🔵 عنوان مقاله
Vulnerability Management Isn't About Finding Issues - It's About Fixing Them (5 minute read)
🟢 خلاصه مقاله:
مقاله مذکور به بررسی کاستیهای ابزارهای مدیریت آسیبپذیری کنونی و آینده این ابزارها میپردازد. اکثر این ابزارها تنها قادر به شناسایی آسیبپذیریها هستند و در ارائه راهکارهای مفید برای رفع آنها کمبود دارند، زیرا به اندازه کافی اطلاعات زمینهای را در اختیار نمیگذارند. پیشبینی میشود که آینده ابزارهای مدیریت آسیبپذیری شامل مجموعهای از عاملهای هوش مصنوعی باشد که به طور مداوم زمینه و وضعیت محیط را تجزیه و تحلیل کرده و نه تنها آسیبپذیریها را شناسایی کنند، بلکه محل دقیق استفاده آنها و نحوه رفع آنها را نیز مشخص کنند. این پیشرفت نه تنها به شناسایی بلکه به اجرای راهحلهای عملی و موثر در مدیریت آسیبپذیریها کمک خواهد کرد.
🟣لینک مقاله:
https://www.linkedin.com/pulse/vulnerability-management-isnt-finding-issues-its-fixing-miessler-jwmac?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Vulnerability Management Isn't About Finding Issues - It's About Fixing Them (5 minute read)
🟢 خلاصه مقاله:
مقاله مذکور به بررسی کاستیهای ابزارهای مدیریت آسیبپذیری کنونی و آینده این ابزارها میپردازد. اکثر این ابزارها تنها قادر به شناسایی آسیبپذیریها هستند و در ارائه راهکارهای مفید برای رفع آنها کمبود دارند، زیرا به اندازه کافی اطلاعات زمینهای را در اختیار نمیگذارند. پیشبینی میشود که آینده ابزارهای مدیریت آسیبپذیری شامل مجموعهای از عاملهای هوش مصنوعی باشد که به طور مداوم زمینه و وضعیت محیط را تجزیه و تحلیل کرده و نه تنها آسیبپذیریها را شناسایی کنند، بلکه محل دقیق استفاده آنها و نحوه رفع آنها را نیز مشخص کنند. این پیشرفت نه تنها به شناسایی بلکه به اجرای راهحلهای عملی و موثر در مدیریت آسیبپذیریها کمک خواهد کرد.
🟣لینک مقاله:
https://www.linkedin.com/pulse/vulnerability-management-isnt-finding-issues-its-fixing-miessler-jwmac?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Linkedin
Vulnerability Management Isn't About Finding Issues — It's About Fixing Them in Context
Sponsored by Dazz, but the content is 100% controlled and written by me. I think a lot about Vulnerability Management because I think it's a proxy for a lot that's wrong with Cybersecurity.
🔵 عنوان مقاله
Lua Malware Targeting Student Gamers via Fake Game Cheats (3 minute read)
🟢 خلاصه مقاله:
مالورهای نوشته شده با زبان برنامهنویسی Lua در تقلبهای بازیهای جعلی کشف شدهاند و از طریق تکنیکهایی مانند سمزدایی SEO در سراسر جهان گسترش یافتهاند. این مالورها اغلب از طریق وبسایتهایی که به نظر میرسد راهنماهای تقلب یا کدهای هک بازی را ارائه میدهند به کاربران منتقل میشوند. با استفاده از SEO سمی، مهاجمان این وبسایتها را برای جلب توجه کاربران به وسیله موتورهای جستجو بهینه میکنند. پس از دانلود و اجرای فایلهای جعلی، مالور Lua فعال شده و میتواند اطلاعات حساس را دزدیده یا دستگاه قربانی را به باتنتها متصل کند. این حملات بیشتر بر روی کاربرانی که به دنبال راههای آسان برای پیشرفت در بازیها هستند، هدف گذاری شده و سبب خطرات امنیتی جدی برای آنها میشود.
🟣لینک مقاله:
https://hackread.com/lua-malware-hit-student-gamers-fake-game-cheats/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Lua Malware Targeting Student Gamers via Fake Game Cheats (3 minute read)
🟢 خلاصه مقاله:
مالورهای نوشته شده با زبان برنامهنویسی Lua در تقلبهای بازیهای جعلی کشف شدهاند و از طریق تکنیکهایی مانند سمزدایی SEO در سراسر جهان گسترش یافتهاند. این مالورها اغلب از طریق وبسایتهایی که به نظر میرسد راهنماهای تقلب یا کدهای هک بازی را ارائه میدهند به کاربران منتقل میشوند. با استفاده از SEO سمی، مهاجمان این وبسایتها را برای جلب توجه کاربران به وسیله موتورهای جستجو بهینه میکنند. پس از دانلود و اجرای فایلهای جعلی، مالور Lua فعال شده و میتواند اطلاعات حساس را دزدیده یا دستگاه قربانی را به باتنتها متصل کند. این حملات بیشتر بر روی کاربرانی که به دنبال راههای آسان برای پیشرفت در بازیها هستند، هدف گذاری شده و سبب خطرات امنیتی جدی برای آنها میشود.
🟣لینک مقاله:
https://hackread.com/lua-malware-hit-student-gamers-fake-game-cheats/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hackread - Latest Cybersecurity, Tech, Crypto & Hacking News
Lua Malware Targeting Student Gamers via Fake Game Cheats
Follow us on Twitter (X) @Hackread - Facebook @ /Hackread
👍1
📌 Software Test Engineer - Work from home
📝 Type: Remote
🏢 Company: nearsure
📍 Location: GREATER SãO PAULO AREA
⌨️ Category: #Testing
🔗 Tags: #c #ui #aws #microservices #cloud #selenium
📝 Type: Remote
🏢 Company: nearsure
📍 Location: GREATER SãO PAULO AREA
⌨️ Category: #Testing
🔗 Tags: #c #ui #aws #microservices #cloud #selenium
👍2
این سایت مجموعهای بینظیر از منابع برای تسلط بر طراحی نرمافزار سطح پایین ارائه میدهد. شامل معماری سیستم، الگوریتمها و الگوهای طراحی برای ساخت نرمافزارهای مقیاسپذیر.
#SoftwareDesign #LowLevelDesign #Architecture
https://github.com/ashishps1/awesome-low-level-design
#SoftwareDesign #LowLevelDesign #Architecture
https://github.com/ashishps1/awesome-low-level-design
👍2
🔵 عنوان مقاله
Evaluating Mitigations & Vulnerabilities in Chrome (11 minute read)
🟢 خلاصه مقاله:
تیم امنیتی کروم توضیح میدهد که چگونه آنها ارزیابی و اولویتبندی بهبودهای امنیتی را بر اساس کاهش آسیبپذیری بالقوه به کاربران و افزایش هزینهها برای مهاجمان انجام میدهند. در این روند، عواملی نظیر قابلیت اطمینان باگ، سهولت بهرهبرداری از آن، و تأثیر آن بر روی پایگاه کاربران وسیع کروم در نظر گرفته میشود. این تیم با در نظر داشتن این عوامل، تلاش میکند تا موانع بیشتری برای مهاجمان ایجاد کند تا از رخ دادن آسیبهای احتمالی به کاربران جلوگیری شود. این رویکرد نه تنها امنیت را بالا میبرد، بلکه اطمینان میدهد که استفادهکنندگان از کروم میتوانند به طور امن در فضای آنلاین فعالیت کنند. از این رو، توجه خاص به تأثیر عرضه بر روی جامعهی گستردهی کاربران کروم یکی از مولفههای اصلی در فرایند بهبود امنیتی است.
🟣لینک مقاله:
https://security.googleblog.com/2024/10/evaluating-mitigations-vulnerabilities.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Evaluating Mitigations & Vulnerabilities in Chrome (11 minute read)
🟢 خلاصه مقاله:
تیم امنیتی کروم توضیح میدهد که چگونه آنها ارزیابی و اولویتبندی بهبودهای امنیتی را بر اساس کاهش آسیبپذیری بالقوه به کاربران و افزایش هزینهها برای مهاجمان انجام میدهند. در این روند، عواملی نظیر قابلیت اطمینان باگ، سهولت بهرهبرداری از آن، و تأثیر آن بر روی پایگاه کاربران وسیع کروم در نظر گرفته میشود. این تیم با در نظر داشتن این عوامل، تلاش میکند تا موانع بیشتری برای مهاجمان ایجاد کند تا از رخ دادن آسیبهای احتمالی به کاربران جلوگیری شود. این رویکرد نه تنها امنیت را بالا میبرد، بلکه اطمینان میدهد که استفادهکنندگان از کروم میتوانند به طور امن در فضای آنلاین فعالیت کنند. از این رو، توجه خاص به تأثیر عرضه بر روی جامعهی گستردهی کاربران کروم یکی از مولفههای اصلی در فرایند بهبود امنیتی است.
🟣لینک مقاله:
https://security.googleblog.com/2024/10/evaluating-mitigations-vulnerabilities.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Google Online Security Blog
Evaluating Mitigations & Vulnerabilities in Chrome
Posted by Alex Gough, Chrome Security Team The Chrome Security Team is constantly striving to make it safer to browse the web. We invest ...
👍1
این سایت به شما اجازه میدهد بدون نیاز به کدنویسی یک API ساختگی ایجاد کنید و درخواستهای HTTP را به راحتی بررسی کنید.
#API #Testing #Beeceptor #WebDev #MockAPI #Mock
https://beeceptor.com/
➖➖➖➖➖➖➖➖
👑 @software_labdon
#API #Testing #Beeceptor #WebDev #MockAPI #Mock
https://beeceptor.com/
➖➖➖➖➖➖➖➖
👑 @software_labdon
🔵 عنوان مقاله
Lamborghini Carjackers Lured by $243M Cyberheist (8 minute read)
🟢 خلاصه مقاله:
در اتفاقی خشونتآمیز، والدین نوجوانی که در یک دزدی سایبری ۲۴۳ میلیون دلاری دست داشته، هنگام رانندگی با خودروی لامبورگینی خود، مورد حمله و سرقت خودرو توسط چند مرد قرار گرفتند. این مردان قصد داشتند والدین را به گروگان بگیرند تا با اعمال فشار بر آنها، خواستههای خود را دریافت کنند. این رویداد نشان دهنده سطح بالای خطر و پیچیدگیهای امنیتی مرتبط با جرائم سایبری و پیامدهای آن بر خانوادههای درگیر است. این مورد بر اهمیت تامین امنیت و حفاظت شخصی در برابر اقدامات انتقامجویانه ناشی از جرائم سایبری تاکید میکند.
🟣لینک مقاله:
https://krebsonsecurity.com/2024/10/lamborghini-carjackers-lured-by-243m-cyberheist/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Lamborghini Carjackers Lured by $243M Cyberheist (8 minute read)
🟢 خلاصه مقاله:
در اتفاقی خشونتآمیز، والدین نوجوانی که در یک دزدی سایبری ۲۴۳ میلیون دلاری دست داشته، هنگام رانندگی با خودروی لامبورگینی خود، مورد حمله و سرقت خودرو توسط چند مرد قرار گرفتند. این مردان قصد داشتند والدین را به گروگان بگیرند تا با اعمال فشار بر آنها، خواستههای خود را دریافت کنند. این رویداد نشان دهنده سطح بالای خطر و پیچیدگیهای امنیتی مرتبط با جرائم سایبری و پیامدهای آن بر خانوادههای درگیر است. این مورد بر اهمیت تامین امنیت و حفاظت شخصی در برابر اقدامات انتقامجویانه ناشی از جرائم سایبری تاکید میکند.
🟣لینک مقاله:
https://krebsonsecurity.com/2024/10/lamborghini-carjackers-lured-by-243m-cyberheist/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Krebs on Security
Lamborghini Carjackers Lured by $243M Cyberheist
The parents of a 19-year-old Connecticut honors student accused of taking part in a $243 million cryptocurrency heist in August were carjacked a week later, while out house-hunting in a brand new Lamborghini. Prosecutors say the couple was beaten and…
🔵 عنوان مقاله
Mozilla Patches Critical Firefox Vuln That Attackers Are Already Exploiting (2 minute read)
🟢 خلاصه مقاله:
موزیلا به تازگی وصلهای برای آسیبپذیری جدید در مرورگر فایرفاکس با امتیاز CVSS 9.8 منتشر کرده است. این آسیبپذیری ناشی از یک اشکال "استفاده پس از آزادسازی" در قابلیت خط زمانی انیمیشن ابزار بازرسی صفحه در فایرفاکس است. این آسیبپذیری در حال حاضر فعالانه مورد استفاده قرار میگیرد و موزیلا توصیه به بهروزرسانی فوری دارد. این بهروزرسانی برای جلوگیری از احتمال سوء استفاده از این آسیبپذیری و حفظ امنیت کاربران ضروری است.
🟣لینک مقاله:
https://www.theregister.com/2024/10/10/firefixed_mozilla_patches_critical_firefox/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mozilla Patches Critical Firefox Vuln That Attackers Are Already Exploiting (2 minute read)
🟢 خلاصه مقاله:
موزیلا به تازگی وصلهای برای آسیبپذیری جدید در مرورگر فایرفاکس با امتیاز CVSS 9.8 منتشر کرده است. این آسیبپذیری ناشی از یک اشکال "استفاده پس از آزادسازی" در قابلیت خط زمانی انیمیشن ابزار بازرسی صفحه در فایرفاکس است. این آسیبپذیری در حال حاضر فعالانه مورد استفاده قرار میگیرد و موزیلا توصیه به بهروزرسانی فوری دارد. این بهروزرسانی برای جلوگیری از احتمال سوء استفاده از این آسیبپذیری و حفظ امنیت کاربران ضروری است.
🟣لینک مقاله:
https://www.theregister.com/2024/10/10/firefixed_mozilla_patches_critical_firefox/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Register
Mozilla patches critical Firefox vuln that attackers are already exploiting
Firefixed: It's maintenance time for low-complexity, high-impact security flaw
🔵 عنوان مقاله
India's Star Health Confirms Data Breach After Cybercriminals Post Customers' Health Data Online (2 minute read)
🟢 خلاصه مقاله:
شرکت بیمهی Star Health که یکی از بزرگترین شرکتهای بیمه در هند است، پس از آنکه هکرها با استفاده از چتباتهای تلگرام، اطلاعات شخصی متعلق به ۳۱ میلیون مشتری را افشا کردند، تأیید کرد که دچار نقض داده شده است. این دادههای درز کرده شامل نامهای کامل، شماره تلفنها، آدرسها، جزئیات مالیاتی، اطلاعات مربوط به درخواستهای بیمه و کارتهای شناسایی مشتریان است. Star Health تأیید نکرده است که آیا دادههای مشتری به طور واقعی افشا شدهاند و در حال حاضر به دلیل استفاده هکرها از محصولاتشان، علیه تلگرام و Cloudflare شکایت کرده است.
🟣لینک مقاله:
https://techcrunch.com/2024/10/09/indias-star-health-confirms-data-breach-after-cybercriminals-post-customers-health-data-online/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
India's Star Health Confirms Data Breach After Cybercriminals Post Customers' Health Data Online (2 minute read)
🟢 خلاصه مقاله:
شرکت بیمهی Star Health که یکی از بزرگترین شرکتهای بیمه در هند است، پس از آنکه هکرها با استفاده از چتباتهای تلگرام، اطلاعات شخصی متعلق به ۳۱ میلیون مشتری را افشا کردند، تأیید کرد که دچار نقض داده شده است. این دادههای درز کرده شامل نامهای کامل، شماره تلفنها، آدرسها، جزئیات مالیاتی، اطلاعات مربوط به درخواستهای بیمه و کارتهای شناسایی مشتریان است. Star Health تأیید نکرده است که آیا دادههای مشتری به طور واقعی افشا شدهاند و در حال حاضر به دلیل استفاده هکرها از محصولاتشان، علیه تلگرام و Cloudflare شکایت کرده است.
🟣لینک مقاله:
https://techcrunch.com/2024/10/09/indias-star-health-confirms-data-breach-after-cybercriminals-post-customers-health-data-online/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
India's Star Health confirms data breach after cybercriminals post customers' health data online | TechCrunch
The insurance giant confirmed a data breach, weeks after cybercriminals posted alleged customer health and medical data online.
🔵 عنوان مقاله
AWS LetsEncrypt Lambda or Why I Wrote a Custom TLS Provider for AWS Using OpenTofu and Go (10 minute read)
🟢 خلاصه مقاله:
در این مقاله، توسعهدهندهای به توصیف نحوه نوشتن تابع Lambda میپردازد که برای ایجاد و تجدید گواهینامههای TLS با استفاده از LetsEncrypt طراحی شده است. این روش به گواهینامههای قابل حملتری دست یابد بدون اینکه نیازی به استفاده از AWS Certificate Manager باشد. تابع Lambda با دریافت یک رویداد از اجرای دستی یا Event Bridge شروع به کار میکند، سپس درخواست گواهینامهای را از LetsEncrypt انجام داده، در صورت نیاز برای تأیید هویت، یک رکورد TXT جدید در Route53 ایجاد میکند و در نهایت گواهینامه را در AWS Secrets Manager ذخیره میکند اختیاری است. کد منبع برای تابع Lambda و همچنین ماژول OpenTofu/Terraform در دسترس قرار داده شده است.
🟣لینک مقاله:
https://dzone.com/articles/aws-letsencrypt-lambda-why-i-wrote-a-custom-tls-provider-for-aws?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
AWS LetsEncrypt Lambda or Why I Wrote a Custom TLS Provider for AWS Using OpenTofu and Go (10 minute read)
🟢 خلاصه مقاله:
در این مقاله، توسعهدهندهای به توصیف نحوه نوشتن تابع Lambda میپردازد که برای ایجاد و تجدید گواهینامههای TLS با استفاده از LetsEncrypt طراحی شده است. این روش به گواهینامههای قابل حملتری دست یابد بدون اینکه نیازی به استفاده از AWS Certificate Manager باشد. تابع Lambda با دریافت یک رویداد از اجرای دستی یا Event Bridge شروع به کار میکند، سپس درخواست گواهینامهای را از LetsEncrypt انجام داده، در صورت نیاز برای تأیید هویت، یک رکورد TXT جدید در Route53 ایجاد میکند و در نهایت گواهینامه را در AWS Secrets Manager ذخیره میکند اختیاری است. کد منبع برای تابع Lambda و همچنین ماژول OpenTofu/Terraform در دسترس قرار داده شده است.
🟣لینک مقاله:
https://dzone.com/articles/aws-letsencrypt-lambda-why-i-wrote-a-custom-tls-provider-for-aws?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
DZone
AWS LetsEncrypt Lambda or Why I Wrote a Custom TLS Provider for AWS Using OpenTofu and Go
LetsEncrypt Lambda helps to manage TLS certificates. Compared to Certificate Manager it provides certs that can be used at non-only AWS services like EC2 Nginx.
🔵 عنوان مقاله
sbomqs (GitHub Repo)
🟢 خلاصه مقاله:
مقالهای که مورد بررسی قرار گرفته درباره ابزاری به نام sbomqs است که برای ارزیابی کیفیت و انطباق SBOM (فهرست مواد نرمافزاری) استفاده میشود. این ابزار امتیازی به SBOMها اختصاص میدهد که بر اساس کیفیت و میزان انطباق آنها با استانداردها تعیین میشود. هرچه امتیاز بالاتر باشد، SBOM مربوطه قابل استفادهتر و مطابقتر با معیارها است. استفاده از sbomqs به سازمانها کمک میکند تا اطمینان حاصل کنند که SBOMهای آنها به طور کارآمد برای مصرفکنندگان نهایی آماده شدهاند و تمامی الزامات قانونی و فنی را برآورده میسازند. این ابزار به بهبود فرآیندهای تولید نرمافزار و تسریع در توسعه محصولات مطمئنتر و باکیفیتتر نیز کمک میکند.
🟣لینک مقاله:
https://github.com/interlynk-io/sbomqs?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
sbomqs (GitHub Repo)
🟢 خلاصه مقاله:
مقالهای که مورد بررسی قرار گرفته درباره ابزاری به نام sbomqs است که برای ارزیابی کیفیت و انطباق SBOM (فهرست مواد نرمافزاری) استفاده میشود. این ابزار امتیازی به SBOMها اختصاص میدهد که بر اساس کیفیت و میزان انطباق آنها با استانداردها تعیین میشود. هرچه امتیاز بالاتر باشد، SBOM مربوطه قابل استفادهتر و مطابقتر با معیارها است. استفاده از sbomqs به سازمانها کمک میکند تا اطمینان حاصل کنند که SBOMهای آنها به طور کارآمد برای مصرفکنندگان نهایی آماده شدهاند و تمامی الزامات قانونی و فنی را برآورده میسازند. این ابزار به بهبود فرآیندهای تولید نرمافزار و تسریع در توسعه محصولات مطمئنتر و باکیفیتتر نیز کمک میکند.
🟣لینک مقاله:
https://github.com/interlynk-io/sbomqs?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - interlynk-io/sbomqs: sbomqs: The Comprehensive SBOM Quality & Compliance Tool
sbomqs: The Comprehensive SBOM Quality & Compliance Tool - interlynk-io/sbomqs
🔵 عنوان مقاله
The Internet Archive slammed by DDoS attack and data breach (1 minute read)
🟢 خلاصه مقاله:
مؤسسه آرشیو اینترنت با نقض امنیتی روبرو شد که منجر به افشای ۳۱ میلیون آدرس ایمیل و نام کاربری شد. علاوه بر این، این سازمان هدف حمله جداگانهای تحت عنوان DDoS قرار گرفت. مؤسسه در حال حاضر به این موضوعات رسیدگی کرده و برنامههایی برای به اشتراک گذاشتن اطلاعات بیشتر در زمانی که در دسترس قرار گیرند، دارد. این حملات به طور جدی به نگرانیها در مورد امنیت دیجیتال و حفاظت از دادهها در میان کاربران اضافه کرده است.
🟣لینک مقاله:
https://techcrunch.com/2024/10/09/the-internet-archive-slammed-by-ddos-attack-and-data-breach/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Internet Archive slammed by DDoS attack and data breach (1 minute read)
🟢 خلاصه مقاله:
مؤسسه آرشیو اینترنت با نقض امنیتی روبرو شد که منجر به افشای ۳۱ میلیون آدرس ایمیل و نام کاربری شد. علاوه بر این، این سازمان هدف حمله جداگانهای تحت عنوان DDoS قرار گرفت. مؤسسه در حال حاضر به این موضوعات رسیدگی کرده و برنامههایی برای به اشتراک گذاشتن اطلاعات بیشتر در زمانی که در دسترس قرار گیرند، دارد. این حملات به طور جدی به نگرانیها در مورد امنیت دیجیتال و حفاظت از دادهها در میان کاربران اضافه کرده است.
🟣لینک مقاله:
https://techcrunch.com/2024/10/09/the-internet-archive-slammed-by-ddos-attack-and-data-breach/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
The Internet Archive slammed by DDoS attack and data breach | TechCrunch
The Internet Archive, the nonprofit organization that digitizes and archives materials like web pages, came under attack Wednesday. Several users –
🔵 عنوان مقاله
Marriott agrees to pay $52 million settlement after multiple data breaches (2 minute read)
🟢 خلاصه مقاله:
ماریوت با پرداخت ۵۲ میلیون دلار به ۴۹ ایالت آمریکا برای حل ادعاهای ناشی از نقض دادهها بین سالهای ۲۰۱۴ تا ۲۰۲۰ موافقت کرد. این نقضهای امنیتی که بر ۳۳۴ میلیون مشتری تأثیر گذاشت، نتیجه عملکرد ضعیف در امنیت سیستمها بودند، از جمله کنترلهای ناکافی رمز عبور و سیستمهای منسوخ شده. در یکی از حوادث در سال ۲۰۲۰، حدود ۲۰ گیگابایت داده سرقت شد. این توافق به منظور جبران خسارتهای وارد شده به مشتریان و بهبود تدابیر امنیتی ماریوت به اجرا درآمده است. این پرونده بر اهمیت رعایت استانداردهای بالا در امنیت سایبری و مدیریت دادهها تأکید میگذارد.
🟣لینک مقاله:
https://www.theverge.com/2024/10/10/24267048/marriott-ftc-settlement-agreement-52-million-fine?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Marriott agrees to pay $52 million settlement after multiple data breaches (2 minute read)
🟢 خلاصه مقاله:
ماریوت با پرداخت ۵۲ میلیون دلار به ۴۹ ایالت آمریکا برای حل ادعاهای ناشی از نقض دادهها بین سالهای ۲۰۱۴ تا ۲۰۲۰ موافقت کرد. این نقضهای امنیتی که بر ۳۳۴ میلیون مشتری تأثیر گذاشت، نتیجه عملکرد ضعیف در امنیت سیستمها بودند، از جمله کنترلهای ناکافی رمز عبور و سیستمهای منسوخ شده. در یکی از حوادث در سال ۲۰۲۰، حدود ۲۰ گیگابایت داده سرقت شد. این توافق به منظور جبران خسارتهای وارد شده به مشتریان و بهبود تدابیر امنیتی ماریوت به اجرا درآمده است. این پرونده بر اهمیت رعایت استانداردهای بالا در امنیت سایبری و مدیریت دادهها تأکید میگذارد.
🟣لینک مقاله:
https://www.theverge.com/2024/10/10/24267048/marriott-ftc-settlement-agreement-52-million-fine?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Verge
Marriott agrees to pay $52 million settlement after multiple data breaches
The company also has to restore customers’ stolen loyalty points.
Forwarded from Bardia & Erfan
طلایی ترین لیست وبلاگها برنامه نویسان شرکتهای بزرگ دنیا مثل Google و . . .
در این لیست افرادی که تجربه کار کردن در شرکتهای بزرگ دارند اسم و لینکشون آورده شده
نفراول :
برنامه نویس شرکت TripAdvisor
هم مقالات فنی و هم مهارت نرم رو پوشش میده
https://dandreamsofcoding.com/
نفر دوم :
خالق الگوریتمی که در تمامی سیستم های recommender در شرکت بزرگ ازش استفاده میشه
https://lemire.me/blog/
نفر سوم :
از ایشون مگه بالاتر داریم ؟ CEO شرکت Stack overflow
https://www.joelonsoftware.com/
نفر چهارم :
مهندس نرمافزار گوگل و خالق چند تا از بزرگترین پروژههای Open Source جهان
https://latedev.wordpress.com/
نفر پنجم :
یک از تاثیر گذاران محبوبیت Linux
https://www.linux.org/forums/
نفر ششم :
برنامه نویس Google و نوسینده چند کتاب مشهور در دنیا
https://www.jeremykun.com/
نفر هفتم :
خالق Viaweb نوسینده بزرگ در حیطه برنامه نویسی
https://paulgraham.com/articles.html
نفر هقتم :
متخصص و Director شرکت Huawei
https://www.yegor256.com/
نفر هشتم :
یک متخصص به تمام معنا
https://prog21.dadgum.com/
نفر نهم :
نوسینده کتاب Clean Code
https://blog.cleancoder.com/
نفرم دهم :
مهندس گوگل
https://stevehanov.ca/blog/
نفرم یازدهم :
مهندس شرکت Uber
https://blog.pragmaticengineer.com/
➖➖➖➖➖➖➖➖
👑 @labdon_academy
در این لیست افرادی که تجربه کار کردن در شرکتهای بزرگ دارند اسم و لینکشون آورده شده
نفراول :
برنامه نویس شرکت TripAdvisor
هم مقالات فنی و هم مهارت نرم رو پوشش میده
https://dandreamsofcoding.com/
نفر دوم :
خالق الگوریتمی که در تمامی سیستم های recommender در شرکت بزرگ ازش استفاده میشه
https://lemire.me/blog/
نفر سوم :
از ایشون مگه بالاتر داریم ؟ CEO شرکت Stack overflow
https://www.joelonsoftware.com/
نفر چهارم :
مهندس نرمافزار گوگل و خالق چند تا از بزرگترین پروژههای Open Source جهان
https://latedev.wordpress.com/
نفر پنجم :
یک از تاثیر گذاران محبوبیت Linux
https://www.linux.org/forums/
نفر ششم :
برنامه نویس Google و نوسینده چند کتاب مشهور در دنیا
https://www.jeremykun.com/
نفر هفتم :
خالق Viaweb نوسینده بزرگ در حیطه برنامه نویسی
https://paulgraham.com/articles.html
نفر هقتم :
متخصص و Director شرکت Huawei
https://www.yegor256.com/
نفر هشتم :
یک متخصص به تمام معنا
https://prog21.dadgum.com/
نفر نهم :
نوسینده کتاب Clean Code
https://blog.cleancoder.com/
نفرم دهم :
مهندس گوگل
https://stevehanov.ca/blog/
نفرم یازدهم :
مهندس شرکت Uber
https://blog.pragmaticengineer.com/
➖➖➖➖➖➖➖➖
👑 @labdon_academy
Dan Dreams of Coding
Just trying to make sense of it all
🔵 عنوان مقاله
Using Chrome's accessibility APIs to find security bugs (5 minute read)
🟢 خلاصه مقاله:
گوگل کروم با استفاده از رابطهای برنامهنویسی قابلیت دسترسی (APIs)، به دنبال شناسایی باگهای امنیتی در کد رابط کاربری خود است. تیم کروم با فازینگ (fuzzing) درخت دسترسی کنترلهای رابط کاربری، امیدوار است تا آسیبپذیریهای احتمالی را به طور خودکار کشف و رفع کند. این روش در پی بهبود امنیت و پایداری کروم برای تمامی کاربران است. این استراتژی نوآورانه به تیم کروم اجازه میدهد تا نواقص امنیتی احتمالی را قبل از آنکه به مشکلی برای کاربران تبدیل شوند، شناسایی و برطرف سازد، و در عین حال اطمینان حاصل کند که کروم همچنان یکی از امنترین مرورگرها باقی بماند. این تلاشها نقش مهمی در حفظ اعتماد کاربران و ارائه یک تجربه وب مطمئن و مقاوم به آنها دارد.
🟣لینک مقاله:
https://security.googleblog.com/2024/10/using-chromes-accessibility-apis-to.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Using Chrome's accessibility APIs to find security bugs (5 minute read)
🟢 خلاصه مقاله:
گوگل کروم با استفاده از رابطهای برنامهنویسی قابلیت دسترسی (APIs)، به دنبال شناسایی باگهای امنیتی در کد رابط کاربری خود است. تیم کروم با فازینگ (fuzzing) درخت دسترسی کنترلهای رابط کاربری، امیدوار است تا آسیبپذیریهای احتمالی را به طور خودکار کشف و رفع کند. این روش در پی بهبود امنیت و پایداری کروم برای تمامی کاربران است. این استراتژی نوآورانه به تیم کروم اجازه میدهد تا نواقص امنیتی احتمالی را قبل از آنکه به مشکلی برای کاربران تبدیل شوند، شناسایی و برطرف سازد، و در عین حال اطمینان حاصل کند که کروم همچنان یکی از امنترین مرورگرها باقی بماند. این تلاشها نقش مهمی در حفظ اعتماد کاربران و ارائه یک تجربه وب مطمئن و مقاوم به آنها دارد.
🟣لینک مقاله:
https://security.googleblog.com/2024/10/using-chromes-accessibility-apis-to.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Google Online Security Blog
Using Chrome's accessibility APIs to find security bugs
Posted by Adrian Taylor, Security Engineer, Chrome Chrome’s user interface (UI) code is complex, and sometimes has b...
معماری نرم افزار از تفکر سنتی تا پیاده سازی مدرن
تجربه گو: اکبر رضاییان قانع
🕘 تاریخ و ساعت برگزاری : پنج شنبه 10 آبان ماه 1403 ساعت 15:30
📍محل برگزاری: خیابان انقلاب - بین خیابان فلسطین و وصال شیرازی - پلاک 955 - ساختمان کندو
ثبت نام و توضیحات بیشتر:
https://pollen.ir/dev-event
لینک کانال دورهمی code connect:
https://t.iss.one/code_connect_ir
تجربه گو: اکبر رضاییان قانع
🕘 تاریخ و ساعت برگزاری : پنج شنبه 10 آبان ماه 1403 ساعت 15:30
📍محل برگزاری: خیابان انقلاب - بین خیابان فلسطین و وصال شیرازی - پلاک 955 - ساختمان کندو
ثبت نام و توضیحات بیشتر:
https://pollen.ir/dev-event
لینک کانال دورهمی code connect:
https://t.iss.one/code_connect_ir
Telegram
Code connect
کانال دورهمی برنامه نویسان
ارتباط با ما : @kiavashzarepour
لینک کانال یوتیوب:
https://www.youtube.com/@AKAMConnect
پروانه محتوا: CC BY-SA 4
ارتباط با ما : @kiavashzarepour
لینک کانال یوتیوب:
https://www.youtube.com/@AKAMConnect
پروانه محتوا: CC BY-SA 4
Forwarded from Bardia & Erfan
تأثیر دانش زبان انگلیسی در دنیای برنامهنویسی از نگاه موسسه زبان آفاق
https://www.zoomit.ir/pr/428701-afagh-lc/
➖➖➖➖➖➖➖➖
👑 @labdon_academy
https://www.zoomit.ir/pr/428701-afagh-lc/
➖➖➖➖➖➖➖➖
👑 @labdon_academy
🔵 عنوان مقاله
Pwnlook (GitHub Repo)
🟢 خلاصه مقاله:
مقاله مورد بحث، درباره ابزار پس از نفوذ به نام Pwnlook توضیح میدهد. این ابزار کنترل کاملی بر برنامه دسکتاپ Outlook و همینطور ایمیلهای تنظیم شده با آن فراهم میکند. Pwnlook به کاربران اجازه میدهد تا عملیاتهای مختلفی انجام دهند، از جمله خواندن، حذف و ارسال ایمیلها به نام کاربر. سایر قابلیتها شامل دسترسی به فهرست مخاطبین و پیوستهای ایمیلها و همچنین دانلود و بارگذاری فایلها از و به مخازن ایمیل میشود. این ابزار بهصورت خاص برای استفاده در مراحل پس از به دست آوردن اولیه دسترسی به سیستم طراحی شده است و تهدید عمدهای محسوب میشود زیرا به مهاجمین اجازه میدهد بدون توجه به محدودیتهای امنیتی موجود، دادههای حساس را مدیریت و استخراج کنند. این ابزار نشانهای از مخاطرات امنیتی است که سازمانها در نتیجه استفاده از نرمافزارهای متداول روبرو هستند.
🟣لینک مقاله:
https://github.com/amjcyber/pwnlook?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Pwnlook (GitHub Repo)
🟢 خلاصه مقاله:
مقاله مورد بحث، درباره ابزار پس از نفوذ به نام Pwnlook توضیح میدهد. این ابزار کنترل کاملی بر برنامه دسکتاپ Outlook و همینطور ایمیلهای تنظیم شده با آن فراهم میکند. Pwnlook به کاربران اجازه میدهد تا عملیاتهای مختلفی انجام دهند، از جمله خواندن، حذف و ارسال ایمیلها به نام کاربر. سایر قابلیتها شامل دسترسی به فهرست مخاطبین و پیوستهای ایمیلها و همچنین دانلود و بارگذاری فایلها از و به مخازن ایمیل میشود. این ابزار بهصورت خاص برای استفاده در مراحل پس از به دست آوردن اولیه دسترسی به سیستم طراحی شده است و تهدید عمدهای محسوب میشود زیرا به مهاجمین اجازه میدهد بدون توجه به محدودیتهای امنیتی موجود، دادههای حساس را مدیریت و استخراج کنند. این ابزار نشانهای از مخاطرات امنیتی است که سازمانها در نتیجه استفاده از نرمافزارهای متداول روبرو هستند.
🟣لینک مقاله:
https://github.com/amjcyber/pwnlook?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - amjcyber/pwnlook: An offensive postexploitation tool that will give you complete control over the Outlook desktop application…
An offensive postexploitation tool that will give you complete control over the Outlook desktop application and therefore to the emails configured in it. - amjcyber/pwnlook
🔵 عنوان مقاله
A Few Notes on AWS Nitro Enclaves: Attack Surface (7 minute read)
🟢 خلاصه مقاله:
این مقاله به بررسی دقیق سطح حمله به AWS Nitro Enclaves که راهکاری برای محاسبات محرمانه در EC2 است میپردازد. توصیه شده است که توسعهدهندگان باید Nitro Enclaves را به عنوان یک منطقه اعتماد واحد در نظر بگیرند و از شیوههای امنیتی انتها به انتها استفاده کنند. همچنین باید برای جلوگیری از حملات کانال جانبی، تخصیص مناسب CPU و استفاده از پردازش زمان ثابت را در نظر گرفت. اطمینان حاصل شود که انکلیو استفاده از kvm-clock برای زمانبندی و nsm-hwrng برای تامین انتروپی داشته باشد. اجرای عملکرد مستحکم از شیوههای تایید اعتبار به شدت ضروری است.
🟣لینک مقاله:
https://blog.trailofbits.com/2024/09/24/notes-on-aws-nitro-enclaves-attack-surface/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
A Few Notes on AWS Nitro Enclaves: Attack Surface (7 minute read)
🟢 خلاصه مقاله:
این مقاله به بررسی دقیق سطح حمله به AWS Nitro Enclaves که راهکاری برای محاسبات محرمانه در EC2 است میپردازد. توصیه شده است که توسعهدهندگان باید Nitro Enclaves را به عنوان یک منطقه اعتماد واحد در نظر بگیرند و از شیوههای امنیتی انتها به انتها استفاده کنند. همچنین باید برای جلوگیری از حملات کانال جانبی، تخصیص مناسب CPU و استفاده از پردازش زمان ثابت را در نظر گرفت. اطمینان حاصل شود که انکلیو استفاده از kvm-clock برای زمانبندی و nsm-hwrng برای تامین انتروپی داشته باشد. اجرای عملکرد مستحکم از شیوههای تایید اعتبار به شدت ضروری است.
🟣لینک مقاله:
https://blog.trailofbits.com/2024/09/24/notes-on-aws-nitro-enclaves-attack-surface/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Trail of Bits Blog
A few notes on AWS Nitro Enclaves: Attack surface
In the race to secure cloud applications, AWS Nitro Enclaves have emerged as a powerful tool for isolating sensitive workloads.
But with great power comes great responsibility-and potential security pitfalls. As pioneers in confidential computing security…
But with great power comes great responsibility-and potential security pitfalls. As pioneers in confidential computing security…
✍️shahriyar bayatshahriyar bayat
تفاوت بین sites-available و sites-enabled در Nginx
اگر شما هم به تنظیمات Nginx علاقهمند هستید یا در حال مدیریت یک سرور Nginx هستید، احتمالاً با دایرکتوریهای sites-available و sites-enabled برخورد کردهاید. اما تفاوت این دو دایرکتوری چیست و چگونه میتوان از آنها استفاده کرد؟
sites-available: دایرکتوری sites-available محلی است که فایلهای پیکربندی برای سایتها و سرورهای مختلف در آن نگهداری میشود. این فایلها میتوانند شامل تنظیمات برای دامنههای مختلف، تنظیمات SSL، ریدایرکتها و غیره باشند. فایلهایی که در این دایرکتوری قرار دارند فعال نیستند تا زمانی که به دایرکتوری sites-enabled لینک شوند.
sites-enabled: دایرکتوری sites-enabled حاوی لینکهای سمبولیک به فایلهای پیکربندی موجود در sites-available است. تنها فایلهایی که در این دایرکتوری لینک شدهاند توسط Nginx خوانده و فعال میشوند. به عبارت دیگر، sites-enabled مشخص میکند که کدام سایتها و تنظیمات باید توسط Nginx اجرا شوند.
چگونه یک سایت را فعال کنیم:
ایجاد فایل پیکربندی در sites-available: ابتدا فایل پیکربندی سایت خود را در دایرکتوری sites-available ایجاد کنید.
sudo nano /etc/nginx/sites-available/mywebsite
سپس تنظیمات خود را در این فایل وارد کنید و ذخیره کنید
ایجاد لینک سمبولیک به sites-enabled: برای فعالسازی این سایت، باید یک لینک سمبولیک از sites-available به sites-enabled ایجاد کنید.
sudo ln -s /etc/nginx/sites-available/mywebsite /etc/nginx/sites-enabled/
راهاندازی مجدد Nginx: پس از ایجاد لینک سمبولیک، Nginx را مجدداً راهاندازی کنید تا تغییرات اعمال شود.
sudo nginx -t
sudo systemctl reload nginx
مزایای استفاده از این روش:
مدیریت آسان: میتوانید به راحتی سایتها را فعال یا غیرفعال کنید.
تنظیمات متمرکز: تمام تنظیمات سایتها در یک محل نگهداری میشود و به راحتی قابل دسترس است.
امنیت: با لینکهای سمبولیک میتوانید به راحتی کنترل کنید که کدام سایتها فعال باشند.
با استفاده از دایرکتوریهای sites-available و sites-enabled، میتوانید به راحتی تنظیمات Nginx خود را مدیریت کنید و سایتهای مختلف را به سرعت فعال یا غیرفعال کنید.
➖➖➖➖➖➖➖➖
👑 @software_Labdon
تفاوت بین sites-available و sites-enabled در Nginx
اگر شما هم به تنظیمات Nginx علاقهمند هستید یا در حال مدیریت یک سرور Nginx هستید، احتمالاً با دایرکتوریهای sites-available و sites-enabled برخورد کردهاید. اما تفاوت این دو دایرکتوری چیست و چگونه میتوان از آنها استفاده کرد؟
sites-available: دایرکتوری sites-available محلی است که فایلهای پیکربندی برای سایتها و سرورهای مختلف در آن نگهداری میشود. این فایلها میتوانند شامل تنظیمات برای دامنههای مختلف، تنظیمات SSL، ریدایرکتها و غیره باشند. فایلهایی که در این دایرکتوری قرار دارند فعال نیستند تا زمانی که به دایرکتوری sites-enabled لینک شوند.
sites-enabled: دایرکتوری sites-enabled حاوی لینکهای سمبولیک به فایلهای پیکربندی موجود در sites-available است. تنها فایلهایی که در این دایرکتوری لینک شدهاند توسط Nginx خوانده و فعال میشوند. به عبارت دیگر، sites-enabled مشخص میکند که کدام سایتها و تنظیمات باید توسط Nginx اجرا شوند.
چگونه یک سایت را فعال کنیم:
ایجاد فایل پیکربندی در sites-available: ابتدا فایل پیکربندی سایت خود را در دایرکتوری sites-available ایجاد کنید.
sudo nano /etc/nginx/sites-available/mywebsite
سپس تنظیمات خود را در این فایل وارد کنید و ذخیره کنید
ایجاد لینک سمبولیک به sites-enabled: برای فعالسازی این سایت، باید یک لینک سمبولیک از sites-available به sites-enabled ایجاد کنید.
sudo ln -s /etc/nginx/sites-available/mywebsite /etc/nginx/sites-enabled/
راهاندازی مجدد Nginx: پس از ایجاد لینک سمبولیک، Nginx را مجدداً راهاندازی کنید تا تغییرات اعمال شود.
sudo nginx -t
sudo systemctl reload nginx
مزایای استفاده از این روش:
مدیریت آسان: میتوانید به راحتی سایتها را فعال یا غیرفعال کنید.
تنظیمات متمرکز: تمام تنظیمات سایتها در یک محل نگهداری میشود و به راحتی قابل دسترس است.
امنیت: با لینکهای سمبولیک میتوانید به راحتی کنترل کنید که کدام سایتها فعال باشند.
با استفاده از دایرکتوریهای sites-available و sites-enabled، میتوانید به راحتی تنظیمات Nginx خود را مدیریت کنید و سایتهای مختلف را به سرعت فعال یا غیرفعال کنید.
➖➖➖➖➖➖➖➖
👑 @software_Labdon
👍1🎉1🍾1