exception Handling (SEH) است. این مقاله کدی را فراهم میکند که به صورت دینامیکی موقعیت ثبت یک VEH سفارشی را شناسایی میکند و پیچیدگیهای مرتبط با این فرآیند را بررسی میکند. علاوه بر آن، یک قانون YARA برای تشخیص الگوی ثبت شده ارائه شده است. این اطلاعات به توسعهدهندگان کمک میکند تا درک بهتری از چگونگی کار با VEH در محیطهای ویندوز داشته باشند و امکان شناسایی و تجزیه و تحلیل نمونههایی که از این مکانیزم استفاده میکنند را فراهم میآورد.
🟣لینک مقاله:
https://bruteratel.com/research/2024/10/20/Exception-Junction/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Brute Ratel C4
Exception Junction - Where All Exceptions Meet Their Handler
This blog is in relation to some of the hurdles I’ve met while debugging and researching various new features for Brute Ratel. Before we get started, let me inform you that this blog is not for beginners. It requires some knowledge about Windows internals…