🔵 عنوان مقاله
Cyber giant F5 Networks says government hackers had 'long-term' access to its systems, stole code and customer data (3 minute read)

🟢 خلاصه مقاله:
F5 Networks اعلام کرد یک گروه هکری وابسته به دولت برای مدتی طولانی به بخشی از سامانه‌های داخلی آن دسترسی داشته و در این مدت «کد منبع» و داده‌های مشتریان را سرقت کرده است. این نفوذ به حوزه‌های کلیدی توسعه محصول رسیده و پیکربندی‌های حساس برخی مشتریان را نیز افشا کرده است. F5 ضمن مهار حادثه و انتشار وصله‌های امنیتی هشدار داده که بیش از ۱۰۰۰ شرکت، ازجمله بسیاری از شرکت‌های Fortune 500، ممکن است در معرض خطر باشند.

#CyberSecurity #DataBreach #F5Networks #APT #SupplyChainRisk #Infosec #IncidentResponse

🟣لینک مقاله:
https://techcrunch.com/2025/10/15/cyber-giant-f5-networks-says-government-hackers-had-long-term-access-to-its-systems-stole-code-and-customer-data/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Google's AI bounty program pays bug hunters up to $30K (2 minute read)

🟢 خلاصه مقاله:
Google یک برنامه باگ‌بانتی ویژه امنیت AI راه‌اندازی کرده که برای کشف آسیب‌پذیری‌هایی که می‌توانند به اقدامات ناخواسته، دسترسی غیرمجاز به حساب‌ها یا نشت داده‌ها منجر شوند، تا ۳۰هزار دلار پاداش می‌دهد. تمرکز برنامه بر نقص‌هایی است که سوءاستفاده از رفتار مدل یا یکپارچه‌سازی‌های مرتبط را ممکن می‌کنند. میزان پاداش بر اساس شدت و اثرگذاری واقعی تعیین می‌شود و هدف، تقویت امنیت، جلوگیری از سوءاستفاده و ترویج گزارش‌دهی مسئولانه است.

#Google #AI #BugBounty #CyberSecurity #VulnerabilityDisclosure #EthicalHacking #DataPrivacy

🟣لینک مقاله:
https://www.theverge.com/news/793362/google-ai-security-vulnerability-rewards?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How We Utilize AI Agents in Our Testing and Quality Processes

🟢 خلاصه مقاله:
این مقاله با روایت Utku Kılınçcı چهار کاربرد عملی از به‌کارگیری AI agents در تست و تضمین کیفیت را توضیح می‌دهد: ۱) تبدیل نیازمندی‌ها به تست‌های قابل اجرا و به‌روزرسانی مداوم سبد تست با تغییرات مشخصات، ۲) نقش همکار اکتشافی برای کشف سناریوهای مرزی، ثبت شواهد و بازتولید مشکل، ۳) تحلیل و اولویت‌بندی باگ‌ها از طریق خلاصه‌سازی لاگ‌ها، خوشه‌بندی خطاها و ارائه سرنخ‌های ریشه‌یابی، و ۴) بهبود پایداری رگرسیون و درگاه‌های کیفی CI با شناسایی تست‌های flaky، پیشنهاد خوددرمانی و بهینه‌سازی پایپ‌لاین. در همه موارد، نظارت انسانی، رعایت حریم داده و سنجش نتایج (پوشش، MTTR، روند flakiness و زمان چرخه) ضروری است. نتیجه: پذیرش تدریجی AI agents روی مسائل واقعی، سرعت، پایداری و پوشش تست را به‌طور ملموس افزایش می‌دهد بی‌آنکه مالکیت کیفیت را تضعیف کند.

#SoftwareTesting #AIagents #QualityAssurance #TestAutomation #BugTriage #ContinuousIntegration #SoftwareQuality #DevOps

🟣لینک مقاله:
https://cur.at/qRpZzn9?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

میخوام دو تا از عجیب ترین Http status code هایی که وجود داشته و داره رو بگم

احتمالا درمورد Http Status Code 418 شنیده باشین.
418 (I'm a teapot)
داره میگه من قوری ام! جالب تر از اینکه چرا وجود داره و میگه من قوری ام اینه که به طور رسمی این http status code تو RFC 2324 ثبت شده!

این یکی رسمی نیست اصلا ولی تو Twitter API v1 ازش استفاده شده بود.
420 (Enhance your calm)
برای اینکه بگن آقا زیاد داری درخواست میفرستی از این استفاده میکردن
بعدا چون تو استاندارد نبود تو v1.1 اومدن تبدیلش کردن به 429 (Too many requests).

<Ali Valizadeh/>

🚀 به دنیای توسعه و تکنولوژی خوش اومدی!

اگر به موضوعات زیر علاقه‌مندی:

🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصت‌های شغلی ریموت (خارجی و داخلی)

ما برات یه مجموعه کانال‌های تخصصی ساختیم تا همیشه به‌روز، حرفه‌ای و الهام‌بخش بمونی!
📚 یادگیری، فرصت، شبکه‌سازی و پیشرفت، همش اینجاست...

📌 از این لینک همه چنل‌هامونو یه‌جا ببین و جوین شو:

👉 https://t.iss.one/addlist/AJ7rh2IzIh02NTI0

اگر علاقه‌مند به امنیت دفاعی و Blue Team هستید یا می‌خواهید دانش خود یا سازمان‌تان را مورد سنجش قرار دهید،
مخزن Awesome Cybersecurity Blue Team می‌تواند تا حدود زیادی به شما در پیدا کردن این مسیر، به شما کمک کند!
https://github.com/fabacab/awesome-cybersecurity-blueteam

با دو سال سابقه کار
حتی با اینکه کاراموز شرکت امازون هم بوده

شامل layoff اخیر شده و بیکار شده

متأسفانه ai خیلی قوی تر شده

و تهدید محسوب میشه

👋 درود به همه دوستان عزیز

📌 اگر شما هم مقاله، مطلب آموزشی یا هر چیزی که فکر می‌کنید درباره مهندسی نرم افزار و کیفیت کد و امنیت می‌تونه مفید باشه دارید، خوشحال میشم برام بفرستید تا با اسم خودتون توی کانال منتشر کنم.

🤝 اینطوری هم به بقیه کمک می‌کنید و هم محتوای ارزشمندتون بیشتر دیده میشه.
@mrbardia72

درود به همه‌ی دوستان عزیز 🌿

اگر پیشنهاد یا انتقادی دارید که می‌تونه به بهتر شدن کانال‌ها ی زیر کمک کنه،
👉 https://t.iss.one/addlist/AJ7rh2IzIh02NTI0

خیلی خوشحال می‌شم نظرتون رو بدونم و ازش استفاده کنم 🙌

می‌تونید از طریق آی‌دی زیر با من در تماس باشید:

📩 @mrbardia72


منتظر نظرات خوب و سازنده‌تون هستم 💬
💚🤍❤️

🔵 عنوان مقاله
SockTail (GitHub Repo)

🟢 خلاصه مقاله:
**
SockTail یک باینری سبک در GitHub Repo است که دستگاه را به شبکه Tailscale متصل می‌کند و یک پراکسی محلی SOCKS5 روی port 1080 فراهم می‌سازد. هدف آن ساده‌سازی دسترسی شبکه‌ای در سناریوهای عملیات red team است؛ بدون نیاز به پیکربندی‌های پیچیده مثل port forwarding، سرویس‌های دائمی یا تونل‌های پرسر‌وصدا. با تکیه بر شبکه مش خصوصی و رمزنگاری Tailscale، دسترسی احرازشده، موقتی و کم‌ردپا فراهم می‌شود و ابزارها می‌توانند ترافیک خود را از طریق SOCKS5 محلی هدایت کنند، بی‌آنکه تغییرات عمیقی در تنظیمات سیستم ایجاد شود. استفاده از SockTail باید صرفاً در ارزیابی‌های مجاز و کنترل‌شده انجام شود.

#SockTail #Tailscale #SOCKS5 #RedTeam #Proxy #NetworkSecurity #GitHub #OffensiveSecurity

🟣لینک مقاله:
https://github.com/Yeeb1/SockTail?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
2FA testing with Playwright and Mailosaur

🟢 خلاصه مقاله:
** تست 2FA در سناریوهای E2E چالش‌برانگیز است، چون مرحله تأیید خارج از UI انجام می‌شود و کدها زود منقضی می‌شوند. Filip Hric در یک راهنمای عملی نشان می‌دهد چگونه با ترکیب Playwright و Mailosaur می‌توان این جریان را به‌صورت قابل‌اعتماد خودکار کرد: Playwright ورود را انجام می‌دهد، مرحله 2FA را فعال می‌کند، Mailosaur ایمیل حاوی OTP را از یک inbox کنترل‌شده می‌گیرد، کد استخراج می‌شود و در UI وارد می‌گردد تا احراز هویت کامل تأیید شود. نکات کلیدی شامل جداسازی داده‌های تست با یک سرور/اینباکس اختصاصی در Mailosaur، مدیریت timeout و چند ایمیل، کاهش flaky بودن با انتظارها و assertionهای مناسب، و پاک‌سازی بین اجراهاست. همچنین بر امنیت و اجرا در CI، نگهداری کلیدها در متغیرهای محیطی، و پوشش سناریوهایی مانند کد منقضی، کد نادرست و ارسال مجدد تأکید می‌کند. نتیجه: با Playwright و Mailosaur می‌توان 2FA را بدون هک‌های شکننده و با اطمینان بالا در مسیرهای حیاتی احراز هویت تست کرد.

#Playwright #Mailosaur #2FA #تست_خودکار #تست_پایان_به_پایان #QA #OTP #امنیت_برنامه

🟣لینک مقاله:
https://cur.at/xsedmVx?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Network security devices endanger orgs with '90s era flaws (3 minute read)

🟢 خلاصه مقاله:
** دستگاه‌های مرزی شبکه مثل فایروال‌ها، VPNها و درگاه‌های ایمیل به نقاط ریسک جدی تبدیل شده‌اند؛ به‌طوری‌که طبق پایش Google در سال 2024، نزدیک به یک‌سوم از 75 آسیب‌پذیری روز-صفر شناسایی‌شده، همین ابزارها را هدف گرفته‌اند. بخش بزرگی از این سوءاستفاده‌ها بر پایه نقص‌های قدیمی دهه ۹۰ است: سرریز بافر، تزریق فرمان و تزریق SQL؛ ضعف‌هایی که راهکارهای پیشگیری و تشخیص‌شان سال‌هاست شناخته شده، اما همچنان در کُدهای حیاتی فروشندگان امنیتی تکرار می‌شوند. به‌دلیل اینترنتی بودن، دسترسی‌های گسترده و اعتماد ضمنی این دستگاه‌ها، نفوذ به آن‌ها مسیر سریع برای دسترسی اولیه، جابه‌جایی جانبی، دستکاری جریان ایمیل، سرقت اعتبارنامه و خروج داده فراهم می‌کند. برای کاهش ریسک، سازمان‌ها باید این تجهیزات را مانند نرم‌افزارهای پرخطر مدیریت کنند: فهرست‌برداری دقیق، به‌روزرسانی سریع Firmware، رصد هشدارهای فروشنده، استفاده از وصله مجازی (WAF/IPS)، محدود کردن و امن‌سازی دسترسی مدیریتی، تفکیک شبکه و جمع‌آوری لاگ و تله‌متری. همچنین لازم است از فروشندگان بخواهند چرخه توسعه امن را تقویت کنند تا خطاهای قدیمی دوباره در مرز شبکه تکرار نشوند.

#NetworkSecurity
#ZeroDay
#Firewalls
#VPN
#EmailSecurity
#BufferOverflow
#SQLInjection
#Infosec

🟣لینک مقاله:
https://www.csoonline.com/article/4074945/network-security-devices-endanger-orgs-with-90s-era-flaws.html?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
CyberRidge (Product Launch)

🟢 خلاصه مقاله:
CyberRidge یک سامانه رمزنگاری فوتونیکِ plug-and-play معرفی کرده که داده‌های در حال انتقال را در لایه فیزیکی به سیگنال نوری شبیه نویزِ رمزگذاری‌شده تبدیل می‌کند؛ بنابراین هر گونه شنود فقط نویز بی‌معنا می‌بیند. این رویکرد با زیرساخت فیبر موجود سازگار است و بدون تغییرات اساسی در شبکه قابل استقرار است. هدف آن محافظت در برابر شنود، تحلیل‌های پیشرفته کوانتومی و حملات «الان جمع‌آوری کن، بعداً رمزگشایی کن» است تا مسیرهای انتقال داده به‌صورت پساکوانتومی امن شوند و به‌عنوان مکملی برای رمزنگاری‌های مرسوم در لایه‌های بالاتر عمل کند.

#PhotonicEncryption #PostQuantumSecurity #Cybersecurity #OpticalNetworking #DataProtection #QuantumResistant #HarvestNowDecryptLater #PlugAndPlay

🟣لینک مقاله:
https://www.cyber-ridge.com/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
trdl (GitHub Repo)

🟢 خلاصه مقاله:
خلاصه‌ای متن‌باز به نام trdl با تمرکز بر «تحویل مطمئن» آخرین مرحله‌ی توزیع نرم‌افزار را امن می‌کند: رساندن به‌روزرسانی‌ها از Git به کاربر نهایی با کانالی قابل‌اعتماد و قابل‌راستی‌آزمایی. این راهکار با اتصال طبیعی به فرآیندهای مبتنی بر Git و ادغام در اتوماسیون انتشار، تضمین می‌کند آنچه نصب می‌شود همان چیزی است که نگه‌دارندگان منتشر کرده‌اند. با تکیه بر امضا و راستی‌آزمایی رمزنگاری، اصالت، تمامیت و مبدأ به‌روزرسانی‌ها قبل از اعمال بررسی می‌شود؛ در نتیجه ریسک‌های زنجیره تأمین کاهش می‌یابد و امکان انتشارهای قابل‌ممیزی، بازگشت نسخه و سیاست‌های به‌روزرسانی (مانند stable یا pre-release) فراهم می‌شود. trdl متن‌باز است، می‌تواند self-hosted اجرا شود، و از طریق GitHub Repo در دسترس است؛ کاربران و تیم‌های عملیاتی نیز می‌توانند با یک رابط ساده مانند CLI به‌روزرسانی‌های مورد اعتماد را دریافت و اعمال کنند.

#trdl #SupplyChainSecurity #SecureUpdates #Git #OpenSource #DevOps #SoftwareDelivery #CI/CD

🟣لینک مقاله:
https://github.com/werf/trdl?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Introducing CodeMender: an AI agent for code security (5 minute read)

🟢 خلاصه مقاله:
** CodeMender ابزاری مبتنی بر هوش مصنوعی از Google DeepMind است که به‌صورت خودکار آسیب‌پذیری‌های نرم‌افزاری را شناسایی، اصلاح و از بروز آن‌ها پیشگیری می‌کند. این Agent با تحلیل مستمر کد، ضعف‌ها را پیدا کرده و برای آن‌ها Patchهای عملی پیشنهاد می‌دهد تا با تأیید توسعه‌دهندگان اعمال شوند. نتیجه، افزایش امنیت کدهای موجود و کاهش زمان صرف‌شده برای مدیریت دستی آسیب‌پذیری‌هاست. CodeMender با تکمیل مهارت کارشناسان و سازگاری با جریان‌های کاری رایج، به تیم‌ها کمک می‌کند نرم‌افزار ایمن‌تری را سریع‌تر ارائه دهند و رویکردی پیشگیرانه در امنیت اتخاذ کنند.

#CodeMender #GoogleDeepMind #AI #CodeSecurity #CyberSecurity #SoftwareSecurity #DevSecOps

🟣لینک مقاله:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

دیروز یه پست از برتنی مولر خوندم که واقعاً ذهنم رو درگیر کرد.
موضوعش «هک شدن مرورگر ChatGPT Atlas فقط در ۴۸ ساعت» بود.

مرورگر هوش مصنوعی OpenAI رو محقق‌ها تونستن با دستورهای پنهان در متن سفید و HTML هک کنن.
روش‌های قدیمی BlackHat دوباره برگشتن، فقط این بار قربانی انسان نیست… هوش مصنوعیه!

برتنی می‌گه مشکل اینجاست که LLM نمی‌تونه فرق بین محتوای واقعی و دستور مخرب رو تشخیص بده.
و این یعنی:
الان کل صفحه مهمه، از کامنت HTML تا متن سفید.
محتوای UGC (نظرات و دیدگاه‌ها) می‌تونه دروازه‌ی حمله بشه.
مرورگرهای هوش مصنوعی در برابر تهدیدات امنیتی هنوز خیلی ضعیفن.

اما کامنت رند فیشکین از اونم جالب‌تر بود:
می‌گه شاید هدف ChatGPT از ساخت مرورگر اصلاً «مرور وب» نبوده…
بلکه یه «اسب تروجان» بوده برای اینکه سایت‌ها دیگه نتونن جلوی خزنده‌ش رو بگیرن.
چون اگه بخوای دسترسی Atlas رو ببندی، در واقع داری جلوی کاربر واقعی مرورگر رو هم می‌گیری.

به نظرم این نقطه‌ی خطرناکیه که سئو، امنیت و مالکیت داده با هم برخورد می‌کنن.
مرورگرها دیگه فقط نمی‌خونن، تصمیم می‌گیرن ، و گاهی شاید بر خلاف منافع صاحب محتوا.

<Shahram Rahbari/>

https://t.iss.one/addlist/AJ7rh2IzIh02NTI0

🔵 عنوان مقاله
In Sprint Test Automation

🟢 خلاصه مقاله:
در آزمون‌سازی درون‌اسپرینت در Agile، هدف این است که تست‌ها همزمان با توسعه نوشته و اجرا شوند تا بازخورد سریع و خطاهای انباشته کاهش یابد. تجربه‌ها نشان می‌دهد موفقیت به چند عامل وابسته است: خرد کردن قصه‌ها به قطعات کوچک و قابل‌آزمون، پذیرش «Definition of Ready» و «Definition of Done» که شامل آزمون خودکار است، همکاری نزدیک Dev و QA با رویکردهای TDD/BDD، و برخورد با تست مثل کد (همان مخزن، همان استراتژی شاخه، همان بازبینی کد).

برای پشتیبانی از این جریان، CI/CD باید سریع و قابل‌اعتماد باشد: اجرای موازی، محیط‌های موقتی مبتنی بر کانتینر، مجازی‌سازی سرویس‌ها و Mockها برای قطع وابستگی‌ها، و مدیریت داده‌ی تست که آزمون‌ها را تکرارپذیر و بدون نوسان نگه می‌دارد. تمرکز بر هرم تست ضروری است: پوشش بالای Unit و Integration/Contract، و تنها یک لایه نازک از E2E UI (مثلاً با Cypress یا Playwright)؛ در کنار آن، سنجه‌هایی مانند زمان رسیدن تغییر تا استقرار، نرخ شکست و زمان ترمیم رصد می‌شوند و تست‌های flaky سریع قرنطینه و اصلاح می‌گردند.

همچنین پرهیز از الگوهای ضدِکیفیت مانند «Hardening Sprint»، عقب‌انداختن اتوماسیون به‌عنوان بدهی، یا اتکا به E2E شکننده توصیه می‌شود. استفاده از Feature Flag، Contract Testing در معماری‌های مبتنی بر سرویس، و مالکیت مشترک کیفیت در کل تیم به تحقق «اتمام واقعی کار» در همان اسپرینت کمک می‌کند.

#Agile #TestAutomation #InSprintTesting #CI_CD #TDD #BDD #DevOps

🟣لینک مقاله:
https://cur.at/46VanjF?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
US Teen Indicted in 764 Network Case Involving Exploitation Crimes (2 minute read)

🟢 خلاصه مقاله:
یک جوان ۱۹ساله از کالیفرنیا به‌اتهام مشارکت در شبکه افراطی «764» تحت پیگرد فدرال قرار گرفته است. به‌گفته دادستان‌ها، این شبکه در دسته‌بندی Nihilistic Violent Extremist قرار می‌گیرد و عمدتاً در فضای آنلاین فعالیت دارد؛ جایی که اعضا به سوءاستفاده از قربانیان خردسال و فروپاشاندن هنجارهای اجتماعی از طریق آزار، دست‌کاری و رفتارهای آسیب‌زا متهم هستند. مقامات می‌گویند این پرونده با رصد فعالیت‌های آنلاین و شواهد دیجیتال پیش رفته و بر توجه روزافزون پلیس به جرایم بهره‌کشی در تلاقی با خُرده‌فرهنگ‌های افراطی آنلاین تأکید دارد. با این حال، کیفرخواست به‌معنای اثبات جرم نیست و متهم تا زمان اثبات اتهامات بی‌گناه فرض می‌شود. این پرونده یادآور پیامدهای جدی قانونی مشارکت در چنین شبکه‌هایی—even اگر با پوشش «ترولینگ» یا پوچ‌گرایی انجام شود—و ضرورت محافظت بیشتر از کودکان، گزارش‌دهی به‌موقع، و همکاری پلتفرم‌ها برای پیشگیری و حمایت از قربانیان است.

#Extremism #OnlineSafety #ChildProtection #Cybercrime #LawEnforcement #USJustice #Indictment #DigitalForensics

🟣لینک مقاله:
https://hackread.com/us-teen-indicted-764-network-case-crimes/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Writing custom Cypress plug-ins that solve common software testing problems

🟢 خلاصه مقاله:
اکوسیستم افزونه‌های Cypress به تیم‌ها اجازه می‌دهد فراتر از امکانات پیش‌فرض، چالش‌های واقعی تست را حل کنند؛ از کاهش ناپایداری تست‌ها و مدیریت محیط و داده تا یکپارچه‌سازی گزارش‌ها و سرویس‌های بیرونی. Kanika Vatsyayan توضیح می‌دهد چگونه با شناسایی یک مسئله تکراری، طراحی یک API ساده، ساخت پکیج npm، ثبت tasks در Node hook، افزودن تنظیمات و مثال‌های عملی، و همچنین تست و TypeScript typings، یک افزونه قابل اتکا بسازید. او بر نسخه‌بندی شفاف، سازگاری با نسخه‌های مختلف Cypress، کارایی، امنیت داده‌ها، مستندسازی و انتشار در npm تاکید می‌کند تا افزونه‌ها قابل نگهداری و قابل استفاده توسط جامعه باشند. نتیجه این است که با چند الگوی ساده و نمونه‌های واقعی، هر کسی می‌تواند راه‌حل‌های خود را به‌صورت افزونه منتشر کرده و به اکوسیستم تست کمک کند.

#Cypress
#SoftwareTesting
#QA
#JavaScript
#Plugins
#Automation
#OpenSource
#EndToEndTesting

🟣لینک مقاله:
https://cur.at/pj9uiDZ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon