🔵 عنوان مقاله
Two years later, what's been the impact of CISA's Secure by Design guidelines? (Sponsor)
🟢 خلاصه مقاله:
دو سال پس از انتشار دستورالعملهای Secure by Design از سوی CISA، یک پژوهش جدید به رهبری همبنیانگذاران Secure Code Warrior و با مشارکت خبرگان، از طریق مصاحبه با ۲۰ رهبر امنیتی در مقیاس سازمانی بررسی میکند این راهنماها در عمل چه اثری گذاشتهاند. یافتهها نشان میدهد رویکردها به سمت پیشفرضهای امن، همراستسازی زودهنگام امنیت در SDLC و توانمندسازی توسعهدهندگان حرکت کرده است؛ یعنی آموزش هدفمند، الگوهای امن قابلاستفادهمجدد و ادغام کنترلها در CI/CD تا انتخاب امن کمهزینهتر و طبیعیتر باشد. با این حال چالشهایی مانند میراث فنی، پیچیدگی محیطهای cloud-native، ریسک زنجیره تأمین نرمافزار، و سنجش اثربخشی امنیت پابرجاست و نیاز به حامیگری مدیریتی و بهبود تدریجی دارد. گزارش، بهترینعملها و گامهای عملی برای پیادهسازی Secure by Design و حفظ توازن میان سرعت تحویل و کاهش ریسک را جمعبندی میکند و خوانندگان را به مطالعه نسخه کامل گزارش دعوت میکند.
#SecureByDesign #CISA #AppSec #DevSecOps #SoftwareSecurity #DeveloperEnablement #SecurityResearch
🟣لینک مقاله:
https://discover.securecodewarrior.com/secure-by-design-whitepaper.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Two years later, what's been the impact of CISA's Secure by Design guidelines? (Sponsor)
🟢 خلاصه مقاله:
دو سال پس از انتشار دستورالعملهای Secure by Design از سوی CISA، یک پژوهش جدید به رهبری همبنیانگذاران Secure Code Warrior و با مشارکت خبرگان، از طریق مصاحبه با ۲۰ رهبر امنیتی در مقیاس سازمانی بررسی میکند این راهنماها در عمل چه اثری گذاشتهاند. یافتهها نشان میدهد رویکردها به سمت پیشفرضهای امن، همراستسازی زودهنگام امنیت در SDLC و توانمندسازی توسعهدهندگان حرکت کرده است؛ یعنی آموزش هدفمند، الگوهای امن قابلاستفادهمجدد و ادغام کنترلها در CI/CD تا انتخاب امن کمهزینهتر و طبیعیتر باشد. با این حال چالشهایی مانند میراث فنی، پیچیدگی محیطهای cloud-native، ریسک زنجیره تأمین نرمافزار، و سنجش اثربخشی امنیت پابرجاست و نیاز به حامیگری مدیریتی و بهبود تدریجی دارد. گزارش، بهترینعملها و گامهای عملی برای پیادهسازی Secure by Design و حفظ توازن میان سرعت تحویل و کاهش ریسک را جمعبندی میکند و خوانندگان را به مطالعه نسخه کامل گزارش دعوت میکند.
#SecureByDesign #CISA #AppSec #DevSecOps #SoftwareSecurity #DeveloperEnablement #SecurityResearch
🟣لینک مقاله:
https://discover.securecodewarrior.com/secure-by-design-whitepaper.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Securecodewarrior
Secure by Design
Gated Content Landing Page Meta Tag Description
🔵 عنوان مقاله
SetupHijack (GitHub Repo)
🟢 خلاصه مقاله:
** ابزار SetupHijack در GitHub برای شناسایی ضعفهای امنیتی در روند نصب و بهروزرسانی Windows طراحی شده است. این پروژه نشان میدهد چگونه خطاهای شرط رقابتی و رسیدگی ناایمن به فایلها در فرایندهایی که با دسترسی بالاتر اجرا میشوند، میتواند به اجرای کد یا ارتقای سطح دسترسی منجر شود. این ابزار با رصد رفتار نصب/آپدیت و برجستهکردن الگوهای پرخطر (مثل مجوزهای نادرست روی مسیرهای موقت، عملیات غیراَتُمیک فایل و تکیه بر مسیرهای قابلنوشتن برای همه)، به پژوهشگران و تیمهای امنیتی کمک میکند مشکل را در محیط کنترلشده بازتولید کرده و برای رفع آن اقدام کنند. استفاده از SetupHijack باید صرفاً برای تست مجاز و اخلاقی باشد. راهکارهای کاهش خطر شامل رعایت اصول Windows Installer، اعمال ACL سختگیرانه، استفاده از عملیات فایل اَتُمیک و مسیرهای موقت امن، کاهش سطح دسترسی در اسرع وقت، اعتبارسنجی امضاهای دیجیتال در زمان استفاده، بهرهگیری از چارچوبهای بهروزرسانی امن و پیادهسازی پایش و سیاستهای کنترل اجرای برنامه است.
#WindowsSecurity #InstallerSecurity #RaceCondition #PrivilegeEscalation #SetupHijack #AppSec #SecureUpdates #BlueTeam
🟣لینک مقاله:
https://github.com/hackerhouse-opensource/SetupHijack?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
SetupHijack (GitHub Repo)
🟢 خلاصه مقاله:
** ابزار SetupHijack در GitHub برای شناسایی ضعفهای امنیتی در روند نصب و بهروزرسانی Windows طراحی شده است. این پروژه نشان میدهد چگونه خطاهای شرط رقابتی و رسیدگی ناایمن به فایلها در فرایندهایی که با دسترسی بالاتر اجرا میشوند، میتواند به اجرای کد یا ارتقای سطح دسترسی منجر شود. این ابزار با رصد رفتار نصب/آپدیت و برجستهکردن الگوهای پرخطر (مثل مجوزهای نادرست روی مسیرهای موقت، عملیات غیراَتُمیک فایل و تکیه بر مسیرهای قابلنوشتن برای همه)، به پژوهشگران و تیمهای امنیتی کمک میکند مشکل را در محیط کنترلشده بازتولید کرده و برای رفع آن اقدام کنند. استفاده از SetupHijack باید صرفاً برای تست مجاز و اخلاقی باشد. راهکارهای کاهش خطر شامل رعایت اصول Windows Installer، اعمال ACL سختگیرانه، استفاده از عملیات فایل اَتُمیک و مسیرهای موقت امن، کاهش سطح دسترسی در اسرع وقت، اعتبارسنجی امضاهای دیجیتال در زمان استفاده، بهرهگیری از چارچوبهای بهروزرسانی امن و پیادهسازی پایش و سیاستهای کنترل اجرای برنامه است.
#WindowsSecurity #InstallerSecurity #RaceCondition #PrivilegeEscalation #SetupHijack #AppSec #SecureUpdates #BlueTeam
🟣لینک مقاله:
https://github.com/hackerhouse-opensource/SetupHijack?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - hackerhouse-opensource/SetupHijack: SetupHijack is a security research tool that exploits race conditions and insecure…
SetupHijack is a security research tool that exploits race conditions and insecure file handling in Windows applications installer and update processes. - hackerhouse-opensource/SetupHijack
🔵 عنوان مقاله
Blind Enumeration of gRPC Services (3 minute read)
🟢 خلاصه مقاله:
gRPC در نبود مستندات و با غیرفعال بودن reflection، کشف سرویسها را دشوار میکند. Adversis برای حل این مشکل ابزار grpc-scan را معرفی کرده که با اتکا به تفاوت کدهای خطای gRPC (مثل UNIMPLEMENTED در برابر NOT_FOUND) میتواند تشخیص دهد یک نام سرویس وجود دارد یا خیر—even وقتی روش درخواستشده نامعتبر است. این ابزار با تولید سیستماتیک نامهای سرویس/متد بر اساس الگوهای رایج و ارسال همزمان درخواستها از طریق HTTP/2 multiplexing، هزاران ترکیب را سریع آزمایش کرده و از الگوی پاسخها، سرویسهای محتمل را استخراج میکند. خروجی، نقشهای عملی از سطح حمله gRPC در شرایط محدود است: برای تیمهای قرمز، کشف سرویسهای مستندنشده و پیکربندیهای نادرست؛ و برای تیمهای آبی، سنجش میزان افشا و کفایت لاگبرداری. اقدامات دفاعی شامل یکنواختسازی پاسخ خطا برای سرویس/متد نامعتبر، اعمال احراز هویت و مجوزدهی قوی در Gateway/Service Mesh، محدودسازی reflection به محیط توسعه، و رصد الگوهای اسکن است. استفاده از grpc-scan باید اخلاقی و با مجوز باشد.
#gRPC #Security #ServiceDiscovery #Pentesting #HTTP2 #AppSec #RedTeam #APIEnumeration
🟣لینک مقاله:
https://www.adversis.io/blogs/blind-enumeration-of-grpc-services?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Blind Enumeration of gRPC Services (3 minute read)
🟢 خلاصه مقاله:
gRPC در نبود مستندات و با غیرفعال بودن reflection، کشف سرویسها را دشوار میکند. Adversis برای حل این مشکل ابزار grpc-scan را معرفی کرده که با اتکا به تفاوت کدهای خطای gRPC (مثل UNIMPLEMENTED در برابر NOT_FOUND) میتواند تشخیص دهد یک نام سرویس وجود دارد یا خیر—even وقتی روش درخواستشده نامعتبر است. این ابزار با تولید سیستماتیک نامهای سرویس/متد بر اساس الگوهای رایج و ارسال همزمان درخواستها از طریق HTTP/2 multiplexing، هزاران ترکیب را سریع آزمایش کرده و از الگوی پاسخها، سرویسهای محتمل را استخراج میکند. خروجی، نقشهای عملی از سطح حمله gRPC در شرایط محدود است: برای تیمهای قرمز، کشف سرویسهای مستندنشده و پیکربندیهای نادرست؛ و برای تیمهای آبی، سنجش میزان افشا و کفایت لاگبرداری. اقدامات دفاعی شامل یکنواختسازی پاسخ خطا برای سرویس/متد نامعتبر، اعمال احراز هویت و مجوزدهی قوی در Gateway/Service Mesh، محدودسازی reflection به محیط توسعه، و رصد الگوهای اسکن است. استفاده از grpc-scan باید اخلاقی و با مجوز باشد.
#gRPC #Security #ServiceDiscovery #Pentesting #HTTP2 #AppSec #RedTeam #APIEnumeration
🟣لینک مقاله:
https://www.adversis.io/blogs/blind-enumeration-of-grpc-services?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.adversis.io
Blind Enumeration of gRPC Services
When you're handed an SDK with no documentation and told "the backend is secure because it's proprietary," grpc-scan helps prove otherwise
🔵 عنوان مقاله
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
wiz.io
Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog
Wiz Research uncovered 500+ leaked secrets in VSCode and Open VSX extensions, exposing 150K installs to risk. Learn what happened and how it was fixed.