🔵 عنوان مقاله
PyPI urges users to reset credentials after new phishing attacks (2 minute read)
🟢 خلاصه مقاله:
کاربران PyPI هدف حملات فیشینگ تازهای قرار گرفتهاند که بهکمک دامنههای جعلی مانند pypi-mirror.org و پیشتر pypj.org خود را بهجای PyPI جا میزنند. ایمیلها با ادعای "account maintenance and security procedures" قربانی را به صفحههای ورود تقلبی هدایت میکنند تا اطلاعات ورود را سرقت کنند. مهاجمان سپس با این اطلاعات حسابهای توسعهدهندگان را تصاحب کرده و با آلودهکردن نسخههای منتشرشده یا انتشار پکیجهای جدید مخرب در PyPI، زنجیره تأمین نرمافزار را تهدید میکنند. Python Software Foundation توصیه کرده است رمزعبور و سایر اعتبارات (از جمله API tokens) را فوراً بازنشانی/گردش دهید، 2FA را فعال کنید، توکنهای مشکوک را لغو کرده و تاریخچه انتشار پکیجها را بررسی کنید. همچنین قبل از واردکردن اطلاعات، حتماً دامنه واقعی pypi.org را تأیید کرده و نسبت به ایمیلهای ناخواسته با مضامین امنیت و نگهداری حساب محتاط باشید و موارد مشکوک را گزارش دهید.
#PyPI #Python #Phishing #Cybersecurity #OpenSourceSecurity #SoftwareSupplyChain #PSF #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/pypi-urges-users-to-reset-credentials-after-new-phishing-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
PyPI urges users to reset credentials after new phishing attacks (2 minute read)
🟢 خلاصه مقاله:
کاربران PyPI هدف حملات فیشینگ تازهای قرار گرفتهاند که بهکمک دامنههای جعلی مانند pypi-mirror.org و پیشتر pypj.org خود را بهجای PyPI جا میزنند. ایمیلها با ادعای "account maintenance and security procedures" قربانی را به صفحههای ورود تقلبی هدایت میکنند تا اطلاعات ورود را سرقت کنند. مهاجمان سپس با این اطلاعات حسابهای توسعهدهندگان را تصاحب کرده و با آلودهکردن نسخههای منتشرشده یا انتشار پکیجهای جدید مخرب در PyPI، زنجیره تأمین نرمافزار را تهدید میکنند. Python Software Foundation توصیه کرده است رمزعبور و سایر اعتبارات (از جمله API tokens) را فوراً بازنشانی/گردش دهید، 2FA را فعال کنید، توکنهای مشکوک را لغو کرده و تاریخچه انتشار پکیجها را بررسی کنید. همچنین قبل از واردکردن اطلاعات، حتماً دامنه واقعی pypi.org را تأیید کرده و نسبت به ایمیلهای ناخواسته با مضامین امنیت و نگهداری حساب محتاط باشید و موارد مشکوک را گزارش دهید.
#PyPI #Python #Phishing #Cybersecurity #OpenSourceSecurity #SoftwareSupplyChain #PSF #Infosec
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/pypi-urges-users-to-reset-credentials-after-new-phishing-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
PyPI urges users to reset credentials after new phishing attacks
The Python Software Foundation has warned victims of a new wave of phishing attacks using a fake Python Package Index (PyPI) website to reset credentials.
❤1
🔵 عنوان مقاله
Vietnamese Hackers Use Fake Copyright Notices to Spread Lone None Stealer (1 minute read)
🟢 خلاصه مقاله:
گروه هکری ویتنامی Lone None با سوءاستفاده از اعلانهای جعلی حذف محتوا بهدلیل نقض کپیرایت و با جعل هویت شرکتهای حقوقی در زبانهای مختلف، بدافزار توزیع میکند. این ایمیلها قربانیان را به باز کردن پیوست یا کلیک روی لینک برای مشاهده «مدرک نقض» ترغیب کرده و در نهایت Lone None Stealer را نصب میکنند؛ ابزاری که برای سرقت دادهها و اطلاعات ورود طراحی شده است. ترفند حقوقیِ چندزبانه باعث میشود بسیاری فریب بخورند و برخی فیلترهای ساده دور زده شود. راستیآزمایی ادعاهای حقوقی از کانالهای رسمی و پرهیز از باز کردن پیوستهای ناخواسته توصیه میشود.
#Cybersecurity #Phishing #Malware #SocialEngineering #Infosec #LoneNone #DMCA
🟣لینک مقاله:
https://hackread.com/vietnamese-hackers-fake-copyright-notice-lone-none-stealer/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Vietnamese Hackers Use Fake Copyright Notices to Spread Lone None Stealer (1 minute read)
🟢 خلاصه مقاله:
گروه هکری ویتنامی Lone None با سوءاستفاده از اعلانهای جعلی حذف محتوا بهدلیل نقض کپیرایت و با جعل هویت شرکتهای حقوقی در زبانهای مختلف، بدافزار توزیع میکند. این ایمیلها قربانیان را به باز کردن پیوست یا کلیک روی لینک برای مشاهده «مدرک نقض» ترغیب کرده و در نهایت Lone None Stealer را نصب میکنند؛ ابزاری که برای سرقت دادهها و اطلاعات ورود طراحی شده است. ترفند حقوقیِ چندزبانه باعث میشود بسیاری فریب بخورند و برخی فیلترهای ساده دور زده شود. راستیآزمایی ادعاهای حقوقی از کانالهای رسمی و پرهیز از باز کردن پیوستهای ناخواسته توصیه میشود.
#Cybersecurity #Phishing #Malware #SocialEngineering #Infosec #LoneNone #DMCA
🟣لینک مقاله:
https://hackread.com/vietnamese-hackers-fake-copyright-notice-lone-none-stealer/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hackread
Vietnamese Hackers Use Fake Copyright Notices to Spread Lone None Stealer
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
🔵 عنوان مقاله
Spring Boot Testing: From Unit to End-to-End Testing
🟢 خلاصه مقاله:
این مطلب با مرور رویکردی عملی برای تست خودکار در Spring Boot از تست واحد تا تست انتهابهانتها، بر «هرم تست» و انتخاب سبکترین سطحی که اعتماد کافی میدهد تأکید میکند. برای تستهای واحد، از JUnit 5، AssertJ و Mockito استفاده کنید و تا حد امکان از بارگذاری Spring Context پرهیز کنید. در سطح میانی، «test slice»ها مانند @WebMvcTest با MockMvc و @DataJpaTest (همراه با پایگاهداده درونحافظه یا Testcontainers) لایهها را هدفمند و سریع پوشش میدهند. برای یکپارچهسازی گستردهتر، @SpringBootTest بههمراه Testcontainers (برای PostgreSQL/Kafka/RabbitMQ) و اعمال مهاجرتها با Flyway/Liquibase توصیه میشود؛ وابستگیهای بیرونی را با WireMock یا تستهای قرارداد پایدار کنید. در رأس هرم، تعداد کمی تست E2E اما معنادار (اغلب در سطح API با RestAssured) کافی است؛ ترتیب اجرای CI از سریع به کند، پروفایلهای تست، دادههای تست قابل تکرار و مراقبت از شکنندگی، کیفیت و سرعت بازخورد را تضمین میکند. نویسنده: Philip Riecks.
#SpringBoot #SoftwareTesting #JUnit5 #Testcontainers #Mockito #WireMock #Java
🟣لینک مقاله:
https://cur.at/5fmfOzW?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Spring Boot Testing: From Unit to End-to-End Testing
🟢 خلاصه مقاله:
این مطلب با مرور رویکردی عملی برای تست خودکار در Spring Boot از تست واحد تا تست انتهابهانتها، بر «هرم تست» و انتخاب سبکترین سطحی که اعتماد کافی میدهد تأکید میکند. برای تستهای واحد، از JUnit 5، AssertJ و Mockito استفاده کنید و تا حد امکان از بارگذاری Spring Context پرهیز کنید. در سطح میانی، «test slice»ها مانند @WebMvcTest با MockMvc و @DataJpaTest (همراه با پایگاهداده درونحافظه یا Testcontainers) لایهها را هدفمند و سریع پوشش میدهند. برای یکپارچهسازی گستردهتر، @SpringBootTest بههمراه Testcontainers (برای PostgreSQL/Kafka/RabbitMQ) و اعمال مهاجرتها با Flyway/Liquibase توصیه میشود؛ وابستگیهای بیرونی را با WireMock یا تستهای قرارداد پایدار کنید. در رأس هرم، تعداد کمی تست E2E اما معنادار (اغلب در سطح API با RestAssured) کافی است؛ ترتیب اجرای CI از سریع به کند، پروفایلهای تست، دادههای تست قابل تکرار و مراقبت از شکنندگی، کیفیت و سرعت بازخورد را تضمین میکند. نویسنده: Philip Riecks.
#SpringBoot #SoftwareTesting #JUnit5 #Testcontainers #Mockito #WireMock #Java
🟣لینک مقاله:
https://cur.at/5fmfOzW?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
rieckpil
Spring Boot Testing: From Unit to End-to-End Testing
Guides, thorough explanations, and best practices on testing Spring Boot applications. Helping developers incorporate testing as a routine rather than a frustrated afterthought.
Forwarded from Bardia & Erfan
اگه با دلار ۱۰۰۰ تومنی زندگیتو جمع کردی
با دلار ۱۰۰ تومنی نصیحت نکن.
با دلار ۱۰۰ تومنی نصیحت نکن.
🔵 عنوان مقاله
DiffRays (GitHub Repo)
🟢 خلاصه مقاله:
DiffRays ابزاری برای مقایسه تغییرات بین نسخههای دودویی یک برنامه است که بهطور ویژه برای پژوهش آسیبپذیری، توسعه اکسپلویت و مهندسی معکوس طراحی شده است. با مقایسه نسخه آسیبپذیر و نسخه وصلهشده در سطح باینری، نواحی تغییرکرده، توابع دستکاریشده و تفاوتهای جریان کنترل سریعتر شناسایی میشوند؛ رویکردی که وقتی سورسکد یا نمادها در دسترس نیستند بسیار کارآمد است. این کار روند تریاژ وصله، یافتن ریشه مشکل و ارزیابی قابلیت بهرهبرداری را تسریع میکند و به مهندسان معکوس کمک میکند مسیرهای کد تحت تأثیر را دقیقتر جدا کنند. DiffRays بهصورت یک GitHub Repo ارائه شده و میتواند در کنار ابزارهای دیگر و در جریانهای کاری قابل تکرار ادغام شود.
#BinaryDiffing #ReverseEngineering #VulnerabilityResearch #ExploitDevelopment #PatchAnalysis #SecurityTools #MalwareAnalysis #SoftwareSecurity
🟣لینک مقاله:
https://github.com/pwnfuzz/diffrays?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
DiffRays (GitHub Repo)
🟢 خلاصه مقاله:
DiffRays ابزاری برای مقایسه تغییرات بین نسخههای دودویی یک برنامه است که بهطور ویژه برای پژوهش آسیبپذیری، توسعه اکسپلویت و مهندسی معکوس طراحی شده است. با مقایسه نسخه آسیبپذیر و نسخه وصلهشده در سطح باینری، نواحی تغییرکرده، توابع دستکاریشده و تفاوتهای جریان کنترل سریعتر شناسایی میشوند؛ رویکردی که وقتی سورسکد یا نمادها در دسترس نیستند بسیار کارآمد است. این کار روند تریاژ وصله، یافتن ریشه مشکل و ارزیابی قابلیت بهرهبرداری را تسریع میکند و به مهندسان معکوس کمک میکند مسیرهای کد تحت تأثیر را دقیقتر جدا کنند. DiffRays بهصورت یک GitHub Repo ارائه شده و میتواند در کنار ابزارهای دیگر و در جریانهای کاری قابل تکرار ادغام شود.
#BinaryDiffing #ReverseEngineering #VulnerabilityResearch #ExploitDevelopment #PatchAnalysis #SecurityTools #MalwareAnalysis #SoftwareSecurity
🟣لینک مقاله:
https://github.com/pwnfuzz/diffrays?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - pwnfuzz/diffrays: DiffRays is a research-oriented tool for binary patch diffing, designed to aid in vulnerability research…
DiffRays is a research-oriented tool for binary patch diffing, designed to aid in vulnerability research, exploit development, and reverse engineering. - pwnfuzz/diffrays
👌1
🔵 عنوان مقاله
WOW. Playwright is significantly better than Selenium
🟢 خلاصه مقاله:
این روزها بسیاری از تسترها میگویند Playwright نسبت به Selenium برتری چشمگیری دارد و بحثهای Reddit نیز با تجربههای واقعیِ مهاجرت این موضوع را تأیید میکند. مهمترین مزیتها: کاهش چشمگیر فلِیکی بهخاطر auto-waiting و زمانبندی هوشمند، API مدرن و سازگار در مرورگرهای مختلف، و ابزارهای یکپارچه مثل test runner، اجرای موازی، tracing، و ضبط ویدئو/اسکرینشات که دیباگ را ساده و چرخه بازخورد در CI/CD را کوتاه میکنند. بسیاری گزارش دادهاند که با Playwright کد کمتر، پایداری بیشتر و پوشش cross-browser روانتری دارند. با این حال، در کنار این مزایا به بلوغ و اکوسیستم گسترده Selenium هم اشاره میشود؛ انتخاب نهایی به نیازها و زمینه پروژه وابسته است، اما برای تیمهایی که سرعت، پایداری و تجربه توسعهدهنده را در اولویت میگذارند، Playwright گزینه برتر جلوه میکند.
#Playwright #Selenium #TestAutomation #WebTesting #QA #E2E #CI_CD #Reddit
🟣لینک مقاله:
https://cur.at/Dwk29o1?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
WOW. Playwright is significantly better than Selenium
🟢 خلاصه مقاله:
این روزها بسیاری از تسترها میگویند Playwright نسبت به Selenium برتری چشمگیری دارد و بحثهای Reddit نیز با تجربههای واقعیِ مهاجرت این موضوع را تأیید میکند. مهمترین مزیتها: کاهش چشمگیر فلِیکی بهخاطر auto-waiting و زمانبندی هوشمند، API مدرن و سازگار در مرورگرهای مختلف، و ابزارهای یکپارچه مثل test runner، اجرای موازی، tracing، و ضبط ویدئو/اسکرینشات که دیباگ را ساده و چرخه بازخورد در CI/CD را کوتاه میکنند. بسیاری گزارش دادهاند که با Playwright کد کمتر، پایداری بیشتر و پوشش cross-browser روانتری دارند. با این حال، در کنار این مزایا به بلوغ و اکوسیستم گسترده Selenium هم اشاره میشود؛ انتخاب نهایی به نیازها و زمینه پروژه وابسته است، اما برای تیمهایی که سرعت، پایداری و تجربه توسعهدهنده را در اولویت میگذارند، Playwright گزینه برتر جلوه میکند.
#Playwright #Selenium #TestAutomation #WebTesting #QA #E2E #CI_CD #Reddit
🟣لینک مقاله:
https://cur.at/Dwk29o1?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Reddit
From the softwaretesting community on Reddit
Explore this post and more from the softwaretesting community
در نگاه اول async کردن یه روند بیزینسی یا فنی شاید ساده به نظر بیاد و خیلی مزیت ها داشته باشه. معماری هایی مثل event-driven هم خیلی معروف هستند و پرطرفدار
اما در واقعیت و روی مقیاس بالا چالش های مهمی هم دارند که باید بهشون توجه بشه
چالش هایی مثل observability و idempotency و حتی درک موضوع eventual consistency خودش میتونه چالش برانگیز باشه
این مقاله کوتاه نکات خوبی رو اشاره کرده در این مورد
Why are Event-Driven Systems Hard?
Understanding the Core Challenges of Asynchronous Architectures
https://newsletter.scalablethread.com/p/why-event-driven-systems-are-hard
اما در واقعیت و روی مقیاس بالا چالش های مهمی هم دارند که باید بهشون توجه بشه
چالش هایی مثل observability و idempotency و حتی درک موضوع eventual consistency خودش میتونه چالش برانگیز باشه
این مقاله کوتاه نکات خوبی رو اشاره کرده در این مورد
Why are Event-Driven Systems Hard?
Understanding the Core Challenges of Asynchronous Architectures
https://newsletter.scalablethread.com/p/why-event-driven-systems-are-hard
Scalablethread
Why are Event-Driven Systems Hard?
Understanding the Core Challenges of Asynchronous Architectures
Forwarded from VIP
🚀 به دنیای توسعه و تکنولوژی خوش اومدی!
اگر به موضوعات زیر علاقهمندی:
🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصتهای شغلی ریموت (خارجی و داخلی)
ما برات یه مجموعه کانالهای تخصصی ساختیم تا همیشه بهروز، حرفهای و الهامبخش بمونی!
📚 یادگیری، فرصت، شبکهسازی و پیشرفت، همش اینجاست...
📌 از این لینک همه چنلهامونو یهجا ببین و جوین شو:
👉 https://t.iss.one/addlist/AJ7rh2IzIh02NTI0
اگر به موضوعات زیر علاقهمندی:
🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصتهای شغلی ریموت (خارجی و داخلی)
ما برات یه مجموعه کانالهای تخصصی ساختیم تا همیشه بهروز، حرفهای و الهامبخش بمونی!
📚 یادگیری، فرصت، شبکهسازی و پیشرفت، همش اینجاست...
📌 از این لینک همه چنلهامونو یهجا ببین و جوین شو:
👉 https://t.iss.one/addlist/AJ7rh2IzIh02NTI0
🔵 عنوان مقاله
Software Testing with AI And AI Agents
🟢 خلاصه مقاله:
**این ارائه یک دمو یکساعته و کاربردی از سوی Karthik K.K. است که نشان میدهد چگونه میتوان AI و AI Agents را در مراحل مختلف تست نرمافزار بهکار گرفت. تمرکز اصلی بر سرعتبخشیدن به تولید تست، افزایش پوشش، کاهش نگهداری، و استفاده از عاملهای هوشمند برای تست اکتشافی و UI است. همچنین به تولید دادههای تست، ایجاد سناریوهای مرزی و منفی، پایدارسازی تستها هنگام تغییرات UI/API، رفع خطا و مدیریت flaky tests در CI/CD میپردازد. نکات کلیدی شامل مهار خروجیها با ساختاردهی و گاردریلها، انتخاب مدل با توجه به هزینه و تأخیر، ملاحظات حریم خصوصی، و ارزیابی و اعتمادسازی با دادههای معیار است. نتیجه، نقشهراهی عملی برای تقویت فرآیندهای موجود تست توسط AI—بدون جایگزینکردن آنها—و حفظ کیفیت و کنترل است.
#SoftwareTesting #AIinTesting #AIAgents #QualityEngineering #TestAutomation #LLM #CICD
🟣لینک مقاله:
https://cur.at/DDxkXyi?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Software Testing with AI And AI Agents
🟢 خلاصه مقاله:
**این ارائه یک دمو یکساعته و کاربردی از سوی Karthik K.K. است که نشان میدهد چگونه میتوان AI و AI Agents را در مراحل مختلف تست نرمافزار بهکار گرفت. تمرکز اصلی بر سرعتبخشیدن به تولید تست، افزایش پوشش، کاهش نگهداری، و استفاده از عاملهای هوشمند برای تست اکتشافی و UI است. همچنین به تولید دادههای تست، ایجاد سناریوهای مرزی و منفی، پایدارسازی تستها هنگام تغییرات UI/API، رفع خطا و مدیریت flaky tests در CI/CD میپردازد. نکات کلیدی شامل مهار خروجیها با ساختاردهی و گاردریلها، انتخاب مدل با توجه به هزینه و تأخیر، ملاحظات حریم خصوصی، و ارزیابی و اعتمادسازی با دادههای معیار است. نتیجه، نقشهراهی عملی برای تقویت فرآیندهای موجود تست توسط AI—بدون جایگزینکردن آنها—و حفظ کیفیت و کنترل است.
#SoftwareTesting #AIinTesting #AIAgents #QualityEngineering #TestAutomation #LLM #CICD
🟣لینک مقاله:
https://cur.at/DDxkXyi?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
YouTube
Software Testing with AI And AI Agents
🚀 Going LIVE: Software Testing with AI and AI Agents
Join me this Friday, September 19th for an exciting YouTube live session where we'll dive deep into the intersection of Software Testing and Artificial Intelligence!
📅 Session Details:
🕘 Time: 9:00 PM…
Join me this Friday, September 19th for an exciting YouTube live session where we'll dive deep into the intersection of Software Testing and Artificial Intelligence!
📅 Session Details:
🕘 Time: 9:00 PM…
❤1
♨️ بزرگترین حمله سایبری به مهدکودکهای لندن :)
▪️هکرهای گروه Radiant این بار سراغ بچهها رفتن! اطلاعات شخصی ۸ هزار کودک از شبکههای Kido International (مراکز نگهداری کودک در لندن) دزدیده شده.
▪️برای اثبات ماجرا، هکرها نام، عکس، آدرس و شماره تماس ۱۰ کودک رو توی دارکوب منتشر کردن!
+ پلیس متروپولیتن لندن وارد عمل شده، اما هنوز هیچکس دستگیر نشده. این حمله ادامهای بر موج جدید باجافزارهاییست که حتی غولهایی مثل Jaguar Land Rover رو هم هدف قرار داده بودن.
▪️هکرهای گروه Radiant این بار سراغ بچهها رفتن! اطلاعات شخصی ۸ هزار کودک از شبکههای Kido International (مراکز نگهداری کودک در لندن) دزدیده شده.
▪️برای اثبات ماجرا، هکرها نام، عکس، آدرس و شماره تماس ۱۰ کودک رو توی دارکوب منتشر کردن!
+ پلیس متروپولیتن لندن وارد عمل شده، اما هنوز هیچکس دستگیر نشده. این حمله ادامهای بر موج جدید باجافزارهاییست که حتی غولهایی مثل Jaguar Land Rover رو هم هدف قرار داده بودن.
🔵 عنوان مقاله
CISA alerts federal agencies of widespread attacks using Cisco zero-days (5 minute read)
🟢 خلاصه مقاله:
** CISA با صدور یک دستور اضطراری کمسابقه از نهادهای فدرال خواسته تا جمعه فایروالهای Cisco ASA آسیبپذیر را یا وصله کنند یا فوراً از شبکه جدا سازند. این اقدام بهدلیل بهرهبرداری گسترده از سه آسیبپذیری روزصفر (CVE-2025-20333، CVE-2025-20363 و CVE-2025-20362) انجام شده که به همان گروه منتسب به چین مرتبط با کارزار ArcaneDoor در سال 2024 نسبت داده میشود. مهاجمان با نامهای UAT4356 و Storm-1849 پیگیری میشوند و از روشهای پیشرفته پنهانکاری مانند غیرفعالسازی لاگها، رهگیری دستورات CLI و حتی از کار انداختن عمدی دستگاهها برای گمراهسازی تشخیص و دشوار کردن پاسخگویی استفاده کردهاند. CISA تأکید کرده دستگاههای تحت تأثیر باید فوراً شناسایی، وصله یا موقتاً خارج از مدار شوند و پس از اصلاح نیز بهدقت پایش گردند.
#CISA #Cisco #ASA #ZeroDay #ArcaneDoor #EmergencyDirective #Cybersecurity #ThreatActor
🟣لینک مقاله:
https://cyberscoop.com/cisa-emergency-directive-cisco-zero-days/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CISA alerts federal agencies of widespread attacks using Cisco zero-days (5 minute read)
🟢 خلاصه مقاله:
** CISA با صدور یک دستور اضطراری کمسابقه از نهادهای فدرال خواسته تا جمعه فایروالهای Cisco ASA آسیبپذیر را یا وصله کنند یا فوراً از شبکه جدا سازند. این اقدام بهدلیل بهرهبرداری گسترده از سه آسیبپذیری روزصفر (CVE-2025-20333، CVE-2025-20363 و CVE-2025-20362) انجام شده که به همان گروه منتسب به چین مرتبط با کارزار ArcaneDoor در سال 2024 نسبت داده میشود. مهاجمان با نامهای UAT4356 و Storm-1849 پیگیری میشوند و از روشهای پیشرفته پنهانکاری مانند غیرفعالسازی لاگها، رهگیری دستورات CLI و حتی از کار انداختن عمدی دستگاهها برای گمراهسازی تشخیص و دشوار کردن پاسخگویی استفاده کردهاند. CISA تأکید کرده دستگاههای تحت تأثیر باید فوراً شناسایی، وصله یا موقتاً خارج از مدار شوند و پس از اصلاح نیز بهدقت پایش گردند.
#CISA #Cisco #ASA #ZeroDay #ArcaneDoor #EmergencyDirective #Cybersecurity #ThreatActor
🟣لینک مقاله:
https://cyberscoop.com/cisa-emergency-directive-cisco-zero-days/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CyberScoop
CISA alerts federal agencies of widespread attacks using Cisco zero-days
Cisco said it was investigating state-sponsored espionage attacks in May. CISA did not explain why it waited four months to issue an emergency directive.
❤1
هشدار به کاربران رمهای DDR5: در کمتر از ۲ دقیقه هک میشوید!
«آسیبپذیری سختافزاری» نوعی مشکل در ذات قطعات الکترونیکی است و برخلاف مشکلات نرمافزاری، اصلاحاش بسیار سختتر است.
حالا محققان دانشگاه ETH زوریخ و گوگل از یک «آسیبپذیری سختافزاری» پرده برداشتهاند که در قلب حافظههای رم (RAM) کمین کرده. این رخنه امنیتی که «ققنوس» نام گرفته نسل جدید حافظههای DDR5 و بهویژه تراشههای ساخت شرکت مشهور SK Hynix را هدف میگیرد.
آسیبپذیری ققنوس چیست؟
ققنوس مدل جدیدی از آسیبپذیری RowHammer است که از چند سال قبل شناخته شده بود. این آسیبپذیری به زبان ساده مثل ضربه زدن پیاپی به قفسه کتابها است. اگر به یک ردیف بیش از حد کوبیده شود، قفسه کناری هم تکان میخورد و کتابهای آن از جایش میافتند.
در چیپهای حافظه همین اتفاق رخ میدهد؛ با دستکاری مکرر یک ردیف، دادههای ردیفهای کناری دچار «بیت فلاپ» شده و بین صفر و یک جابجا میشوند. این تغییرات کوچک در ظاهر بیاهمیتاند، اما مهاجمان با همین روش به سیستم دسترسی غیرمجاز پیدا میکنند.
در ایران حافظههای RAM برند SK به دلیل قیمت مناسب سهم قابل توجهی از بازار را در اختیار دارند. همین باعث میشود بخشی از کاربران خانگی و حتی کسبوکارها ناخواسته در معرض ریسک قرار گیرند.
ققنوس از خاکستر برمیخیزد
سازندگان حافظه از این آسیبپذیری آگاه بودند و برای مقابله با آن سپرهای دفاعی مختلفی را طراحی کردند. اما حمله ققنوس نشان داد که این سپرها دیگر کافی نیستند.
ابزارهایی که قرار بود جلوی این نقص را بگیرند (مانند تصحیح خطای ECC) در برابر حملهی ققنوس کارایی ندارند.
روش جدید بهحدی خطرناک است که همه ۱۵ تراشه DDR5 آزمایششده (تولید سالهای ۲۰۲۱ تا ۲۰۲۴) در برابر آن تسلیم شدند. هکرها با استفاده از این تکنیک میتوانند:
• کلید اصلی را بدزدند: با تغییر دادن چند صفر و یک در جای درست، مهاجم به سیستم میقبولاند که مدیر اصلی (روت) است و کنترل کامل کامپیوتر را در دست بگیرد.
• قفلهای امنیتی را بشکنند: این حمله میتواند کلیدهای رمزنگاری را تخریب کرده و به اطلاعات حساس مانند رمزهای عبور دسترسی پیدا کند.
ترسناکتر اینکه تمام این فرآیند در کمتر از دو دقیقه (حدود ۱۰۹ ثانیه) روی یک سیستم استاندارد و بهروز قابل اجراست.
راه چاره چیست؟
مشکل اینجاست که ققنوس یک ضعف سختافزاری است، نه نرمافزاری. بنابراین نمیشود آن را با یک آپدیت ساده یا نصب وصله امنیتی برطرف کرد. تراشههایی که بین سالهای ۲۰۲۱ تا ۲۰۲۴ تولید شدهاند، این ضعف را در ذات خود دارند و برای سالها آسیبپذیر باقی خواهند ماند.
محققان توصیه کردهاند که نرخ بازخوانی (Refresh Rate) حافظه تا سه برابر افزایش یابد تا این روش خنثی شود، اما همین هم راهکاری موقت و تخصصی است.
<NooshDaroo/>
«آسیبپذیری سختافزاری» نوعی مشکل در ذات قطعات الکترونیکی است و برخلاف مشکلات نرمافزاری، اصلاحاش بسیار سختتر است.
حالا محققان دانشگاه ETH زوریخ و گوگل از یک «آسیبپذیری سختافزاری» پرده برداشتهاند که در قلب حافظههای رم (RAM) کمین کرده. این رخنه امنیتی که «ققنوس» نام گرفته نسل جدید حافظههای DDR5 و بهویژه تراشههای ساخت شرکت مشهور SK Hynix را هدف میگیرد.
آسیبپذیری ققنوس چیست؟
ققنوس مدل جدیدی از آسیبپذیری RowHammer است که از چند سال قبل شناخته شده بود. این آسیبپذیری به زبان ساده مثل ضربه زدن پیاپی به قفسه کتابها است. اگر به یک ردیف بیش از حد کوبیده شود، قفسه کناری هم تکان میخورد و کتابهای آن از جایش میافتند.
در چیپهای حافظه همین اتفاق رخ میدهد؛ با دستکاری مکرر یک ردیف، دادههای ردیفهای کناری دچار «بیت فلاپ» شده و بین صفر و یک جابجا میشوند. این تغییرات کوچک در ظاهر بیاهمیتاند، اما مهاجمان با همین روش به سیستم دسترسی غیرمجاز پیدا میکنند.
در ایران حافظههای RAM برند SK به دلیل قیمت مناسب سهم قابل توجهی از بازار را در اختیار دارند. همین باعث میشود بخشی از کاربران خانگی و حتی کسبوکارها ناخواسته در معرض ریسک قرار گیرند.
ققنوس از خاکستر برمیخیزد
سازندگان حافظه از این آسیبپذیری آگاه بودند و برای مقابله با آن سپرهای دفاعی مختلفی را طراحی کردند. اما حمله ققنوس نشان داد که این سپرها دیگر کافی نیستند.
ابزارهایی که قرار بود جلوی این نقص را بگیرند (مانند تصحیح خطای ECC) در برابر حملهی ققنوس کارایی ندارند.
روش جدید بهحدی خطرناک است که همه ۱۵ تراشه DDR5 آزمایششده (تولید سالهای ۲۰۲۱ تا ۲۰۲۴) در برابر آن تسلیم شدند. هکرها با استفاده از این تکنیک میتوانند:
• کلید اصلی را بدزدند: با تغییر دادن چند صفر و یک در جای درست، مهاجم به سیستم میقبولاند که مدیر اصلی (روت) است و کنترل کامل کامپیوتر را در دست بگیرد.
• قفلهای امنیتی را بشکنند: این حمله میتواند کلیدهای رمزنگاری را تخریب کرده و به اطلاعات حساس مانند رمزهای عبور دسترسی پیدا کند.
ترسناکتر اینکه تمام این فرآیند در کمتر از دو دقیقه (حدود ۱۰۹ ثانیه) روی یک سیستم استاندارد و بهروز قابل اجراست.
راه چاره چیست؟
مشکل اینجاست که ققنوس یک ضعف سختافزاری است، نه نرمافزاری. بنابراین نمیشود آن را با یک آپدیت ساده یا نصب وصله امنیتی برطرف کرد. تراشههایی که بین سالهای ۲۰۲۱ تا ۲۰۲۴ تولید شدهاند، این ضعف را در ذات خود دارند و برای سالها آسیبپذیر باقی خواهند ماند.
محققان توصیه کردهاند که نرخ بازخوانی (Refresh Rate) حافظه تا سه برابر افزایش یابد تا این روش خنثی شود، اما همین هم راهکاری موقت و تخصصی است.
<NooshDaroo/>
❤2
🔵 عنوان مقاله
What I learned extending zero trust to the storage layer (7 minute read)
🟢 خلاصه مقاله:
سازمانها معمولاً zero trust را برای کاربر، برنامه و شبکه اجرا میکنند اما لایه ذخیرهسازی را نادیده میگیرند؛ جایی که پشتیبانها، اسنپشاتها و فراداده بازیابی نگهداری میشود و هدف اول باجافزارهای مدرن است. نمونههای پر سر و صدا، از جمله Change Healthcare، نشان میدهند وقتی مهاجم به صفحه مدیریت ذخیرهسازی و بکاپ برسد، نقاط بازیابی هم از بین میروند و تداوم کسبوکار بهسرعت مختل میشود. نویسنده سه اصل کلیدی را مطرح میکند: ۱) کنترل سختگیرانه دسترسی شبکه به APIهای ذخیرهسازی با جداسازی صفحه مدیریت/داده، احراز هویت قوی، فهرستهای مجاز و پایش مداوم؛ ۲) هویت «در لحظه» با حداقل اختیار و تفکیک وظایف، حذف حسابهای مشترک، MFA و تأیید عملیات مخرب (مثل حذف اسنپشات یا تغییر نگهداشت)؛ ۳) مصونسازی دادههای بازیابی با WORM/immutability، قفلهای نگهداشت و یک خزانه بازیابی ایزوله که کلیدها و سیاستهایش خارج از دامنه اصلی کنترل شود. برای عملیاتیسازی نیز باید سیاستها را کدنویسی، ممیزی و بهطور منظم سناریوهای حذف بکاپ/کاهش نگهداشت را تمرین و بازیابی از نسخههای غیرقابلتغییر را تست کرد. نتیجه: تعمیم zero trust به ذخیرهسازی، آخرین خط دفاع—یعنی بکاپ—را واقعاً مقاوم میکند.
#ZeroTrust #Ransomware #StorageSecurity #APIProtection #WORM #BackupImmutability #IdentitySecurity
🟣لینک مقاله:
https://www.csoonline.com/article/4061829/what-i-learned-extending-zero-trust-to-the-storage-layer.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
What I learned extending zero trust to the storage layer (7 minute read)
🟢 خلاصه مقاله:
سازمانها معمولاً zero trust را برای کاربر، برنامه و شبکه اجرا میکنند اما لایه ذخیرهسازی را نادیده میگیرند؛ جایی که پشتیبانها، اسنپشاتها و فراداده بازیابی نگهداری میشود و هدف اول باجافزارهای مدرن است. نمونههای پر سر و صدا، از جمله Change Healthcare، نشان میدهند وقتی مهاجم به صفحه مدیریت ذخیرهسازی و بکاپ برسد، نقاط بازیابی هم از بین میروند و تداوم کسبوکار بهسرعت مختل میشود. نویسنده سه اصل کلیدی را مطرح میکند: ۱) کنترل سختگیرانه دسترسی شبکه به APIهای ذخیرهسازی با جداسازی صفحه مدیریت/داده، احراز هویت قوی، فهرستهای مجاز و پایش مداوم؛ ۲) هویت «در لحظه» با حداقل اختیار و تفکیک وظایف، حذف حسابهای مشترک، MFA و تأیید عملیات مخرب (مثل حذف اسنپشات یا تغییر نگهداشت)؛ ۳) مصونسازی دادههای بازیابی با WORM/immutability، قفلهای نگهداشت و یک خزانه بازیابی ایزوله که کلیدها و سیاستهایش خارج از دامنه اصلی کنترل شود. برای عملیاتیسازی نیز باید سیاستها را کدنویسی، ممیزی و بهطور منظم سناریوهای حذف بکاپ/کاهش نگهداشت را تمرین و بازیابی از نسخههای غیرقابلتغییر را تست کرد. نتیجه: تعمیم zero trust به ذخیرهسازی، آخرین خط دفاع—یعنی بکاپ—را واقعاً مقاوم میکند.
#ZeroTrust #Ransomware #StorageSecurity #APIProtection #WORM #BackupImmutability #IdentitySecurity
🟣لینک مقاله:
https://www.csoonline.com/article/4061829/what-i-learned-extending-zero-trust-to-the-storage-layer.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
CSO Online
What I learned extending zero trust to the storage layer
Think your backups are safe? Attackers don’t. Zero trust for storage may be the only thing standing between you and disaster.
❤1
🔵 عنوان مقاله
How We Systematized Technical Debt Management in Our QA Team
🟢 خلاصه مقاله:
Ilia Golos نشان میدهد که «بدهی فنی» مانند باگها اجتنابناپذیر است، اما اگر سیستماتیک مدیریت شود بهجای مانع، به اهرمی برای سرعت و پایداری تبدیل میشود. او برای تیمهای QA یک چارچوب عملی پیشنهاد میکند: دستهبندی شفاف بدهیها (مثل کد تست، تستهای flaky یا کند، محیط و پیکربندی، داده تست، شکافهای پوشش و فرایندها)، نگهداشتن همه موارد در یک بکلاگ واحد با برچسبهای یکنواخت، و اولویتبندی بر مبنای ریسک و اثر روی کاربر. برای حفظ تمرکز، بخشی از ظرفیت هر اسپرینت به بدهی اختصاص مییابد یا اسپرینتهای ویژه بدهی برگزار میشود؛ افزودن کنترلهای بدهی به Definition of Done از ایجاد بدهی جدید جلوگیری میکند و داشبوردهایی مانند نرخ flaky، زمان اجرای تست و سن بدهی، تصمیمگیری را دادهمحور میسازند. در عمل، توصیهها شامل بازآرایی کد تست، حذف تستهای منسوخ، پایدارسازی flakyها، خودکارسازی بررسیهای تکراری، بازتولیدپذیر کردن محیط و داده، و مشارکت نزدیک با توسعه و محصول برای توازن میان قابلیتها و ریسک است. با مالکیت روشن، الگوی ثبت ساده، بازبینیهای دورهای و قانون «جلوگیری از خونریزی» برای بدهیهای جدید، مدیریت بدهی تدریجی اما پیوسته میشود و به انتشارهای سریعتر و قابلاعتمادتر میانجامد.
#TechnicalDebt #QualityAssurance #SoftwareTesting #TestAutomation #AgileTesting #DevOps #QA #EngineeringManagement
🟣لینک مقاله:
https://cur.at/196LoVa?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
How We Systematized Technical Debt Management in Our QA Team
🟢 خلاصه مقاله:
Ilia Golos نشان میدهد که «بدهی فنی» مانند باگها اجتنابناپذیر است، اما اگر سیستماتیک مدیریت شود بهجای مانع، به اهرمی برای سرعت و پایداری تبدیل میشود. او برای تیمهای QA یک چارچوب عملی پیشنهاد میکند: دستهبندی شفاف بدهیها (مثل کد تست، تستهای flaky یا کند، محیط و پیکربندی، داده تست، شکافهای پوشش و فرایندها)، نگهداشتن همه موارد در یک بکلاگ واحد با برچسبهای یکنواخت، و اولویتبندی بر مبنای ریسک و اثر روی کاربر. برای حفظ تمرکز، بخشی از ظرفیت هر اسپرینت به بدهی اختصاص مییابد یا اسپرینتهای ویژه بدهی برگزار میشود؛ افزودن کنترلهای بدهی به Definition of Done از ایجاد بدهی جدید جلوگیری میکند و داشبوردهایی مانند نرخ flaky، زمان اجرای تست و سن بدهی، تصمیمگیری را دادهمحور میسازند. در عمل، توصیهها شامل بازآرایی کد تست، حذف تستهای منسوخ، پایدارسازی flakyها، خودکارسازی بررسیهای تکراری، بازتولیدپذیر کردن محیط و داده، و مشارکت نزدیک با توسعه و محصول برای توازن میان قابلیتها و ریسک است. با مالکیت روشن، الگوی ثبت ساده، بازبینیهای دورهای و قانون «جلوگیری از خونریزی» برای بدهیهای جدید، مدیریت بدهی تدریجی اما پیوسته میشود و به انتشارهای سریعتر و قابلاعتمادتر میانجامد.
#TechnicalDebt #QualityAssurance #SoftwareTesting #TestAutomation #AgileTesting #DevOps #QA #EngineeringManagement
🟣لینک مقاله:
https://cur.at/196LoVa?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
How We Systematized Technical Debt Management in Our QA Team
I'll share the steps we took, and the metrics that helped us turn technical debt into a manageable part of our workflow.
❤1
🔵 عنوان مقاله
Microsoft shop? Huntress helps you get better ROI from your licenses (Sponsor)
🟢 خلاصه مقاله:
**اگر از لایسنسهای Microsoft استفاده میکنید اما مطمئن نیستید از توان کامل ابزارهای امنیتی آن بهره میبرید، Huntress با Managed EDR و ITDR کمک میکند ارزش واقعی دریافت کنید. با پایش 24/7 توسط SOC و شکار تهدید توسط کارشناسان، هشدارهای مهم سریعتر شناسایی میشوند و نویز کاهش مییابد. Huntress بهعنوان شریک رسمی Microsoft بدون نیاز به rip-and-replace با محیط فعلی شما یکپارچه میشود، مثبتهای کاذب را کمتر میکند و با MTTR پیشرو در صنعت، پاسخگویی و مهار رخدادها را تسریع میسازد. برای بهبود ROI از ابزارهای موجود و مشاهده عملکرد در محیط خود، دمو رزرو کنید.
#MicrosoftSecurity #Huntress #EDR #ITDR #SOC #MTTR #ThreatHunting #CyberSecurity
🟣لینک مقاله:
https://www.huntress.com/why-huntress/partnerships/huntress-and-microsoft-better-together?utm_source=tldr&utm_medium=email&utm_campaign=Cy25-09-camp-platform-global-prospect-iis-x-tldr_newsletter_0926
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Microsoft shop? Huntress helps you get better ROI from your licenses (Sponsor)
🟢 خلاصه مقاله:
**اگر از لایسنسهای Microsoft استفاده میکنید اما مطمئن نیستید از توان کامل ابزارهای امنیتی آن بهره میبرید، Huntress با Managed EDR و ITDR کمک میکند ارزش واقعی دریافت کنید. با پایش 24/7 توسط SOC و شکار تهدید توسط کارشناسان، هشدارهای مهم سریعتر شناسایی میشوند و نویز کاهش مییابد. Huntress بهعنوان شریک رسمی Microsoft بدون نیاز به rip-and-replace با محیط فعلی شما یکپارچه میشود، مثبتهای کاذب را کمتر میکند و با MTTR پیشرو در صنعت، پاسخگویی و مهار رخدادها را تسریع میسازد. برای بهبود ROI از ابزارهای موجود و مشاهده عملکرد در محیط خود، دمو رزرو کنید.
#MicrosoftSecurity #Huntress #EDR #ITDR #SOC #MTTR #ThreatHunting #CyberSecurity
🟣لینک مقاله:
https://www.huntress.com/why-huntress/partnerships/huntress-and-microsoft-better-together?utm_source=tldr&utm_medium=email&utm_campaign=Cy25-09-camp-platform-global-prospect-iis-x-tldr_newsletter_0926
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Huntress
Huntress & Microsoft: Better Together | Huntress
Microsoft 365 is at the heart of your business, level up your cybersecurity with Huntress Managed EDR, ITDR, & Managed Microsoft Defender while extracting the value of your existing Microsoft investments.
🔵 عنوان مقاله
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Mitigating supply chain attacks (2 minute read)
🟢 خلاصه مقاله:
pnpm v10 برای کاهش ریسک حملات زنجیره تأمین دو تغییر مهم اعمال میکند: ۱) اجرای خودکار postinstall در وابستگیها بهصورت پیشفرض غیرفعال شده و فقط بستههایی که واقعاً به اسکریپتهای ساخت نیاز دارند با اجازه صریح (whitelist/allowlist) اجرا میشوند؛ ۲) تنظیم minimumReleaseAge نصب نسخههای تازهمنتشرشده را برای مدتی بهتعویق میاندازد تا قبل از نصب، زمان لازم برای شناسایی و گزارش بستههای مخرب فراهم شود. حاصل این رویکرد، کاهش اجرای ناخواسته کد و ایجاد یک حاشیه امن برای شناسایی تهدیدات است، با هزینهای اندک در سرعت بهروزرسانی. راهکار عملی برای تیمها: مشخصکردن بستههایی که واقعاً به اسکریپت نیاز دارند و allowlist کردن آنها، و تنظیم حد انتظار مناسب برای minimumReleaseAge بر اساس سطح ریسک محیط توسعه و تولید.
#pnpm #SupplyChainSecurity #OpenSourceSecurity #JavaScript #NodeJS #DevSecOps #PackageManagers #SoftwareSupplyChain
🟣لینک مقاله:
https://pnpm.io/supply-chain-security?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
pnpm.io
Mitigating supply chain attacks | pnpm
Sometimes npm packages are compromised and published with malware. Luckily, there are companies like [Socket], [Snyk], and [Aikido] that detect these compromised packages early. The npm registry usually removes the affected versions within hours. However…
چرا از جاوا و پایتون برای نرم افزارهای سیستم های هوافضا نمیشه استفاده کرد؟
1-قطعیت (Determinism):
در زبان هایی مثل جاوا و پایتون به خاطر وجود garbage collection و مبتنی بر JVM بودن اجرای برنامه دقیقا قابل پیش بینی نیست. ممکنه برنامه یه لحظه به خاطر garbage collector متوقف بشه یا pause کنه. تو نرم افزارهای real time همچین چیزی قابل قبول نیست.
به عبارت دیگه یه حلقه توی جاوا یه بار ممکنه یک میلی ثانیه طول بکشه اما دفعه بعد 5 میلی ثانیه طول بکشه دلیل این امر اینه که JIT و gc معلوم نیست کی عمل می کنن و حافظه رو پس می گیرن. پایتون هم به همین دلیل که gc داره عملکردش این شکلیه.
2-زمانبندی سخت گیرانه(Hard real-time constraints): نرم افزارهای هوافضا باید مشخص، کوتاه و قطعی واکنش نشان دهند اما جاوا و پایتون همچین تضمینی نمی دهند.
3-ایمنی و استانداردها :
صنعت هوافضا از استانداردهایی مثل DO-178C پیروی میکند. Ada و C ابزارها و کتابخانههای تأییدشدهای برای این استاندارد دارند اما برای جاوا و پایتون چنین پشتیبانی و تأیید رسمی بسیار محدود یا تقریباً وجود ندارد.
4-کارایی (Performance & Footprint):
پایتون کنده چون مفسریه جاوا هم به خاطر JVM و مدیریت حافظه سربار زیادی داره که خب توی سیستم های هوافضا که سرعت مهمه و منابع سخت افزاری محدودی داریم نمیشه یه برنامه کند و برنامه ای که کلی منابع میخواد رو اجرا کنیم.
در نهایت باید بگم که زبان هایی که باهاشون نرم افزارهای سیستم های هوافضا، نظامی و حساس رو میسازن Ada-Spark ada - C و جدیدا Rust هستند.
<Mohsen Shojaei Yeganeh/>
👇👇👇👇👇👇👇
@software_Labdon
1-قطعیت (Determinism):
در زبان هایی مثل جاوا و پایتون به خاطر وجود garbage collection و مبتنی بر JVM بودن اجرای برنامه دقیقا قابل پیش بینی نیست. ممکنه برنامه یه لحظه به خاطر garbage collector متوقف بشه یا pause کنه. تو نرم افزارهای real time همچین چیزی قابل قبول نیست.
به عبارت دیگه یه حلقه توی جاوا یه بار ممکنه یک میلی ثانیه طول بکشه اما دفعه بعد 5 میلی ثانیه طول بکشه دلیل این امر اینه که JIT و gc معلوم نیست کی عمل می کنن و حافظه رو پس می گیرن. پایتون هم به همین دلیل که gc داره عملکردش این شکلیه.
2-زمانبندی سخت گیرانه(Hard real-time constraints): نرم افزارهای هوافضا باید مشخص، کوتاه و قطعی واکنش نشان دهند اما جاوا و پایتون همچین تضمینی نمی دهند.
3-ایمنی و استانداردها :
صنعت هوافضا از استانداردهایی مثل DO-178C پیروی میکند. Ada و C ابزارها و کتابخانههای تأییدشدهای برای این استاندارد دارند اما برای جاوا و پایتون چنین پشتیبانی و تأیید رسمی بسیار محدود یا تقریباً وجود ندارد.
4-کارایی (Performance & Footprint):
پایتون کنده چون مفسریه جاوا هم به خاطر JVM و مدیریت حافظه سربار زیادی داره که خب توی سیستم های هوافضا که سرعت مهمه و منابع سخت افزاری محدودی داریم نمیشه یه برنامه کند و برنامه ای که کلی منابع میخواد رو اجرا کنیم.
در نهایت باید بگم که زبان هایی که باهاشون نرم افزارهای سیستم های هوافضا، نظامی و حساس رو میسازن Ada-Spark ada - C و جدیدا Rust هستند.
<Mohsen Shojaei Yeganeh/>
👇👇👇👇👇👇👇
@software_Labdon
🔵 عنوان مقاله
Gcore Radar Report Reveals 41% Surge in DDoS Attack Volumes (4 minute read)
🟢 خلاصه مقاله:
گزارش Radar شرکت Gcore برای نیمه اول 2025 نشان میدهد حجم حملات DDoS نسبت به سال قبل ۴۱٪ افزایش یافته و اوج ۲.۲ Tbps را ثبت کرده است. تمرکز مهاجمان از حوزه بازی به سمت بخشهای مالی و فناوری تغییر کرده و آنها با کارزارهای طولانی و چندبرداری تلاش میکنند از دفاعهای کوتاهمدت عبور کنند. پیامد این روند، نیاز به حفاظت همیشهفعال، شناسایی رفتاری، اسکرابینگ خودکار ترافیک در لبه و پوشش جامع لایههای L3 تا L7 است.
#DDoS #Cybersecurity #Gcore #ThreatIntelligence #NetworkSecurity #Fintech #TechSector #DDoSMitigation
🟣لینک مقاله:
https://hackread.com/gcore-radar-report-reveals-41-surge-in-ddos-attack-volumes/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Gcore Radar Report Reveals 41% Surge in DDoS Attack Volumes (4 minute read)
🟢 خلاصه مقاله:
گزارش Radar شرکت Gcore برای نیمه اول 2025 نشان میدهد حجم حملات DDoS نسبت به سال قبل ۴۱٪ افزایش یافته و اوج ۲.۲ Tbps را ثبت کرده است. تمرکز مهاجمان از حوزه بازی به سمت بخشهای مالی و فناوری تغییر کرده و آنها با کارزارهای طولانی و چندبرداری تلاش میکنند از دفاعهای کوتاهمدت عبور کنند. پیامد این روند، نیاز به حفاظت همیشهفعال، شناسایی رفتاری، اسکرابینگ خودکار ترافیک در لبه و پوشش جامع لایههای L3 تا L7 است.
#DDoS #Cybersecurity #Gcore #ThreatIntelligence #NetworkSecurity #Fintech #TechSector #DDoSMitigation
🟣لینک مقاله:
https://hackread.com/gcore-radar-report-reveals-41-surge-in-ddos-attack-volumes/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hackread
Gcore Radar Report Reveals 41% Surge in DDoS Attack Volumes
Luxembourg, Luxembourg, 25th September 2025, CyberNewsWire
🔵 عنوان مقاله
Critical Vulnerability in Salesforce AgentForce Exposed (2 minute read)
🟢 خلاصه مقاله:
** محققان Noma Security یک آسیبپذیری بحرانی با امتیاز CVSS 9.4 در AgentForce متعلق به Salesforce شناسایی کردند که امکان افشای داده از طریق indirect prompt injection را فراهم میکرد. مهاجم میتوانست دستورهای مخفی را در Web-to-Lead قرار دهد تا بهعنوان داده مشتری ذخیره شود و هنگام پرسوجوی بعدی کاربر از AgentForce، این دستورها اجرا شده و به افشای اطلاعات منجر شوند. Salesforce با اعمال Trusted URLs و ایمنسازی مجدد یک دامنه منقضیشده این مشکل را برطرف کرد. این مورد نشان میدهد ورودیهای غیرقابلاعتماد در جریانهای کاری مبتنی بر هوش مصنوعی میتوانند خطرناک باشند و نیاز به کنترلهای فنی و آگاهی کاربران وجود دارد.
#Salesforce #AgentForce #PromptInjection #AIsecurity #DataExfiltration #CVSS #WebSecurity #NomaSecurity
🟣لینک مقاله:
https://www.infosecurity-magazine.com/news/critical-flaw-salesforce-agentforce/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Critical Vulnerability in Salesforce AgentForce Exposed (2 minute read)
🟢 خلاصه مقاله:
** محققان Noma Security یک آسیبپذیری بحرانی با امتیاز CVSS 9.4 در AgentForce متعلق به Salesforce شناسایی کردند که امکان افشای داده از طریق indirect prompt injection را فراهم میکرد. مهاجم میتوانست دستورهای مخفی را در Web-to-Lead قرار دهد تا بهعنوان داده مشتری ذخیره شود و هنگام پرسوجوی بعدی کاربر از AgentForce، این دستورها اجرا شده و به افشای اطلاعات منجر شوند. Salesforce با اعمال Trusted URLs و ایمنسازی مجدد یک دامنه منقضیشده این مشکل را برطرف کرد. این مورد نشان میدهد ورودیهای غیرقابلاعتماد در جریانهای کاری مبتنی بر هوش مصنوعی میتوانند خطرناک باشند و نیاز به کنترلهای فنی و آگاهی کاربران وجود دارد.
#Salesforce #AgentForce #PromptInjection #AIsecurity #DataExfiltration #CVSS #WebSecurity #NomaSecurity
🟣لینک مقاله:
https://www.infosecurity-magazine.com/news/critical-flaw-salesforce-agentforce/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Infosecurity Magazine
Critical Vulnerability in Salesforce AgentForce Exposed
Critical flaw ForcedLeak in Salesforce's AgentForce allows CRM data theft via prompt injection
❤1