🔵 عنوان مقاله
Blind Enumeration of gRPC Services (3 minute read)
🟢 خلاصه مقاله:
gRPC در نبود مستندات و با غیرفعال بودن reflection، کشف سرویسها را دشوار میکند. Adversis برای حل این مشکل ابزار grpc-scan را معرفی کرده که با اتکا به تفاوت کدهای خطای gRPC (مثل UNIMPLEMENTED در برابر NOT_FOUND) میتواند تشخیص دهد یک نام سرویس وجود دارد یا خیر—even وقتی روش درخواستشده نامعتبر است. این ابزار با تولید سیستماتیک نامهای سرویس/متد بر اساس الگوهای رایج و ارسال همزمان درخواستها از طریق HTTP/2 multiplexing، هزاران ترکیب را سریع آزمایش کرده و از الگوی پاسخها، سرویسهای محتمل را استخراج میکند. خروجی، نقشهای عملی از سطح حمله gRPC در شرایط محدود است: برای تیمهای قرمز، کشف سرویسهای مستندنشده و پیکربندیهای نادرست؛ و برای تیمهای آبی، سنجش میزان افشا و کفایت لاگبرداری. اقدامات دفاعی شامل یکنواختسازی پاسخ خطا برای سرویس/متد نامعتبر، اعمال احراز هویت و مجوزدهی قوی در Gateway/Service Mesh، محدودسازی reflection به محیط توسعه، و رصد الگوهای اسکن است. استفاده از grpc-scan باید اخلاقی و با مجوز باشد.
#gRPC #Security #ServiceDiscovery #Pentesting #HTTP2 #AppSec #RedTeam #APIEnumeration
🟣لینک مقاله:
https://www.adversis.io/blogs/blind-enumeration-of-grpc-services?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Blind Enumeration of gRPC Services (3 minute read)
🟢 خلاصه مقاله:
gRPC در نبود مستندات و با غیرفعال بودن reflection، کشف سرویسها را دشوار میکند. Adversis برای حل این مشکل ابزار grpc-scan را معرفی کرده که با اتکا به تفاوت کدهای خطای gRPC (مثل UNIMPLEMENTED در برابر NOT_FOUND) میتواند تشخیص دهد یک نام سرویس وجود دارد یا خیر—even وقتی روش درخواستشده نامعتبر است. این ابزار با تولید سیستماتیک نامهای سرویس/متد بر اساس الگوهای رایج و ارسال همزمان درخواستها از طریق HTTP/2 multiplexing، هزاران ترکیب را سریع آزمایش کرده و از الگوی پاسخها، سرویسهای محتمل را استخراج میکند. خروجی، نقشهای عملی از سطح حمله gRPC در شرایط محدود است: برای تیمهای قرمز، کشف سرویسهای مستندنشده و پیکربندیهای نادرست؛ و برای تیمهای آبی، سنجش میزان افشا و کفایت لاگبرداری. اقدامات دفاعی شامل یکنواختسازی پاسخ خطا برای سرویس/متد نامعتبر، اعمال احراز هویت و مجوزدهی قوی در Gateway/Service Mesh، محدودسازی reflection به محیط توسعه، و رصد الگوهای اسکن است. استفاده از grpc-scan باید اخلاقی و با مجوز باشد.
#gRPC #Security #ServiceDiscovery #Pentesting #HTTP2 #AppSec #RedTeam #APIEnumeration
🟣لینک مقاله:
https://www.adversis.io/blogs/blind-enumeration-of-grpc-services?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.adversis.io
Blind Enumeration of gRPC Services
When you're handed an SDK with no documentation and told "the backend is secure because it's proprietary," grpc-scan helps prove otherwise
🔵 عنوان مقاله
The New Commandments of Security Teams (10 minute read)
🟢 خلاصه مقاله:
**این مقاله مجموعهای از «فرامین جدید» را پیشنهاد میکند تا تیمهای امنیت از «تیمِ نه» به شریکهای توانمندساز تبدیل شوند. محورهای اصلی عبارتاند از: همکاری زودهنگام و مؤثر با تیمهای محصول و IT، همزبانی درباره ریسک و اهداف مشترک؛ توانمندسازی توسعهدهندگان با paved roads، پیشفرضهای امن، guardrailهای خودکار در CI/CD و راهنماییهای قابلاستفاده؛ بهرهگیری از دانش و چارچوبهای بیرونی بهجای اختراع دوباره؛ اولویتدادن به ارزیابی و مدیریت ریسک تأمینکنندگان با فرآیندهای ساده و لایهبندیشده؛ و تمرکز بر «رفع مشکل و بستن حلقه» بههمراه توضیح شفاف معاملهگریها، انتخاب کنترلهای عملگرایانه، و سنجش نتایج واقعی مانند پذیرش، کاهش حوادث، و بهبود زمانبندیها. هدف نهایی: امنیتی که حرکت کسبوکار را تسهیل کند، نه متوقف.
#Security #DevSecOps #Cybersecurity #Collaboration #DeveloperExperience #VendorRisk #Usability #RiskManagement
🟣لینک مقاله:
https://franklyspeaking.substack.com/p/the-new-commandments-of-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The New Commandments of Security Teams (10 minute read)
🟢 خلاصه مقاله:
**این مقاله مجموعهای از «فرامین جدید» را پیشنهاد میکند تا تیمهای امنیت از «تیمِ نه» به شریکهای توانمندساز تبدیل شوند. محورهای اصلی عبارتاند از: همکاری زودهنگام و مؤثر با تیمهای محصول و IT، همزبانی درباره ریسک و اهداف مشترک؛ توانمندسازی توسعهدهندگان با paved roads، پیشفرضهای امن، guardrailهای خودکار در CI/CD و راهنماییهای قابلاستفاده؛ بهرهگیری از دانش و چارچوبهای بیرونی بهجای اختراع دوباره؛ اولویتدادن به ارزیابی و مدیریت ریسک تأمینکنندگان با فرآیندهای ساده و لایهبندیشده؛ و تمرکز بر «رفع مشکل و بستن حلقه» بههمراه توضیح شفاف معاملهگریها، انتخاب کنترلهای عملگرایانه، و سنجش نتایج واقعی مانند پذیرش، کاهش حوادث، و بهبود زمانبندیها. هدف نهایی: امنیتی که حرکت کسبوکار را تسهیل کند، نه متوقف.
#Security #DevSecOps #Cybersecurity #Collaboration #DeveloperExperience #VendorRisk #Usability #RiskManagement
🟣لینک مقاله:
https://franklyspeaking.substack.com/p/the-new-commandments-of-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Substack
The New Commandments of Security Teams
Guest post by Maya Kaczorowski
🔵 عنوان مقاله
Redis Warns of Critical Flaw Impacting Thousands of Instances (2 minute read)
🟢 خلاصه مقاله:
Redis یک آسیبپذیری بحرانی با امتیاز CVSS 10.0 را وصله کرده که میتواند به اجرای کد از راه دور (RCE) منجر شود. ریشه مشکل یک نقص ۱۳ ساله از نوع use-after-free است که توسط مهاجمِ دارای دسترسی معتبر و از طریق یک اسکریپت Lua ویژه قابل سوءاستفاده است. Redis توصیه میکند فوراً وصلهها اعمال شوند و برای کاهش ریسک، احراز هویت فعال شود، Lua scripting و فرمانهای غیرضروری غیرفعال شوند و دسترسی شبکهای محدود گردد. همچنین پایش فعالیتهای مشکوک Lua، استفاده از ACLهای سختگیرانه و چرخش گذرواژهها در صورت ظن به نفوذ پیشنهاد میشود.
#Redis #Security #Vulnerability #RCE #Lua #CVSS #PatchManagement #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Redis Warns of Critical Flaw Impacting Thousands of Instances (2 minute read)
🟢 خلاصه مقاله:
Redis یک آسیبپذیری بحرانی با امتیاز CVSS 10.0 را وصله کرده که میتواند به اجرای کد از راه دور (RCE) منجر شود. ریشه مشکل یک نقص ۱۳ ساله از نوع use-after-free است که توسط مهاجمِ دارای دسترسی معتبر و از طریق یک اسکریپت Lua ویژه قابل سوءاستفاده است. Redis توصیه میکند فوراً وصلهها اعمال شوند و برای کاهش ریسک، احراز هویت فعال شود، Lua scripting و فرمانهای غیرضروری غیرفعال شوند و دسترسی شبکهای محدود گردد. همچنین پایش فعالیتهای مشکوک Lua، استفاده از ACLهای سختگیرانه و چرخش گذرواژهها در صورت ظن به نفوذ پیشنهاد میشود.
#Redis #Security #Vulnerability #RCE #Lua #CVSS #PatchManagement #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Redis warns of critical flaw impacting thousands of instances
The Redis security team has released patches for a maximum severity vulnerability that could allow attackers to gain remote code execution on thousands of vulnerable instances.