دارم پادکست پاول دوروف مال تلگرام رو میبینم

نکته جالبش اینجا اگر برادر نابغش نبود هیچ وقت تلگرامی وجود نداشت

نکته دیگه اینه اگر دقت کرده باشید پاول برعکس مارک زاکربرگ ، ایلان ماسک و . . .

زندگی خیلی لاکچری داره ولی ایلان و زاکربرگ همیشه ساده پوشن و خیلی زنی بی آلایشی از خودشون نشون میدن

حتی مارک و ایلان نهایتا ۶ تا ۸  ساعت میخوابن و پاول ۱۲ ساعت

دلیلش از نظر من خیلی جالبه

ایلان و زاکربرگ تمام سهام شرکتشون برای خودشون نیست! سرمایه گذار های بزرگی پشتشونه و هروقت بیان خودشون رو اینطور نشون بدن قطعابا فشار زیادی مواجه میشن

ولی پاول مالک خودش هست و برادرش و کلا ۴۰ برنامه نویس

هیچ وقت هم جواب به کسی نمیده

نکات خیلی زیادی داره این شخص پیشنهاد میکنم حتما درموردش مطالعه کنید

https://www.youtube.com/watch?v=qjPH9njnaVU

🔵 عنوان مقاله
Finally: Unit Testing for LLMs That Doesn't Require a PhD or $100K Budget

🟢 خلاصه مقاله:
** دکتر Ernesto Lee نشان می‌دهد برای ساخت اپلیکیشن‌های مبتنی بر LLM لازم نیست PhD یا بودجه‌های بسیار بزرگ داشته باشید تا تست خودکار جدی و مؤثر پیاده کنید. ایده اصلی این است که هر prompt، chain و فراخوانی ابزار را مثل یک واحد مستقل با مشخصات روشن ببینید و برای آن‌ها تست بنویسید: از اعتبارسنجی ساختار خروجی (مثلاً JSON Schema) و الزامات فیلدها، تا چک‌های ایمنی/سیاست و نمونه‌های طلایی دامنه‌ای. با snapshot test، داده‌های نمونه کم‌حجم اما پوشش‌دهنده لبه‌ها، و mock/stub برای وابستگی‌های خارجی، تست‌ها سریع، ارزان و قابل تکرار می‌مانند.

برای کنترل هزینه و نوسان، می‌توان پاسخ‌ها را cache کرد، بیشتر تست‌ها را با temperature=0 اجرا نمود، محدودیت توکن گذاشت، و مجموعه تست‌های «سریع» را از ارزیابی‌های «سنگین‌تر» دوره‌ای جدا کرد. نسخه‌دهی به promptها و داده‌های طلایی، گزارش‌کردن معیارها و اتصال این چرخه به CI باعث می‌شود هر تغییر کد یا prompt فوراً ارزیابی شود و رگرسیون‌ها دیده شوند. در صورت شکست تست، سریع مشخص کنید مشکل از تغییر prompt است، drift مدل بالادستی یا وابستگی ابزار، و همان یادگیری را به تست‌ها برگردانید.

نتیجه این رویکرد، چرخه توسعه سریع‌تر با اطمینان بیشتر و هزینه کنترل‌شده است. پیام Lee روشن است: Unit Testing عملی و مقیاس‌پذیر برای LLMها در دسترس همه تیم‌هاست، نه فقط تیم‌های بزرگ.

#LLM
#UnitTesting
#AIEngineering
#TestingAutomation
#MLOps
#PromptEngineering
#ContinuousIntegration
#QualityAssurance

🟣لینک مقاله:
https://cur.at/YHqFc9m?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
What's new in JUnit 6: Key Changes and Improvements

🟢 خلاصه مقاله:
JUnit 6 منتشر شده و پس از سال‌ها نخستین نسخهٔ عمدهٔ این چارچوب است. این نسخه با تمرکز بر شفافیت و انعطاف‌پذیری، بهبود چرخهٔ اجرای تست، قدرت بیشتر در توسعه‌پذیری، اجرای موازی کارآمدتر، و یکپارچگی عمیق‌تر با IDEها و محیط‌های CI ارائه می‌شود. مسیر مهاجرت برای تیم‌های روی JUnit 4 و JUnit 5 هم با راهنمایی و ملاحظات سازگاری پوشش داده شده است. در این معرفی، Vladimir Dmitrienko نکات کلیدی و کاربردی را به‌همراه نمونه‌ها و بهترین‌روش‌ها توضیح می‌دهد.

#JUnit6 #JUnit #Java #UnitTesting #SoftwareTesting #TestAutomation #DevTools

🟣لینک مقاله:
https://cur.at/HGYIcvY?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How Playwright Runs Workers and Test Fixtures (Parallel vs Serial vs Default)!

🟢 خلاصه مقاله:
این مقاله از Thananjayan Rajasekaran به‌صورت عملی نشان می‌دهد Playwright Test چگونه workers و test fixtures را مدیریت می‌کند و تفاوت حالت‌های default، parallel و serial چیست. ابتدا توضیح می‌دهد که به‌طور پیش‌فرض فایل‌های تست روی چند worker به‌صورت موازی اجرا می‌شوند اما تست‌های داخل هر فایل به‌صورت ترتیبی اجرا می‌گردند؛ همچنین به تعامل retries، projects و گزینه‌هایی مانند --workers و sharding برای کنترل سرعت و پایداری اشاره می‌کند. سپس روش‌های افزایش همزمانی را بررسی می‌کند: فعال‌کردن fullyParallel در تنظیمات یا استفاده از test.describe.configure({ mode: 'parallel' }) برای موازی‌سازی بخشی از تست‌ها، همراه با هشدار درباره ریسک‌های وضعیت مشترک و flaky شدن. در بخش serial، با test.describe.serial یا تنظیم mode: 'serial' می‌توان اجرای ترتیبی و توقف زنجیره پس از شکست را تضمین کرد؛ راهکاری که برای گردش‌کارهای وابسته یا منابع غیرقابل‌اشتراک میان workers مفید است، هرچند توصیه می‌شود فقط در صورت نیاز استفاده شود. بخش مهم دیگر به fixtures می‌پردازد: تفاوت بین per-test و worker-scoped و تأثیر مستقیم آن‌ها بر موازی‌سازی؛ اینکه worker-scoped بین workers به‌اشتراک گذاشته نمی‌شود و ممکن است چند نمونه مستقل از یک منبع ایجاد شود. مقاله با نمونه‌کدهای روشن برای تنظیم workers، فعال‌سازی fullyParallel، علامت‌گذاری suiteها به‌صورت serial یا parallel و ترکیب آن‌ها با projects و retries، یک الگوی ذهنی شفاف برای انتخاب بهینه بین default، parallel و serial ارائه می‌دهد تا هم سرعت اجرا بالا برود و هم پایداری CI حفظ شود.

#Playwright #Testing #E2E #ParallelTesting #TestAutomation #JavaScript #Fixtures #CI

🟣لینک مقاله:
https://cur.at/93wY1jL?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Industry's First Real AI SOC Benchmark Study (Sponsor)

🟢 خلاصه مقاله:
این مطالعه توسط Cloud Security Alliance با همکاری Dropzone AI برای نخستین‌بار عملکرد واقعی AI در محیط‌های SOC را بنچمارک می‌کند. به‌جای آزمایش‌های آزمایشگاهی، رفتار تحلیل‌گران واقعی روی هشدارهای واقعی بررسی شده تا اثر واقعی کمک‌های AI بر جریان کار و تصمیم‌گیری روشن شود. این پژوهش مستقل و بدون ملاحظات تبلیغاتی، داده‌های قابل اتکایی فراهم می‌کند تا هیئت‌مدیره و رهبران امنیت درباره سرمایه‌گذاری در AI تصمیم‌های آگاهانه بگیرند. برای جزئیات روش‌شناسی، نتایج کلیدی و توصیه‌های اجرایی، مطالعه را دانلود کنید.

#SOC #AI #Cybersecurity #SecurityOperations #Benchmark #CloudSecurity #AIAssistance #Infosec

🟣لینک مقاله:
https://www.dropzone.ai/ai-soc-benchmark-study?utm_campaign=25529265-%5BDigital%20Sponsorship%5D%20TLDR%20InfoSec%20Newsletter%20Secondary%2010-16-25&utm_source=sponosorship&utm_medium=newsletter&utm_content=CSA%20benchmark%20study

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
‘You'll Never Need to Work Again': Criminals Offer Reporter Money to Hack BBC (3 minute read)

🟢 خلاصه مقاله:
** یک خبرنگار BBC در Signal توسط فردی که خود را «reach out manager» گروه باج‌افزاری Medusa معرفی می‌کرد، ترغیب شد که در ازای دسترسی به دستگاه سازمانی‌اش، ۲۵٪ از باج را دریافت کند. خبرنگار برای جمع‌آوری اطلاعات، گفتگو را ادامه داد و شاهد افزایش فشار و تاکتیک‌های مهندسی اجتماعی شد. وقتی اقناع جواب نداد، مهاجم با ارسال مکرر درخواست‌های 2FA (MFA fatigue) تلاش کرد دسترسی بگیرد. پیش از آن‌که خبرنگار تیم امنیت BBC را مطلع کند، سیل درخواست‌ها باعث شد دستگاه به‌عنوان اقدام حفاظتی از شبکه جدا/ایزوله شود. این ماجرا نشان می‌دهد چگونه باج‌افزارها با ترکیب تطمیع مالی، فشار روانی و حملات احراز هویت، به‌دنبال نفوذ از طریق افراد داخل سازمان هستند.

#Ransomware #Medusa #BBC #Cybersecurity #SocialEngineering #2FA #MFAFatigue

🟣لینک مقاله:
https://www.bbc.com/news/articles/c3w5n903447o?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

#دراز_نیوز

بیش از ١۴ هزار وب‌سایت وردپرسی هک شدند و بدافزار منتشر کردند

وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا در اینترنت است و بیش از ۴٣ درصد از تمام وب‌سایت‌ها بر پایه وردپرس اجرا می‌شوند. همین موضوع باعث شده تا حملات سایبری به آن بسیار نگران‌کننده باشند و حالا گزارشی درباره هک‌شدن بیش از ١۴ هزار وب‌سایت وردپرسی منتشر شده که در آن هکرها از تکنیک جدیدی استفاده کرده‌اند.

طبق گزارش جدیدی از بخش امنیت گوگل، هکرهایی با نام رمز UNC5142 با موفقیت وارد وب‌سایت‌های وردپرسی شده و با استفاده از روشی کاملاً جدید، بدافزاری را در سطح وب پخش کرده‌اند. این گروه معمولاً وب‌سایت‌هایی را هدف قرار می‌دهد که از قالب‌ها، افزونه‌ها یا پایگاه‌داده‌های آسیب‌پذیر وردپرس استفاده می‌کردند.

وب‌سایت‌های هدف، با نوعی دانلودر جاوااسکریپتی چندمرحله‌ای به نام CLEARSHORT آلوده شده‌اند که وظیفه توزیع بدافزار را برعهده داشته است. سپس این گروه از تکنیک جدیدی به نام EtherHiding استفاده کرده که توسط CLEARSHORT فعال می‌شود.

♨️ اسپاتیفای در حال تست قابلیتی برای استخراج DNA آهنگ!

▪️با این ویژگی قراره بفهمید چه کسانی پشت هر آهنگ بودن ، از ترانه‌سرا و تهیه‌کننده گرفته تا نوازنده‌ها. یعنی اگه مثلاً آهنگ جدید Taylor Swift رو دوست داری و تهیه‌کننده‌ش Max Martin باشه، اسپاتیفای ، آهنگ‌های دیگه‌ای از مکس مارتین رو بهت پیشنهاد میده!

+ این یعنی یه لایه‌ی تازه از پیشنهاد موزیک: نه فقط بر اساس «چی گوش دادی»، بلکه بر اساس «کی اون آهنگ رو ساخته».

🔵 عنوان مقاله
SetupHijack (GitHub Repo)

🟢 خلاصه مقاله:
** ابزار SetupHijack در GitHub برای شناسایی ضعف‌های امنیتی در روند نصب و به‌روزرسانی Windows طراحی شده است. این پروژه نشان می‌دهد چگونه خطاهای شرط رقابتی و رسیدگی ناایمن به فایل‌ها در فرایندهایی که با دسترسی بالاتر اجرا می‌شوند، می‌تواند به اجرای کد یا ارتقای سطح دسترسی منجر شود. این ابزار با رصد رفتار نصب/آپدیت و برجسته‌کردن الگوهای پرخطر (مثل مجوزهای نادرست روی مسیرهای موقت، عملیات غیراَتُمیک فایل و تکیه بر مسیرهای قابل‌نوشتن برای همه)، به پژوهشگران و تیم‌های امنیتی کمک می‌کند مشکل را در محیط کنترل‌شده بازتولید کرده و برای رفع آن اقدام کنند. استفاده از SetupHijack باید صرفاً برای تست مجاز و اخلاقی باشد. راهکارهای کاهش خطر شامل رعایت اصول Windows Installer، اعمال ACL سخت‌گیرانه، استفاده از عملیات فایل اَتُمیک و مسیرهای موقت امن، کاهش سطح دسترسی در اسرع وقت، اعتبارسنجی امضاهای دیجیتال در زمان استفاده، بهره‌گیری از چارچوب‌های به‌روزرسانی امن و پیاده‌سازی پایش و سیاست‌های کنترل اجرای برنامه است.

#WindowsSecurity #InstallerSecurity #RaceCondition #PrivilegeEscalation #SetupHijack #AppSec #SecureUpdates #BlueTeam

🟣لینک مقاله:
https://github.com/hackerhouse-opensource/SetupHijack?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

تا حالا اسم Server-Driven UI یا همون SDUI رو شنیدی؟

توی مدل معمولی ساخت اپ (Client-Driven UI)، همه‌چی از طراحی صفحه تا منطق رابط کاربری داخل خود اپ نوشته میشه.
یعنی حتی برای یه تغییر کوچیک تو رنگ، متن یا چیدمان، باید اپ رو دوباره بیلد کنی، منتشرش کنی و صبر کنی تا کاربر آپدیت کنه

اما SDUI یه نگاه جدید به این موضوع داره
توی این مدل، UI از سمت سرور تعریف میشه و اپ فقط اون داده‌ها رو می‌گیره و رندر می‌کنه.
نتیجه؟ می‌تونی ظاهر اپ رو از راه دور و بدون نیاز به آپدیت کاربر تغییر بدی!

برای ما فلاتر‌کارها هم یه پکیج خیلی کاربردی توی این حوزه ساخته شده به اسم Stac (قبلاً با نام Mirai شناخته می‌شد).

پکیج Stac یه فریم‌ورک SDUI مخصوص فلاتره که اجازه میده UI رو به صورت JSON از سرور بفرستی و اپ اون رو مثل ویجت‌های فلاتر رندر کنه.

چند تا مزیت مهمش:
- تغییر سریع UI بدون انتشار نسخه جدید
- شخصی‌سازی برای هر کاربر
- تست A/B راحت‌تر
- انعطاف بالا برای تیم‌های چابک (Agile)

اگه دنبال راهی هستی که اپ فلاترت رو پویا، سبک و قابل‌به‌روزرسانی از سرور بسازی،
پیشنهاد می‌کنم یه سر به Stac بزنی
معرفی در Medium
https://medium.com/stac/introducing-mirai-a-server-driven-ui-framework-for-flutter-d020fd0c387d

<Aria Ramin/>

🔵 عنوان مقاله
5CA denies third-party Zendesk platform was cause of Discord breach (2 minute read)

🟢 خلاصه مقاله:
**اختلال اخیر در Discord به تنش میان روایت‌ها انجامیده است: 5CA به‌طور علنی ادعای اولیه Discord را که نقص از سامانه‌های Zendesk متعلق به 5CA ناشی شده بود رد کرده و مسئولیت را نپذیرفته است. طبق گزارش‌ها، گروه Scattered LAPSUS$ Hunters از ۲۰ سپتامبر به‌مدت ۵۸ ساعت دسترسی داشت و حدود ۱.۶ ترابایت داده شامل تیکت‌های پشتیبانی، اطلاعات ۵.۵ میلیون کاربر، اطلاعات پرداخت بخشی از ۵۸۰ هزار کاربر و بیش از ۷۰ هزار مدرک هویتی دولتی را سرقت کرد. این اختلاف نظر نشان می‌دهد در رخدادهای طرف‌سوم، انتساب سریع می‌تواند ناقص باشد و ضرورت دقت در اطلاع‌رسانی و راستی‌آزمایی یافته‌های فنی پیش از مقصر دانستن یک تامین‌کننده را برجسته می‌کند. برای تیم‌های امنیتی، بازنگری کنترل دسترسی و ثبت‌لاگ در سامانه‌های پشتیبانی، کاهش نگهداری اسناد هویتی حساس، و هماهنگی ارتباطات بحران با فروشندگان از نکات کلیدی است.

#Cybersecurity #DataBreach #Discord #5CA #Zendesk #ThirdPartyRisk #IncidentResponse #LAPSUS

🟣لینک مقاله:
https://cybernews.com/news/discord-breach-zendesk-partner-5ca-denies-third-party-platform-hack/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Day I Became an AI "Babysitter" (And Why I'm Not Ashamed of It)

🟢 خلاصه مقاله:
** این مقاله از Santhosh Siddegowda نشان می‌دهد به‌کارگیری AI در تست به‌جای جایگزینی کامل، به معنای «نظارت هوشمندانه» است. او توضیح می‌دهد چگونه کیس‌های کلاسیک QA به جریان‌های AI-assisted تبدیل می‌شوند: بازنویسی بر پایه قصد کاربر و پرامپت، تعریف گاردریل‌ها و اوراکل‌های تست، و افزودن بازبینی Human-in-the-Loop برای مهار ناپایداری و خطاهای مدل. نویسنده بر عملیات‌پذیری تأکید می‌کند—نسخه‌بندی پرامپت‌ها، لاگ‌برداری و ارزیابی مداوم کیفیت—و نتیجه می‌گیرد که هرچند AI سرعت و پوشش تست را افزایش می‌دهد، موفقیت به سنجش‌پذیری، محرمانگی داده، معیارهای پذیرش روشن و نقش فعال انسان وابسته است. جمع‌بندی او: با موارد مناسب شروع کنید، گاردریل و اوراکل شفاف بسازید، اثر را اندازه‌گیری کنید و قضاوت انسانی را در مرکز نگه دارید؛ «AI babysitting» رویکردی مسئولانه برای قابل‌اعتماد کردن AI در QA است.

#AIinTesting #QA #TestAutomation #LLM #HumanInTheLoop #PromptEngineering #SoftwareQuality

🟣لینک مقاله:
https://cur.at/PnnqBWN?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Test Automation: How to Turn Regression Routine into a Reliable System

🟢 خلاصه مقاله:
این مقاله روایت عملی Maksim Laptev از گذار تیم از رگرسیون دستی به یک سامانه خودکار و قابل اتکاست. او بر اولویت‌بندی مبتنی بر ریسک تأکید می‌کند: شروع با اسموک تست‌های سریع، افزودن تست‌های پایدار در سطح API برای هسته سیستم و خودکارسازی محدود اما هدفمند مسیرهای UI پرارزش، در کنار حفظ تست‌های اکتشافی. معیارهای انتخاب ابزار شامل هم‌راستایی با زبان تیم، یکپارچگی با CI/CD، اجرای موازی، گزارش‌دهی و نگهداشت‌پذیری است و پرهیز از تنوع بی‌رویه ابزار توصیه می‌شود. در معماری، جداسازی لایه‌ها (الگوهایی مانند Page Object/Screenplay)، مدیریت داده و محیط تکرارپذیر، حذف منابع flakiness با انتظارهای قطعی و setup/teardown ایمن، و برچسب‌گذاری و شاردینگ برای سرعت، نقش کلیدی دارند. ادغام در CI/CD با دروازه‌های سریع، رگرسیون‌های دوره‌ای و سنجه‌هایی مانند پوشش جریان‌های حیاتی، نرخ flake و زمان رفع، کیفیت را پایدار می‌کند. در نهایت با یک نقشه راه گام‌به‌گام، آموزش و کدنویسی استاندارد برای تست‌ها، و بازبینی و هرس منظم، می‌توان سامانه‌ای ساخت که چرخه بازخورد را کوتاه و ریسک انتشار را کم می‌کند.

#TestAutomation #SoftwareTesting #QA #RegressionTesting #CICD #DevOps #SDET

🟣لینک مقاله:
https://cur.at/Z0J7xPm?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🧠 آموزش زبان سالیدیتی و ترید ارز دجیتال از صفر تا حرفه‌ای به صورت رایگان

🔹 جدیدترین اخبار بلاکچین و کریپتو و فناوری

🔹 تحلیل پروژه‌ها روز و فرصت‌های Web3

⚙️ نکات فنی، ترفندهای توسعه و فرصت‌های شغلی

به جامعه توسعه‌دهندگان آینده‌نگر بپیوند!

👇👇👇

📲 [@omidtrade360]

A Guide to Microservices Architecture for Building Scalable Systems
https://blog.bytebytego.com/p/a-guide-to-microservices-architecture

8 platform engineering anti-patterns
https://www.infoworld.com/article/4064273/8-platform-engineering-anti-patterns.html

♨️ چین: آمریکا درپی فلج‌کردن زمان است! 😐

▪️وزارت امنیت ملی چین مدعی شده گروهی از حملات سایبری پیچیده هدایت‌شده توسط NSA آمریکا ، رو خنثی کرده که هدفش مرکز خدمات ملی زمان چین (NTSC) بوده.

▪️هدف این حملات به ادعای امنیت چین اختلال در سامانه‌ٔ زمان رسمی که سرویس‌های حیاتی مثل مخابرات، مالی، حمل‌و‌نقل و پرتاب‌های فضایی به آن وابسته‌اند.

▪️آسیب به سامانه‌های زمان‌‌سنجی می‌تواند تبعات گسترده‌ای (از اختلالت بانکی تا مشکل در ناوبری و فضا) ایجاد کند. این ادعاها اگر درست باشند، موضوعی فراتر از یک حمله فنی‌ست...!
➖➖➖➖➖➖➖➖
👑 @software_Labdon

♨️ اختلال گسترده در DNS آمازون

▪️از صبح امروز سرویس DNS شرکت آمازون دچار مشکل شده و همین باعث اختلال در بخشی از اینترنت جهانی شده.

▪️بیشتر DNSهای رایگان ایران هم فعلاً از کار افتادن و ممکنه بعضی سایت‌ها یا بازی‌ها باز نشن.

▪️اگه برای ورود به بازی‌ها مشکل دارید، می‌تونید موقتاً از DNS شرکت Windscribe استفاده کنید 👇

76.76.2.11
76.76.10.11

76.76.2.22
76.76.10.22

➖➖➖➖➖➖➖➖
👑 @software_Labdon

فورتنایت و اسنپ‌چت در نتیجه قطعی سرورهای آمازون از دسترس خارج شدند
https://www.zoomit.ir/internet-network/450282-aws-outage-alexa-fortnite-snapchat-offline/

🔵 عنوان مقاله
Blind Enumeration of gRPC Services (3 minute read)

🟢 خلاصه مقاله:
gRPC در نبود مستندات و با غیرفعال بودن reflection، کشف سرویس‌ها را دشوار می‌کند. Adversis برای حل این مشکل ابزار grpc-scan را معرفی کرده که با اتکا به تفاوت کدهای خطای gRPC (مثل UNIMPLEMENTED در برابر NOT_FOUND) می‌تواند تشخیص دهد یک نام سرویس وجود دارد یا خیر—even وقتی روش درخواست‌شده نامعتبر است. این ابزار با تولید سیستماتیک نام‌های سرویس/متد بر اساس الگوهای رایج و ارسال همزمان درخواست‌ها از طریق HTTP/2 multiplexing، هزاران ترکیب را سریع آزمایش کرده و از الگوی پاسخ‌ها، سرویس‌های محتمل را استخراج می‌کند. خروجی، نقشه‌ای عملی از سطح حمله gRPC در شرایط محدود است: برای تیم‌های قرمز، کشف سرویس‌های مستندنشده و پیکربندی‌های نادرست؛ و برای تیم‌های آبی، سنجش میزان افشا و کفایت لاگ‌برداری. اقدامات دفاعی شامل یکنواخت‌سازی پاسخ خطا برای سرویس/متد نامعتبر، اعمال احراز هویت و مجوزدهی قوی در Gateway/Service Mesh، محدودسازی reflection به محیط توسعه، و رصد الگوهای اسکن است. استفاده از grpc-scan باید اخلاقی و با مجوز باشد.

#gRPC #Security #ServiceDiscovery #Pentesting #HTTP2 #AppSec #RedTeam #APIEnumeration

🟣لینک مقاله:
https://www.adversis.io/blogs/blind-enumeration-of-grpc-services?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon