🔵 عنوان مقاله
Redis Warns of Critical Flaw Impacting Thousands of Instances (2 minute read)
🟢 خلاصه مقاله:
Redis یک آسیبپذیری بحرانی با امتیاز CVSS 10.0 را وصله کرده که میتواند به اجرای کد از راه دور (RCE) منجر شود. ریشه مشکل یک نقص ۱۳ ساله از نوع use-after-free است که توسط مهاجمِ دارای دسترسی معتبر و از طریق یک اسکریپت Lua ویژه قابل سوءاستفاده است. Redis توصیه میکند فوراً وصلهها اعمال شوند و برای کاهش ریسک، احراز هویت فعال شود، Lua scripting و فرمانهای غیرضروری غیرفعال شوند و دسترسی شبکهای محدود گردد. همچنین پایش فعالیتهای مشکوک Lua، استفاده از ACLهای سختگیرانه و چرخش گذرواژهها در صورت ظن به نفوذ پیشنهاد میشود.
#Redis #Security #Vulnerability #RCE #Lua #CVSS #PatchManagement #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Redis Warns of Critical Flaw Impacting Thousands of Instances (2 minute read)
🟢 خلاصه مقاله:
Redis یک آسیبپذیری بحرانی با امتیاز CVSS 10.0 را وصله کرده که میتواند به اجرای کد از راه دور (RCE) منجر شود. ریشه مشکل یک نقص ۱۳ ساله از نوع use-after-free است که توسط مهاجمِ دارای دسترسی معتبر و از طریق یک اسکریپت Lua ویژه قابل سوءاستفاده است. Redis توصیه میکند فوراً وصلهها اعمال شوند و برای کاهش ریسک، احراز هویت فعال شود، Lua scripting و فرمانهای غیرضروری غیرفعال شوند و دسترسی شبکهای محدود گردد. همچنین پایش فعالیتهای مشکوک Lua، استفاده از ACLهای سختگیرانه و چرخش گذرواژهها در صورت ظن به نفوذ پیشنهاد میشود.
#Redis #Security #Vulnerability #RCE #Lua #CVSS #PatchManagement #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Redis warns of critical flaw impacting thousands of instances
The Redis security team has released patches for a maximum severity vulnerability that could allow attackers to gain remote code execution on thousands of vulnerable instances.
🔵 عنوان مقاله
Mastering Pytest: The Complete Guide to Modern Python Testing
🟢 خلاصه مقاله:
این مقاله با عنوان Mastering Pytest: The Complete Guide to Modern Python Testing مروری جامع و عملی بر Pytest برای توسعهدهندگان Python ارائه میدهد. نویسنده، Sharath Chandran، از راهاندازی و ساختار پروژه تا امکانات کلیدی مانند fixtures، parametrization، markers و assertهای خوانا را پوشش میدهد و سپس به مباحث پیشرفتهای مثل افزونههای pytest-cov و pytest-xdist، استفاده از Hypothesis برای property-based testing، mocking با unittest.mock یا pytest-mock، تستهای async و ابزارهایی مانند tmp_path و monkeypatch میپردازد. همچنین ادغام تستها با CI/CD (مانند GitHub Actions و GitLab CI و Jenkins)، تولید گزارشها و اعمال آستانههای coverage و نکات بهترینروشها برای ساخت تستهای سریع، پایدار و قابلنگهداری توضیح داده میشود. نتیجه اینکه چه برای شروع با Pytest و چه برای ارتقای مهارتها، این راهنما الگوها و نکات کاربردی لازم برای مدرنسازی فرآیند تست در Python را فراهم میکند.
#Pytest #Python #Testing #TestAutomation #SoftwareTesting #TDD #CICD
🟣لینک مقاله:
https://cur.at/5l6Ats4?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mastering Pytest: The Complete Guide to Modern Python Testing
🟢 خلاصه مقاله:
این مقاله با عنوان Mastering Pytest: The Complete Guide to Modern Python Testing مروری جامع و عملی بر Pytest برای توسعهدهندگان Python ارائه میدهد. نویسنده، Sharath Chandran، از راهاندازی و ساختار پروژه تا امکانات کلیدی مانند fixtures، parametrization، markers و assertهای خوانا را پوشش میدهد و سپس به مباحث پیشرفتهای مثل افزونههای pytest-cov و pytest-xdist، استفاده از Hypothesis برای property-based testing، mocking با unittest.mock یا pytest-mock، تستهای async و ابزارهایی مانند tmp_path و monkeypatch میپردازد. همچنین ادغام تستها با CI/CD (مانند GitHub Actions و GitLab CI و Jenkins)، تولید گزارشها و اعمال آستانههای coverage و نکات بهترینروشها برای ساخت تستهای سریع، پایدار و قابلنگهداری توضیح داده میشود. نتیجه اینکه چه برای شروع با Pytest و چه برای ارتقای مهارتها، این راهنما الگوها و نکات کاربردی لازم برای مدرنسازی فرآیند تست در Python را فراهم میکند.
#Pytest #Python #Testing #TestAutomation #SoftwareTesting #TDD #CICD
🟣لینک مقاله:
https://cur.at/5l6Ats4?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Mastering Pytest: The Complete Guide to Modern Python Testing
Why Your Python Projects Need Pytest (And How to Use It Like a Pro)
🔵 عنوان مقاله
API Testing vs Browser Automation
🟢 خلاصه مقاله:
دغدغه انتخاب بین API Testing و Browser Automation در وباپها با یک رویکرد ترکیبی حل میشود: بیشترین پوشش را با تستهای سریع و پایدار API بگیرید و تعداد کمی سناریوی UI انتهابهانتها را برای مسیرهای واقعاً حیاتی نگه دارید. API Testing برای قوانین کسبوکار، اعتبارسنجی داده، احراز هویت/مجوزها و Contract Tests سریع و قابل اتکاست؛ در مقابل، UI فقط برای چیزی که صرفاً UI میتواند ثابت کند ارزش دارد: تجربه کاربر، رندر، مسیرها و رفتار واقعی مرورگر. برای کاهش شکنندگی، دادهسازی/پاکسازی را از طریق API انجام دهید، سرویسهای ثالث را Stub/Mock کنید، بین سرویسها Contract Tests داشته باشید و لایه UI را کوچک اما پرارزش حفظ کنید. معیار تصمیمگیری ساده است: اگر پرسش درباره درستبودن منطق است، API؛ اگر درباره تکمیلشدن سفر واقعی کاربر است، UI. با رصد زمان اجرا و نرخ فِلِیک در CI، مجموعه تست را پیوسته بهینه کنید تا هم بازخورد سریع بماند و هم اطمینان عملی بالا برود.
#APITesting #BrowserAutomation #TestAutomation #EndToEndTesting #TestingPyramid #QA #CICD #SoftwareTesting
🟣لینک مقاله:
https://cur.at/Efk7ahy?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
API Testing vs Browser Automation
🟢 خلاصه مقاله:
دغدغه انتخاب بین API Testing و Browser Automation در وباپها با یک رویکرد ترکیبی حل میشود: بیشترین پوشش را با تستهای سریع و پایدار API بگیرید و تعداد کمی سناریوی UI انتهابهانتها را برای مسیرهای واقعاً حیاتی نگه دارید. API Testing برای قوانین کسبوکار، اعتبارسنجی داده، احراز هویت/مجوزها و Contract Tests سریع و قابل اتکاست؛ در مقابل، UI فقط برای چیزی که صرفاً UI میتواند ثابت کند ارزش دارد: تجربه کاربر، رندر، مسیرها و رفتار واقعی مرورگر. برای کاهش شکنندگی، دادهسازی/پاکسازی را از طریق API انجام دهید، سرویسهای ثالث را Stub/Mock کنید، بین سرویسها Contract Tests داشته باشید و لایه UI را کوچک اما پرارزش حفظ کنید. معیار تصمیمگیری ساده است: اگر پرسش درباره درستبودن منطق است، API؛ اگر درباره تکمیلشدن سفر واقعی کاربر است، UI. با رصد زمان اجرا و نرخ فِلِیک در CI، مجموعه تست را پیوسته بهینه کنید تا هم بازخورد سریع بماند و هم اطمینان عملی بالا برود.
#APITesting #BrowserAutomation #TestAutomation #EndToEndTesting #TestingPyramid #QA #CICD #SoftwareTesting
🟣لینک مقاله:
https://cur.at/Efk7ahy?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Reddit
From the QualityAssurance community on Reddit
Explore this post and more from the QualityAssurance community
👍1
🔵 عنوان مقاله
Cyber giant F5 Networks says government hackers had 'long-term' access to its systems, stole code and customer data (3 minute read)
🟢 خلاصه مقاله:
F5 Networks اعلام کرد یک گروه هکری وابسته به دولت برای مدتی طولانی به بخشی از سامانههای داخلی آن دسترسی داشته و در این مدت «کد منبع» و دادههای مشتریان را سرقت کرده است. این نفوذ به حوزههای کلیدی توسعه محصول رسیده و پیکربندیهای حساس برخی مشتریان را نیز افشا کرده است. F5 ضمن مهار حادثه و انتشار وصلههای امنیتی هشدار داده که بیش از ۱۰۰۰ شرکت، ازجمله بسیاری از شرکتهای Fortune 500، ممکن است در معرض خطر باشند.
#CyberSecurity #DataBreach #F5Networks #APT #SupplyChainRisk #Infosec #IncidentResponse
🟣لینک مقاله:
https://techcrunch.com/2025/10/15/cyber-giant-f5-networks-says-government-hackers-had-long-term-access-to-its-systems-stole-code-and-customer-data/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cyber giant F5 Networks says government hackers had 'long-term' access to its systems, stole code and customer data (3 minute read)
🟢 خلاصه مقاله:
F5 Networks اعلام کرد یک گروه هکری وابسته به دولت برای مدتی طولانی به بخشی از سامانههای داخلی آن دسترسی داشته و در این مدت «کد منبع» و دادههای مشتریان را سرقت کرده است. این نفوذ به حوزههای کلیدی توسعه محصول رسیده و پیکربندیهای حساس برخی مشتریان را نیز افشا کرده است. F5 ضمن مهار حادثه و انتشار وصلههای امنیتی هشدار داده که بیش از ۱۰۰۰ شرکت، ازجمله بسیاری از شرکتهای Fortune 500، ممکن است در معرض خطر باشند.
#CyberSecurity #DataBreach #F5Networks #APT #SupplyChainRisk #Infosec #IncidentResponse
🟣لینک مقاله:
https://techcrunch.com/2025/10/15/cyber-giant-f5-networks-says-government-hackers-had-long-term-access-to-its-systems-stole-code-and-customer-data/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
Cyber giant F5 Networks says government hackers had 'long-term' access to its systems, stole code and customer data | TechCrunch
The company, which provides cybersecurity defenses to most of the Fortune 500, said the DOJ allowed it to delay notifying the public on national security grounds.
🔵 عنوان مقاله
Google's AI bounty program pays bug hunters up to $30K (2 minute read)
🟢 خلاصه مقاله:
Google یک برنامه باگبانتی ویژه امنیت AI راهاندازی کرده که برای کشف آسیبپذیریهایی که میتوانند به اقدامات ناخواسته، دسترسی غیرمجاز به حسابها یا نشت دادهها منجر شوند، تا ۳۰هزار دلار پاداش میدهد. تمرکز برنامه بر نقصهایی است که سوءاستفاده از رفتار مدل یا یکپارچهسازیهای مرتبط را ممکن میکنند. میزان پاداش بر اساس شدت و اثرگذاری واقعی تعیین میشود و هدف، تقویت امنیت، جلوگیری از سوءاستفاده و ترویج گزارشدهی مسئولانه است.
#Google #AI #BugBounty #CyberSecurity #VulnerabilityDisclosure #EthicalHacking #DataPrivacy
🟣لینک مقاله:
https://www.theverge.com/news/793362/google-ai-security-vulnerability-rewards?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Google's AI bounty program pays bug hunters up to $30K (2 minute read)
🟢 خلاصه مقاله:
Google یک برنامه باگبانتی ویژه امنیت AI راهاندازی کرده که برای کشف آسیبپذیریهایی که میتوانند به اقدامات ناخواسته، دسترسی غیرمجاز به حسابها یا نشت دادهها منجر شوند، تا ۳۰هزار دلار پاداش میدهد. تمرکز برنامه بر نقصهایی است که سوءاستفاده از رفتار مدل یا یکپارچهسازیهای مرتبط را ممکن میکنند. میزان پاداش بر اساس شدت و اثرگذاری واقعی تعیین میشود و هدف، تقویت امنیت، جلوگیری از سوءاستفاده و ترویج گزارشدهی مسئولانه است.
#Google #AI #BugBounty #CyberSecurity #VulnerabilityDisclosure #EthicalHacking #DataPrivacy
🟣لینک مقاله:
https://www.theverge.com/news/793362/google-ai-security-vulnerability-rewards?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Verge
Google’s AI bounty program pays bug hunters up to $30K
Can you convince an LLM to unlock someone else’s door?
🔵 عنوان مقاله
How We Utilize AI Agents in Our Testing and Quality Processes
🟢 خلاصه مقاله:
این مقاله با روایت Utku Kılınçcı چهار کاربرد عملی از بهکارگیری AI agents در تست و تضمین کیفیت را توضیح میدهد: ۱) تبدیل نیازمندیها به تستهای قابل اجرا و بهروزرسانی مداوم سبد تست با تغییرات مشخصات، ۲) نقش همکار اکتشافی برای کشف سناریوهای مرزی، ثبت شواهد و بازتولید مشکل، ۳) تحلیل و اولویتبندی باگها از طریق خلاصهسازی لاگها، خوشهبندی خطاها و ارائه سرنخهای ریشهیابی، و ۴) بهبود پایداری رگرسیون و درگاههای کیفی CI با شناسایی تستهای flaky، پیشنهاد خوددرمانی و بهینهسازی پایپلاین. در همه موارد، نظارت انسانی، رعایت حریم داده و سنجش نتایج (پوشش، MTTR، روند flakiness و زمان چرخه) ضروری است. نتیجه: پذیرش تدریجی AI agents روی مسائل واقعی، سرعت، پایداری و پوشش تست را بهطور ملموس افزایش میدهد بیآنکه مالکیت کیفیت را تضعیف کند.
#SoftwareTesting #AIagents #QualityAssurance #TestAutomation #BugTriage #ContinuousIntegration #SoftwareQuality #DevOps
🟣لینک مقاله:
https://cur.at/qRpZzn9?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
How We Utilize AI Agents in Our Testing and Quality Processes
🟢 خلاصه مقاله:
این مقاله با روایت Utku Kılınçcı چهار کاربرد عملی از بهکارگیری AI agents در تست و تضمین کیفیت را توضیح میدهد: ۱) تبدیل نیازمندیها به تستهای قابل اجرا و بهروزرسانی مداوم سبد تست با تغییرات مشخصات، ۲) نقش همکار اکتشافی برای کشف سناریوهای مرزی، ثبت شواهد و بازتولید مشکل، ۳) تحلیل و اولویتبندی باگها از طریق خلاصهسازی لاگها، خوشهبندی خطاها و ارائه سرنخهای ریشهیابی، و ۴) بهبود پایداری رگرسیون و درگاههای کیفی CI با شناسایی تستهای flaky، پیشنهاد خوددرمانی و بهینهسازی پایپلاین. در همه موارد، نظارت انسانی، رعایت حریم داده و سنجش نتایج (پوشش، MTTR، روند flakiness و زمان چرخه) ضروری است. نتیجه: پذیرش تدریجی AI agents روی مسائل واقعی، سرعت، پایداری و پوشش تست را بهطور ملموس افزایش میدهد بیآنکه مالکیت کیفیت را تضعیف کند.
#SoftwareTesting #AIagents #QualityAssurance #TestAutomation #BugTriage #ContinuousIntegration #SoftwareQuality #DevOps
🟣لینک مقاله:
https://cur.at/qRpZzn9?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
How We Utilize AI Agents in Our Testing and Quality Processes
Hello everyone. In this article, We will try to explain how we utilize AI tools in our team at Trendyol. The purpose of this article is to…
میخوام دو تا از عجیب ترین Http status code هایی که وجود داشته و داره رو بگم
احتمالا درمورد Http Status Code 418 شنیده باشین.
418 (I'm a teapot)
داره میگه من قوری ام! جالب تر از اینکه چرا وجود داره و میگه من قوری ام اینه که به طور رسمی این http status code تو RFC 2324 ثبت شده!
این یکی رسمی نیست اصلا ولی تو Twitter API v1 ازش استفاده شده بود.
420 (Enhance your calm)
برای اینکه بگن آقا زیاد داری درخواست میفرستی از این استفاده میکردن
بعدا چون تو استاندارد نبود تو v1.1 اومدن تبدیلش کردن به 429 (Too many requests).
<Ali Valizadeh/>
احتمالا درمورد Http Status Code 418 شنیده باشین.
418 (I'm a teapot)
داره میگه من قوری ام! جالب تر از اینکه چرا وجود داره و میگه من قوری ام اینه که به طور رسمی این http status code تو RFC 2324 ثبت شده!
این یکی رسمی نیست اصلا ولی تو Twitter API v1 ازش استفاده شده بود.
420 (Enhance your calm)
برای اینکه بگن آقا زیاد داری درخواست میفرستی از این استفاده میکردن
بعدا چون تو استاندارد نبود تو v1.1 اومدن تبدیلش کردن به 429 (Too many requests).
<Ali Valizadeh/>
Forwarded from VIP
🚀 به دنیای توسعه و تکنولوژی خوش اومدی!
اگر به موضوعات زیر علاقهمندی:
🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصتهای شغلی ریموت (خارجی و داخلی)
ما برات یه مجموعه کانالهای تخصصی ساختیم تا همیشه بهروز، حرفهای و الهامبخش بمونی!
📚 یادگیری، فرصت، شبکهسازی و پیشرفت، همش اینجاست...
📌 از این لینک همه چنلهامونو یهجا ببین و جوین شو:
👉 https://t.me/addlist/AJ7rh2IzIh02NTI0
اگر به موضوعات زیر علاقهمندی:
🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصتهای شغلی ریموت (خارجی و داخلی)
ما برات یه مجموعه کانالهای تخصصی ساختیم تا همیشه بهروز، حرفهای و الهامبخش بمونی!
📚 یادگیری، فرصت، شبکهسازی و پیشرفت، همش اینجاست...
📌 از این لینک همه چنلهامونو یهجا ببین و جوین شو:
👉 https://t.me/addlist/AJ7rh2IzIh02NTI0
اگر علاقهمند به امنیت دفاعی و Blue Team هستید یا میخواهید دانش خود یا سازمانتان را مورد سنجش قرار دهید،
مخزن Awesome Cybersecurity Blue Team میتواند تا حدود زیادی به شما در پیدا کردن این مسیر، به شما کمک کند!
https://github.com/fabacab/awesome-cybersecurity-blueteam
مخزن Awesome Cybersecurity Blue Team میتواند تا حدود زیادی به شما در پیدا کردن این مسیر، به شما کمک کند!
https://github.com/fabacab/awesome-cybersecurity-blueteam
GitHub
GitHub - fabacab/awesome-cybersecurity-blueteam: :computer:🛡️ A curated collection of awesome resources, tools, and other shiny…
:computer:🛡️ A curated collection of awesome resources, tools, and other shiny things for cybersecurity blue teams. - fabacab/awesome-cybersecurity-blueteam
Forwarded from Bardia & Erfan
با دو سال سابقه کار
حتی با اینکه کاراموز شرکت امازون هم بوده
شامل layoff اخیر شده و بیکار شده
متأسفانه ai خیلی قوی تر شده
و تهدید محسوب میشه
حتی با اینکه کاراموز شرکت امازون هم بوده
شامل layoff اخیر شده و بیکار شده
متأسفانه ai خیلی قوی تر شده
و تهدید محسوب میشه
🔥1🍾1
👋 درود به همه دوستان عزیز
📌 اگر شما هم مقاله، مطلب آموزشی یا هر چیزی که فکر میکنید درباره مهندسی نرم افزار و کیفیت کد و امنیت میتونه مفید باشه دارید، خوشحال میشم برام بفرستید تا با اسم خودتون توی کانال منتشر کنم.
🤝 اینطوری هم به بقیه کمک میکنید و هم محتوای ارزشمندتون بیشتر دیده میشه.
@mrbardia72
📌 اگر شما هم مقاله، مطلب آموزشی یا هر چیزی که فکر میکنید درباره مهندسی نرم افزار و کیفیت کد و امنیت میتونه مفید باشه دارید، خوشحال میشم برام بفرستید تا با اسم خودتون توی کانال منتشر کنم.
🤝 اینطوری هم به بقیه کمک میکنید و هم محتوای ارزشمندتون بیشتر دیده میشه.
@mrbardia72
Forwarded from VIP
درود به همهی دوستان عزیز 🌿
اگر پیشنهاد یا انتقادی دارید که میتونه به بهتر شدن کانالها ی زیر کمک کنه،
👉 https://t.me/addlist/AJ7rh2IzIh02NTI0
خیلی خوشحال میشم نظرتون رو بدونم و ازش استفاده کنم 🙌
میتونید از طریق آیدی زیر با من در تماس باشید:
📩 @mrbardia72
منتظر نظرات خوب و سازندهتون هستم 💬
💚🤍❤️
اگر پیشنهاد یا انتقادی دارید که میتونه به بهتر شدن کانالها ی زیر کمک کنه،
👉 https://t.me/addlist/AJ7rh2IzIh02NTI0
خیلی خوشحال میشم نظرتون رو بدونم و ازش استفاده کنم 🙌
میتونید از طریق آیدی زیر با من در تماس باشید:
📩 @mrbardia72
منتظر نظرات خوب و سازندهتون هستم 💬
💚🤍❤️
🔵 عنوان مقاله
SockTail (GitHub Repo)
🟢 خلاصه مقاله:
**
SockTail یک باینری سبک در GitHub Repo است که دستگاه را به شبکه Tailscale متصل میکند و یک پراکسی محلی SOCKS5 روی port 1080 فراهم میسازد. هدف آن سادهسازی دسترسی شبکهای در سناریوهای عملیات red team است؛ بدون نیاز به پیکربندیهای پیچیده مثل port forwarding، سرویسهای دائمی یا تونلهای پرسروصدا. با تکیه بر شبکه مش خصوصی و رمزنگاری Tailscale، دسترسی احرازشده، موقتی و کمردپا فراهم میشود و ابزارها میتوانند ترافیک خود را از طریق SOCKS5 محلی هدایت کنند، بیآنکه تغییرات عمیقی در تنظیمات سیستم ایجاد شود. استفاده از SockTail باید صرفاً در ارزیابیهای مجاز و کنترلشده انجام شود.
#SockTail #Tailscale #SOCKS5 #RedTeam #Proxy #NetworkSecurity #GitHub #OffensiveSecurity
🟣لینک مقاله:
https://github.com/Yeeb1/SockTail?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
SockTail (GitHub Repo)
🟢 خلاصه مقاله:
**
SockTail یک باینری سبک در GitHub Repo است که دستگاه را به شبکه Tailscale متصل میکند و یک پراکسی محلی SOCKS5 روی port 1080 فراهم میسازد. هدف آن سادهسازی دسترسی شبکهای در سناریوهای عملیات red team است؛ بدون نیاز به پیکربندیهای پیچیده مثل port forwarding، سرویسهای دائمی یا تونلهای پرسروصدا. با تکیه بر شبکه مش خصوصی و رمزنگاری Tailscale، دسترسی احرازشده، موقتی و کمردپا فراهم میشود و ابزارها میتوانند ترافیک خود را از طریق SOCKS5 محلی هدایت کنند، بیآنکه تغییرات عمیقی در تنظیمات سیستم ایجاد شود. استفاده از SockTail باید صرفاً در ارزیابیهای مجاز و کنترلشده انجام شود.
#SockTail #Tailscale #SOCKS5 #RedTeam #Proxy #NetworkSecurity #GitHub #OffensiveSecurity
🟣لینک مقاله:
https://github.com/Yeeb1/SockTail?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - Yeeb1/SockTail: Lightweight binary that joins a device to a Tailscale network and exposes a local SOCKS5 proxy. Designed…
Lightweight binary that joins a device to a Tailscale network and exposes a local SOCKS5 proxy. Designed for red team operations and ephemeral access into restricted environments using Tailscale’s ...
🔵 عنوان مقاله
2FA testing with Playwright and Mailosaur
🟢 خلاصه مقاله:
** تست 2FA در سناریوهای E2E چالشبرانگیز است، چون مرحله تأیید خارج از UI انجام میشود و کدها زود منقضی میشوند. Filip Hric در یک راهنمای عملی نشان میدهد چگونه با ترکیب Playwright و Mailosaur میتوان این جریان را بهصورت قابلاعتماد خودکار کرد: Playwright ورود را انجام میدهد، مرحله 2FA را فعال میکند، Mailosaur ایمیل حاوی OTP را از یک inbox کنترلشده میگیرد، کد استخراج میشود و در UI وارد میگردد تا احراز هویت کامل تأیید شود. نکات کلیدی شامل جداسازی دادههای تست با یک سرور/اینباکس اختصاصی در Mailosaur، مدیریت timeout و چند ایمیل، کاهش flaky بودن با انتظارها و assertionهای مناسب، و پاکسازی بین اجراهاست. همچنین بر امنیت و اجرا در CI، نگهداری کلیدها در متغیرهای محیطی، و پوشش سناریوهایی مانند کد منقضی، کد نادرست و ارسال مجدد تأکید میکند. نتیجه: با Playwright و Mailosaur میتوان 2FA را بدون هکهای شکننده و با اطمینان بالا در مسیرهای حیاتی احراز هویت تست کرد.
#Playwright #Mailosaur #2FA #تست_خودکار #تست_پایان_به_پایان #QA #OTP #امنیت_برنامه
🟣لینک مقاله:
https://cur.at/xsedmVx?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
2FA testing with Playwright and Mailosaur
🟢 خلاصه مقاله:
** تست 2FA در سناریوهای E2E چالشبرانگیز است، چون مرحله تأیید خارج از UI انجام میشود و کدها زود منقضی میشوند. Filip Hric در یک راهنمای عملی نشان میدهد چگونه با ترکیب Playwright و Mailosaur میتوان این جریان را بهصورت قابلاعتماد خودکار کرد: Playwright ورود را انجام میدهد، مرحله 2FA را فعال میکند، Mailosaur ایمیل حاوی OTP را از یک inbox کنترلشده میگیرد، کد استخراج میشود و در UI وارد میگردد تا احراز هویت کامل تأیید شود. نکات کلیدی شامل جداسازی دادههای تست با یک سرور/اینباکس اختصاصی در Mailosaur، مدیریت timeout و چند ایمیل، کاهش flaky بودن با انتظارها و assertionهای مناسب، و پاکسازی بین اجراهاست. همچنین بر امنیت و اجرا در CI، نگهداری کلیدها در متغیرهای محیطی، و پوشش سناریوهایی مانند کد منقضی، کد نادرست و ارسال مجدد تأکید میکند. نتیجه: با Playwright و Mailosaur میتوان 2FA را بدون هکهای شکننده و با اطمینان بالا در مسیرهای حیاتی احراز هویت تست کرد.
#Playwright #Mailosaur #2FA #تست_خودکار #تست_پایان_به_پایان #QA #OTP #امنیت_برنامه
🟣لینک مقاله:
https://cur.at/xsedmVx?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Filiphric
2FA testing with Playwright and Mailosaur
Learn how to automate email magic links, SMS verification codes, and authenticator app logins in Playwright using Mailosaur for comprehensive authentication testing.
🔵 عنوان مقاله
Network security devices endanger orgs with '90s era flaws (3 minute read)
🟢 خلاصه مقاله:
** دستگاههای مرزی شبکه مثل فایروالها، VPNها و درگاههای ایمیل به نقاط ریسک جدی تبدیل شدهاند؛ بهطوریکه طبق پایش Google در سال 2024، نزدیک به یکسوم از 75 آسیبپذیری روز-صفر شناساییشده، همین ابزارها را هدف گرفتهاند. بخش بزرگی از این سوءاستفادهها بر پایه نقصهای قدیمی دهه ۹۰ است: سرریز بافر، تزریق فرمان و تزریق SQL؛ ضعفهایی که راهکارهای پیشگیری و تشخیصشان سالهاست شناخته شده، اما همچنان در کُدهای حیاتی فروشندگان امنیتی تکرار میشوند. بهدلیل اینترنتی بودن، دسترسیهای گسترده و اعتماد ضمنی این دستگاهها، نفوذ به آنها مسیر سریع برای دسترسی اولیه، جابهجایی جانبی، دستکاری جریان ایمیل، سرقت اعتبارنامه و خروج داده فراهم میکند. برای کاهش ریسک، سازمانها باید این تجهیزات را مانند نرمافزارهای پرخطر مدیریت کنند: فهرستبرداری دقیق، بهروزرسانی سریع Firmware، رصد هشدارهای فروشنده، استفاده از وصله مجازی (WAF/IPS)، محدود کردن و امنسازی دسترسی مدیریتی، تفکیک شبکه و جمعآوری لاگ و تلهمتری. همچنین لازم است از فروشندگان بخواهند چرخه توسعه امن را تقویت کنند تا خطاهای قدیمی دوباره در مرز شبکه تکرار نشوند.
#NetworkSecurity
#ZeroDay
#Firewalls
#VPN
#EmailSecurity
#BufferOverflow
#SQLInjection
#Infosec
🟣لینک مقاله:
https://www.csoonline.com/article/4074945/network-security-devices-endanger-orgs-with-90s-era-flaws.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Network security devices endanger orgs with '90s era flaws (3 minute read)
🟢 خلاصه مقاله:
** دستگاههای مرزی شبکه مثل فایروالها، VPNها و درگاههای ایمیل به نقاط ریسک جدی تبدیل شدهاند؛ بهطوریکه طبق پایش Google در سال 2024، نزدیک به یکسوم از 75 آسیبپذیری روز-صفر شناساییشده، همین ابزارها را هدف گرفتهاند. بخش بزرگی از این سوءاستفادهها بر پایه نقصهای قدیمی دهه ۹۰ است: سرریز بافر، تزریق فرمان و تزریق SQL؛ ضعفهایی که راهکارهای پیشگیری و تشخیصشان سالهاست شناخته شده، اما همچنان در کُدهای حیاتی فروشندگان امنیتی تکرار میشوند. بهدلیل اینترنتی بودن، دسترسیهای گسترده و اعتماد ضمنی این دستگاهها، نفوذ به آنها مسیر سریع برای دسترسی اولیه، جابهجایی جانبی، دستکاری جریان ایمیل، سرقت اعتبارنامه و خروج داده فراهم میکند. برای کاهش ریسک، سازمانها باید این تجهیزات را مانند نرمافزارهای پرخطر مدیریت کنند: فهرستبرداری دقیق، بهروزرسانی سریع Firmware، رصد هشدارهای فروشنده، استفاده از وصله مجازی (WAF/IPS)، محدود کردن و امنسازی دسترسی مدیریتی، تفکیک شبکه و جمعآوری لاگ و تلهمتری. همچنین لازم است از فروشندگان بخواهند چرخه توسعه امن را تقویت کنند تا خطاهای قدیمی دوباره در مرز شبکه تکرار نشوند.
#NetworkSecurity
#ZeroDay
#Firewalls
#VPN
#EmailSecurity
#BufferOverflow
#SQLInjection
#Infosec
🟣لینک مقاله:
https://www.csoonline.com/article/4074945/network-security-devices-endanger-orgs-with-90s-era-flaws.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CSO Online
Network security devices endanger orgs with ’90s era flaws
Built to defend enterprise networks, network edge security devices are becoming liabilities, with an alarming rise in zero-day exploits of what experts describe as basic vulnerabilities. Can the security device industry correct course?
🔵 عنوان مقاله
CyberRidge (Product Launch)
🟢 خلاصه مقاله:
CyberRidge یک سامانه رمزنگاری فوتونیکِ plug-and-play معرفی کرده که دادههای در حال انتقال را در لایه فیزیکی به سیگنال نوری شبیه نویزِ رمزگذاریشده تبدیل میکند؛ بنابراین هر گونه شنود فقط نویز بیمعنا میبیند. این رویکرد با زیرساخت فیبر موجود سازگار است و بدون تغییرات اساسی در شبکه قابل استقرار است. هدف آن محافظت در برابر شنود، تحلیلهای پیشرفته کوانتومی و حملات «الان جمعآوری کن، بعداً رمزگشایی کن» است تا مسیرهای انتقال داده بهصورت پساکوانتومی امن شوند و بهعنوان مکملی برای رمزنگاریهای مرسوم در لایههای بالاتر عمل کند.
#PhotonicEncryption #PostQuantumSecurity #Cybersecurity #OpticalNetworking #DataProtection #QuantumResistant #HarvestNowDecryptLater #PlugAndPlay
🟣لینک مقاله:
https://www.cyber-ridge.com/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CyberRidge (Product Launch)
🟢 خلاصه مقاله:
CyberRidge یک سامانه رمزنگاری فوتونیکِ plug-and-play معرفی کرده که دادههای در حال انتقال را در لایه فیزیکی به سیگنال نوری شبیه نویزِ رمزگذاریشده تبدیل میکند؛ بنابراین هر گونه شنود فقط نویز بیمعنا میبیند. این رویکرد با زیرساخت فیبر موجود سازگار است و بدون تغییرات اساسی در شبکه قابل استقرار است. هدف آن محافظت در برابر شنود، تحلیلهای پیشرفته کوانتومی و حملات «الان جمعآوری کن، بعداً رمزگشایی کن» است تا مسیرهای انتقال داده بهصورت پساکوانتومی امن شوند و بهعنوان مکملی برای رمزنگاریهای مرسوم در لایههای بالاتر عمل کند.
#PhotonicEncryption #PostQuantumSecurity #Cybersecurity #OpticalNetworking #DataProtection #QuantumResistant #HarvestNowDecryptLater #PlugAndPlay
🟣لینک مقاله:
https://www.cyber-ridge.com/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cyber-Ridge
CyberRidge – Post-Quantum Photonic Layer Security
Prevent data interception at the speed of light – CyberRidge turns optical transmissions into unrecordable noise for full Layer-1 protection.
🔵 عنوان مقاله
trdl (GitHub Repo)
🟢 خلاصه مقاله:
خلاصهای متنباز به نام trdl با تمرکز بر «تحویل مطمئن» آخرین مرحلهی توزیع نرمافزار را امن میکند: رساندن بهروزرسانیها از Git به کاربر نهایی با کانالی قابلاعتماد و قابلراستیآزمایی. این راهکار با اتصال طبیعی به فرآیندهای مبتنی بر Git و ادغام در اتوماسیون انتشار، تضمین میکند آنچه نصب میشود همان چیزی است که نگهدارندگان منتشر کردهاند. با تکیه بر امضا و راستیآزمایی رمزنگاری، اصالت، تمامیت و مبدأ بهروزرسانیها قبل از اعمال بررسی میشود؛ در نتیجه ریسکهای زنجیره تأمین کاهش مییابد و امکان انتشارهای قابلممیزی، بازگشت نسخه و سیاستهای بهروزرسانی (مانند stable یا pre-release) فراهم میشود. trdl متنباز است، میتواند self-hosted اجرا شود، و از طریق GitHub Repo در دسترس است؛ کاربران و تیمهای عملیاتی نیز میتوانند با یک رابط ساده مانند CLI بهروزرسانیهای مورد اعتماد را دریافت و اعمال کنند.
#trdl #SupplyChainSecurity #SecureUpdates #Git #OpenSource #DevOps #SoftwareDelivery #CI/CD
🟣لینک مقاله:
https://github.com/werf/trdl?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
trdl (GitHub Repo)
🟢 خلاصه مقاله:
خلاصهای متنباز به نام trdl با تمرکز بر «تحویل مطمئن» آخرین مرحلهی توزیع نرمافزار را امن میکند: رساندن بهروزرسانیها از Git به کاربر نهایی با کانالی قابلاعتماد و قابلراستیآزمایی. این راهکار با اتصال طبیعی به فرآیندهای مبتنی بر Git و ادغام در اتوماسیون انتشار، تضمین میکند آنچه نصب میشود همان چیزی است که نگهدارندگان منتشر کردهاند. با تکیه بر امضا و راستیآزمایی رمزنگاری، اصالت، تمامیت و مبدأ بهروزرسانیها قبل از اعمال بررسی میشود؛ در نتیجه ریسکهای زنجیره تأمین کاهش مییابد و امکان انتشارهای قابلممیزی، بازگشت نسخه و سیاستهای بهروزرسانی (مانند stable یا pre-release) فراهم میشود. trdl متنباز است، میتواند self-hosted اجرا شود، و از طریق GitHub Repo در دسترس است؛ کاربران و تیمهای عملیاتی نیز میتوانند با یک رابط ساده مانند CLI بهروزرسانیهای مورد اعتماد را دریافت و اعمال کنند.
#trdl #SupplyChainSecurity #SecureUpdates #Git #OpenSource #DevOps #SoftwareDelivery #CI/CD
🟣لینک مقاله:
https://github.com/werf/trdl?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - werf/trdl: The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF)…
The universal solution for delivering your software updates securely from a trusted The Update Framework (TUF) repository. - werf/trdl
🔵 عنوان مقاله
Introducing CodeMender: an AI agent for code security (5 minute read)
🟢 خلاصه مقاله:
** CodeMender ابزاری مبتنی بر هوش مصنوعی از Google DeepMind است که بهصورت خودکار آسیبپذیریهای نرمافزاری را شناسایی، اصلاح و از بروز آنها پیشگیری میکند. این Agent با تحلیل مستمر کد، ضعفها را پیدا کرده و برای آنها Patchهای عملی پیشنهاد میدهد تا با تأیید توسعهدهندگان اعمال شوند. نتیجه، افزایش امنیت کدهای موجود و کاهش زمان صرفشده برای مدیریت دستی آسیبپذیریهاست. CodeMender با تکمیل مهارت کارشناسان و سازگاری با جریانهای کاری رایج، به تیمها کمک میکند نرمافزار ایمنتری را سریعتر ارائه دهند و رویکردی پیشگیرانه در امنیت اتخاذ کنند.
#CodeMender #GoogleDeepMind #AI #CodeSecurity #CyberSecurity #SoftwareSecurity #DevSecOps
🟣لینک مقاله:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Introducing CodeMender: an AI agent for code security (5 minute read)
🟢 خلاصه مقاله:
** CodeMender ابزاری مبتنی بر هوش مصنوعی از Google DeepMind است که بهصورت خودکار آسیبپذیریهای نرمافزاری را شناسایی، اصلاح و از بروز آنها پیشگیری میکند. این Agent با تحلیل مستمر کد، ضعفها را پیدا کرده و برای آنها Patchهای عملی پیشنهاد میدهد تا با تأیید توسعهدهندگان اعمال شوند. نتیجه، افزایش امنیت کدهای موجود و کاهش زمان صرفشده برای مدیریت دستی آسیبپذیریهاست. CodeMender با تکمیل مهارت کارشناسان و سازگاری با جریانهای کاری رایج، به تیمها کمک میکند نرمافزار ایمنتری را سریعتر ارائه دهند و رویکردی پیشگیرانه در امنیت اتخاذ کنند.
#CodeMender #GoogleDeepMind #AI #CodeSecurity #CyberSecurity #SoftwareSecurity #DevSecOps
🟣لینک مقاله:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Google DeepMind
Introducing CodeMender: an AI agent for code security
CodeMender is a new AI-powered agent that improves code security automatically. It instantly patches new software vulnerabilities, and rewrites and secures existing code, eliminating entire...
دیروز یه پست از برتنی مولر خوندم که واقعاً ذهنم رو درگیر کرد.
موضوعش «هک شدن مرورگر ChatGPT Atlas فقط در ۴۸ ساعت» بود.
مرورگر هوش مصنوعی OpenAI رو محققها تونستن با دستورهای پنهان در متن سفید و HTML هک کنن.
روشهای قدیمی BlackHat دوباره برگشتن، فقط این بار قربانی انسان نیست… هوش مصنوعیه!
برتنی میگه مشکل اینجاست که LLM نمیتونه فرق بین محتوای واقعی و دستور مخرب رو تشخیص بده.
و این یعنی:
الان کل صفحه مهمه، از کامنت HTML تا متن سفید.
محتوای UGC (نظرات و دیدگاهها) میتونه دروازهی حمله بشه.
مرورگرهای هوش مصنوعی در برابر تهدیدات امنیتی هنوز خیلی ضعیفن.
اما کامنت رند فیشکین از اونم جالبتر بود:
میگه شاید هدف ChatGPT از ساخت مرورگر اصلاً «مرور وب» نبوده…
بلکه یه «اسب تروجان» بوده برای اینکه سایتها دیگه نتونن جلوی خزندهش رو بگیرن.
چون اگه بخوای دسترسی Atlas رو ببندی، در واقع داری جلوی کاربر واقعی مرورگر رو هم میگیری.
به نظرم این نقطهی خطرناکیه که سئو، امنیت و مالکیت داده با هم برخورد میکنن.
مرورگرها دیگه فقط نمیخونن، تصمیم میگیرن ، و گاهی شاید بر خلاف منافع صاحب محتوا.
<Shahram Rahbari/>
https://t.me/addlist/AJ7rh2IzIh02NTI0
موضوعش «هک شدن مرورگر ChatGPT Atlas فقط در ۴۸ ساعت» بود.
مرورگر هوش مصنوعی OpenAI رو محققها تونستن با دستورهای پنهان در متن سفید و HTML هک کنن.
روشهای قدیمی BlackHat دوباره برگشتن، فقط این بار قربانی انسان نیست… هوش مصنوعیه!
برتنی میگه مشکل اینجاست که LLM نمیتونه فرق بین محتوای واقعی و دستور مخرب رو تشخیص بده.
و این یعنی:
الان کل صفحه مهمه، از کامنت HTML تا متن سفید.
محتوای UGC (نظرات و دیدگاهها) میتونه دروازهی حمله بشه.
مرورگرهای هوش مصنوعی در برابر تهدیدات امنیتی هنوز خیلی ضعیفن.
اما کامنت رند فیشکین از اونم جالبتر بود:
میگه شاید هدف ChatGPT از ساخت مرورگر اصلاً «مرور وب» نبوده…
بلکه یه «اسب تروجان» بوده برای اینکه سایتها دیگه نتونن جلوی خزندهش رو بگیرن.
چون اگه بخوای دسترسی Atlas رو ببندی، در واقع داری جلوی کاربر واقعی مرورگر رو هم میگیری.
به نظرم این نقطهی خطرناکیه که سئو، امنیت و مالکیت داده با هم برخورد میکنن.
مرورگرها دیگه فقط نمیخونن، تصمیم میگیرن ، و گاهی شاید بر خلاف منافع صاحب محتوا.
<Shahram Rahbari/>
https://t.me/addlist/AJ7rh2IzIh02NTI0
Telegram
Labdon
Bardia invites you to add the folder “Labdon”, which includes 8 chats.