🔵 عنوان مقاله
Patch immediately: CVE-2025-25257 PoC enables remote code execution on Fortinet FortiWeb (5 minute read)

🟢 خلاصه مقاله:
یک آسیب‌پذیری جدی تزریق SQL با شناسه CVE-2025-25257 در محصول Fortinet FortiWeb شناسایی شده است که به مهاجمین بدون احراز هویت اجازه می‌دهد تا با نوشتن فایل‌های مخرب به سیستم فایل سرور، کد از راه دور را اجرا کنند. این مشکل می‌تواند به اجرای کامل کد از راه دور منجر شود. شرکت Fortinet برای نسخه‌های 7.6.4، 7.4.8، 7.2.11، و 7.0.11، به‌روزرسانی‌هایی را صادر کرده است. توصیه می‌شود که این به‌روزرسانی‌ها به طور فوری اعمال شوند زیرا اکسپلویت‌های مربوطه به صورت عمومی در دسترس هستند.

🟣لینک مقاله:
https://securityaffairs.com/179874/security/patch-immediately-cve-2025-25257-poc-enables-remote-code-execution-on-fortinet-fortiweb.html?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

چطور در معماری میکروسرویس، از ناهماهنگی بین دیتابیس و Message Broker جلوگیری کنیم؟
یکی از چالش‌های رایج در میکروسرویس‌ها، تضمین هماهنگی داده (Data Consistency) بین عملیات دیتابیس و ارسال پیام (Event) است.

سناریوی آشنای مشکل‌ساز:
سرویس سفارش (Order) را در نظر بگیرید:
1. سفارش جدید در دیتابیس ذخیره می‌شود. (موفق)
2. قرار است یک رویداد OrderCreated به Kafka یا RabbitMQ ارسال شود تا سرویس نوتیفیکیشن به کاربر ایمیل بزند. (ناموفق)

نتیجه: سفارش در سیستم ثبت شده، اما به دلیل قطعی موقت در Message Broker، ایمیل تأیید هرگز ارسال نمی‌شود! این یعنی یک ناهماهنگی جدی در سیستم.

راه‌حل: الگوی Outbox Pattern
الگوی Outbox یک راه‌حل زیبا و قابل اعتماد برای این مشکل است. به جای ارسال مستقیم پیام، آن را در یک جدول به نام outbox در همان دیتابیس و داخل همان تراکنش ذخیره می‌کنیم.
چرا این روش کار می‌کند؟
چون ذخیره سفارش و ذخیره پیام در جدول outbox، هر دو در یک تراکنش اتمیک (Atomic Transaction) انجام می‌شوند. این یعنی یا هر دو با هم موفق می‌شوند یا هر دو با هم شکست می‌خورند. به این ترتیب، هیچ رویدادی گم نخواهد شد!
سپس، یک پردازشگر پس‌زمینه (Message Relay) مسئول خواندن پیام‌ها از جدول outbox و ارسال مطمئن آن‌ها به Message Broker است.


<Mahdi M./>

🔵 عنوان مقاله
AWS CIRT Announces the Launch of the Threat Techniques Catalog for AWS (2 minute read)

🟢 خلاصه مقاله:
مقاله‌ای که مورد بررسی قرار گرفته به توضیح فعالیت‌های تازه‌ای از تیم پاسخ به حوادث سایبری AWS یا AWS CIRT می‌پردازد. این تیم کاتالوگی جدید از تاکتیک‌ها، تکنیک‌ها، و رویه‌هایی را که مهاجمین در محیط‌های AWS به کار می‌برند، منتشر کرده است. این کاتالوگ به منظور افزایش آگاهی و بهبود دفاع‌های سایبری در برابر حملات مختلف طراحی شده است. اهمیت این اقدام در این است که با ارائه دیدگاهی عمیق در خصوص شیوه‌هایی که مهاجمین از آن‌ها استفاده می‌کنند، به کاربران و متخصصین امنیتی کمک می‌کند تا از پیش تدابیر لازم را اتخاذ کنند. این کاتالوگ جدید، همچنین به سازمان‌ها این امکان را می‌دهد تا بتوانند برای مواجهه با تهدیدات مخصوص به محیط‌های ابری، استراتژی‌های دفاعی مناسب‌تر و مؤثرتری را توسعه دهند.

🟣لینک مقاله:
https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

نسخه جدید گوگل کروم روی این دسته از کامپیوترها اجرا نمی‌شود
https://www.zoomit.ir/os/444090-google-chrome-drop-support-macos-big-sur/

🔵 عنوان مقاله
Zip Security (Product Launch)

🟢 خلاصه مقاله:
مقاله‌ای که مرور شده است در مورد شرکت Zip Security بحث می‌کند، که متخصص در حمایت از سازمان‌ها برای اجرای بهترین شیوه‌های امنیتی و دستیابی به استانداردهای انطباق است. این شرکت همچنین در مدیریت زیرساخت‌های فناوری اطلاعات سازمانها فعالیت می‌کند تا هزینه‌ها و بار خدماتی که معمولاً سازمان‌ها با آن مواجه هستند را کاهش دهد. در نتیجه، Zip Security به مشتریان خود کمک می‌کند تا با به کارگیری راهکارهای امنیتی قوی و مدیریت هوشمندانه منابع IT، هم از لحاظ امنیت اطلاعات و هم از نظر کاهش هزینه‌های عملیاتی بهره‌مند شوند. این توانایی در ارائه راهکارهای متناسب با نیازهای خاص هر سازمان، Zip Security را به یک شریک ارزشمند در زمینه امنیت IT تبدیل کرده است.

🟣لینک مقاله:
https://www.zipsec.com/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

برنامه‌نویس لهستانی هوش مصنوعی OpenAI را در ماراتن کدنویسی شکست داد
https://digiato.com/artificial-intelligence/human-programmer-beats-openais-custom-ai-in-10-hour-marathon

🔵 عنوان مقاله
UK retail giant Co-op confirms hackers stole all 6.5 million customer records (2 minute read)

🟢 خلاصه مقاله:
خلاصه مقاله: مدیرعامل شرکت Co-op تأیید کرد که در جریان یک حمله سایبری در ماه آوریل، هکرها اطلاعات شخصی شامل نام‌ها، آدرس‌ها و جزئیات تماس تمام 6.5 میلیون مشتری را سرقت کرده‌اند. این نقض امنیتی موجب نگرانی عمده نه تنها برای مشتریان آسیب‌دیده، بلکه برای امنیت داده‌های شخصی در کل صنعت نیز شده است. شرکت در حال تحقیق بر روی چگونگی وقوع این حادثه و برنامه‌ریزی برای اجرای تدابیر امنیتی فوری برای جلوگیری از تکرار چنین حوادثی در آینده است. همچنین، Co-op اعلام کرده است که با مراجع قانونی همکاری می‌کند تا عاملان این حمله را شناسایی و متوقف سازد.

🟣لینک مقاله:
https://techcrunch.com/2025/07/16/uk-retail-giant-co-op-confirms-hackers-stole-all-6-5-million-customer-records/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Hackers Exploit a Blind Spot by Hiding Malware Inside DNS Record (2 minute read)

🟢 خلاصه مقاله:
هکرها از طریق مخفی‌سازی بدافزارها در رکوردهای DNS، به ویژه رکوردهای TXT، توسط تبدیل فایل‌های باینری به هگزادسیمال و تقسیم آن‌ها بر روی چند دامنه فرعی، از دید سیستم‌های امنیتی پنهان می‌مانند. این تکنیک از آنجا که ترافیک DNS اغلب بدون نظارت است، اجازه می‌دهد تا این عملیات به راحتی انجام شود و در توزیع بدافزارهایی مانند Joke Screenmate و اسکریپت‌های مخرب PowerShell استفاده شود. این روش به هکرها کمک می‌کند که از شناسایی و گیر افتادن توسط سیستم‌های مراقبتی امنیتی متداول جلوگیری کنند و به این ترتیب امکان پذیرش و انجام حملات سایبری بدون توجه فزاینده‌ای به خود را افزایش دهند.

🟣لینک مقاله:
https://arstechnica.com/security/2025/07/hackers-exploit-a-blind-spot-by-hiding-malware-inside-dns-records/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Grok-4 Jailbreak with Echo Chamber and Crescendo (4 minute read)

🟢 خلاصه مقاله:
پژوهشگران نشان دادند که ترکیب دو تکنیک جیلبریک LLM، یعنی اکو چمبر (Echo Chamber) و کرسندو (Crescendo)، توانایی دور زدن تدابیر امنیتی هوش مصنوعی را به طور مؤثرتری نسبت به استفاده از هر یک از این روش‌ها به تنهایی افزایش می‌دهد. آزمایش‌ها روی Grok-4 در انجام کارهای مضر، مانند ارائه دستورالعمل‌های ساخت بمب، نرخ‌های موفقیتی بین 30% تا 67% را به دست آوردند. این کارها حاکی از پتانسیل خطرناک فرار از محدودیت‌های تعبیه شده در سیستم‌های هوش مصنوعی است و ضرورت توسعه مکانیزم‌های امنیتی پیشرفته‌تر را نشان می‌دهد تا از سوءاستفاده احتمالی جلوگیری شود. این پژوهش همچنین می‌تواند در تعیین راهکارهایی برای مقابله با تکنیک‌های جیلبریک از این دست رهنمود باشد.

🟣لینک مقاله:
https://neuraltrust.ai/blog/grok-4-jailbreak-echo-chamber-and-crescendo?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
SMM callout vulnerabilities identified in Gigabyte UEFI firmware modules (5 minute read)

🟢 خلاصه مقاله:
در تحقیق اخیر، چهار آسیب‌پذیری در نرم‌افزار UEFI محصولات Gigabyte کشف شده است که به شماره‌های CVE-2025-7026 تا CVE-2025-7029 طبقه‌بندی شده‌اند. این آسیب‌پذیری‌ها به مهاجمینی با دسترسی‌های مدیریتی امکان می‌دهد تا کد‌های مخرب را در حالت مدیریت سیستم (SMM) اجرا کنند، که این امر می‌تواند از حفاظت‌های سیستم‌عامل دور زده و حتی Secure Boot و Intel BootGuard را غیرفعال کند. این آسیب‌پذیری‌ها ناشی از تأیید نامناسب رجیسترهای CPU و اشاره‌گرها در مدیریت‌کننده‌های SMI هستند که به مهاجم اجازه کنترل نامطلوب بر نوشته‌ها و عملیات‌های فلش SMRAM را می‌دهند. با اینکه این مشکلات پیشتر توسط AMI برطرف شده بودند، اما دوباره در فرم‌ور Gigabyte ظاهر شده‌اند؛ بنابراین به کاربران توصیه می‌شود که فوراً نرم‌افزار UEFI خود را از طریق وب‌سایت پشتیبانی Gigabyte به‌روزرسانی کنند.

🟣لینک مقاله:
https://kb.cert.org/vuls/id/746790?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

📢 اگر تلگرام پرمیوم دارید، کانال ما رو Boost کنید ! 🚀

با Boost کردن کانال، به رشد و دیده شدن ما بیشتر کمک کنید💙

https://t.iss.one/boost/gopher_academy

🧠ویژگی‌های این روش:

🌟مزایا:

هیچ کدی بدون requirement نوشته نمیشه

تیم کاملاً می‌دونه داره چی می‌سازه

مستندسازی از ابتدا انجام میشه

کمتر feature creep پیش میاد

و Scope واضح و مشخصه

🌟تفاوت با روش‌های دیگه:

نسبت به Agile کمتر iterative هست

نسبت به TDD اول requirement می‌نویسی، نه test

نسبت به روش‌های سنتی، کمتر bureaucratic هست

🌟این روش خیلی مناسبه وقتی:

پروژه scope مشخصی داره

تیم کوچیکه و می‌خواد سریع پیش بره

نیاز به مستندسازی واضح داری

می‌خوای از over-engineering جلوگیری کنی

عملاً یه ترکیب خوب از planning محکم و execution انعطاف‌پذیره!

این Feature Creep (یا Scope Creep) یعنی اضافه شدن تدریجی و غیرکنترلی ویژگی‌های جدید به پروژه در حین توسعه، بدون اینکه در برنامه‌ریزی اولیه پیش‌بینی شده باشن.

## مثال‌های عملی:

پروژه اولیه: ساخت یک chat app ساده

Feature Creep:

- "بهتره emoji هم داشته باشیم"
- "چرا voice message نداریم؟"
- "باید group chat هم باشه"
-ا "notification system هم لازمه"
- "چت‌ها باید encrypt باشن"

## چرا مشکل‌سازه:

برای توسعه‌دهنده:
ا- Timeline بهم میریزه
- کد پیچیده‌تر میشه
ا- Technical debt زیاد میشه
- انگیزه کم میشه

برای پروژه:
- بودجه تمام میشه
- زمان تحویل عقب میفته
- کیفیت اصلی آسیب می‌بینه
- پروژه ممکنه نیمه‌کاره بمونه

## راه‌های جلوگیری:

- اRequirements محکم:
مثل همین روش Requirement Driven

ا- MVP تعریف کن:
اول minimum viable product رو بساز

ا- Change request process:
برای هر تغییر باید تصمیم‌گیری رسمی بشه

- قاطعیت: "این feature خوبه، ولی برای version بعدی"

خلاصه، feature creep دشمن شماره یک پروژه‌هاست که باعث میشه هیچ‌وقت finish نشن!

این Bureaucratic در توسعه نرم‌افزار یعنی روش‌هایی که پر از قوانین، فرآیندها، مستندسازی‌های سنگین و approval های زیاد هستند.

## مثال‌های روش‌های Bureaucratic:

اWaterfall سنتی:
- باید 50 صفحه requirement document بنویسی

- هر تغییر باید از 5 نفر approval بگیره

- مراحل سخت:
Analysis → Design → Code → Test → Deploy

- نمی‌تونی به مرحله بعد بری تا قبلی تایید نشه

اEnterprise Development:
- برای هر API باید UML diagram بکشی
- کمیته‌های بررسی کد
- فرم‌های متعدد برای هر تغییر
ا- Meeting برای meeting گذاشتن!

## مقایسه:

اBureaucratic (سنگین):

کار کوچیک → 3 جلسه → 2 approval → مستندسازی → کدنویسی

اRequirement Driven Vibe (سبک):

Requirement مشخص → مستقیم شروع کدنویسی

## مشکلات Bureaucracy:

- کندی: هر کار ساعت‌ها اضافه وقت می‌خواد
- انعطاف‌ناپذیری: نمی‌تونی سریع تغییر بدی
ا- Overhead: زمان زیادی صرف کاغذبازی میشه
- خلاقیت کُش: برنامه‌نویس توی قوانین گیر می‌کنه

اRequirement Driven Vibe دقیقاً برای همین جذابه - planning محکم داره ولی execution رو آزاد می‌ذاره و توی جزئیات گیر نمی‌ده!

🔵 عنوان مقاله
CBI Shuts Down £390K U.K. Tech Support Scam, Arrests Key Operatives in Noida Call Center (2 minute read)

🟢 خلاصه مقاله:
پلیس بین‌المللی هند (CBI) با اجرای عملیات چاکرا پنجم، یک سندیکای کلاهبرداری فناوری بین‌المللی را که شهروندان بریتانیا و استرالیا را هدف قرار داده بود، منحل کرد. این کلاهبرداران از طریق یک مرکز تماس جعلی به نام FirstIdea، که در سه مکان در نوئیدا فعالیت داشت، اقدام به فریب مردم می‌کردند. آنها خود را به عنوان کارکنان پشتیبانی مایکروسافت جا زده و ادعا می‌کردند که دستگاه‌های قربانیان آلوده به ویروس شده‌اند تا آنها را به پرداخت هزینه‌های جعلی ترغیب کنند. در این عملیات، دو مظنون دستگیر و بیش از ۳۹۰,۰۰۰ پوند خسارت به دست آمده توسط این کلاهبرداری‌ها شناسایی شد. این دستگیری‌ها نشان‌دهنده تلاش‌های بین‌المللی برای مقابله با جرائم سایبری و حمایت از قربانیان این نوع کلاهبرداری‌ها است.

🟣لینک مقاله:
https://thehackernews.com/2025/07/cbi-shuts-down-390k-uk-tech-support.html?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

اصطلاح requirement driven vibe coding چیست؟

https://t.iss.one/Software_Labdon/599?single

مزیت استفاده از این روش چیست؟

https://t.iss.one/Software_Labdon/601

مفهوم feature creep یا scope creep چیست؟

https://t.iss.one/Software_Labdon/602

مفهوم bureaucratic در توسعه نرم افزار چیست؟

https://t.iss.one/Software_Labdon/603

➖➖➖➖➖➖➖➖
https://t.iss.one/addlist/QtXiQlynEJwzODBk

🔵 عنوان مقاله
Man Gets Suspended Sentence for Hate-Fueled UK Train Stations WiFi Hack (2 minute read)

🟢 خلاصه مقاله:
در یک حادثه در انگلیس، فردی با هک کردن WiFi یک ایستگاه قطار، پیام‌های نفرت‌انگیزی درباره اسلام نمایش داد. پس از شناسایی، این فرد توسط پلیس دستگیر شد. در دادگاه، به او حکم زندان با تعلیق، انجام خدمات عمومی و شرکت در برنامه‌های توان‌بخشی داده شد. این اقدام نه تنها نشان‌دهنده توانایی‌های فنی مجرم برای نفوذ به سیستم‌های ارتباطی مهم است، بلکه بار دیگر مسئله استفاده از تکنولوژی برای اشاعه نفرت و تبعیض را در جامعه مطرح می‌کند. اهمیت پایش و امنیت در ارتباطات شبکه‌ای و در رفتارهای فردی و جمعی در فضای مجازی بیش از پیش آشکار شده است. این مورد نمونه‌ای از چالش‌های موجود در مدیریت و کنترل دسترسی به سیستم‌های عمومی و خصوصی در عصر دیجیتال است.

🟣لینک مقاله:
https://hackread.com/man-suspended-sentence-hate-uk-train-stations-wifi-hack/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon