Forwarded from Sudoer - Powered OFF (Morteza Bashsiz)
اطلاع رسانی
گولنگ ورژن v23.04.13
اضافه شدن هسته xray در برنامه
در این آپدیت با استفاده از خود xray-core پروسه اسکن انجام میشود.
اضافه شدن لاگ لول برای تایین سطح لاگر xray که به صورت پیشفرض none هستش
لاگ لول های موجود برای مشاهد لاگ های xray-core :
debug
info
warning
error
none
آپدیت پیش نیاز ورژن گولنگ از ۱.۱۸ به ۱.۲۰ به دلیل اینکه xray از آخرین ورژن گولنگ استفاده میکند
حذف آرگومان vpn-path و process timeout به دلیل بی نیاز بودن آن در این آپدیت.
https://github.com/MortezaBashsiz/CFScanner
#CFScanner
#Golang
گولنگ ورژن v23.04.13
اضافه شدن هسته xray در برنامه
در این آپدیت با استفاده از خود xray-core پروسه اسکن انجام میشود.
اضافه شدن لاگ لول برای تایین سطح لاگر xray که به صورت پیشفرض none هستش
لاگ لول های موجود برای مشاهد لاگ های xray-core :
debug
info
warning
error
none
آپدیت پیش نیاز ورژن گولنگ از ۱.۱۸ به ۱.۲۰ به دلیل اینکه xray از آخرین ورژن گولنگ استفاده میکند
حذف آرگومان vpn-path و process timeout به دلیل بی نیاز بودن آن در این آپدیت.
https://github.com/MortezaBashsiz/CFScanner
#CFScanner
#Golang
GitHub
GitHub - MortezaBashsiz/CFScanner: Cloudflare scanner
Cloudflare scanner. Contribute to MortezaBashsiz/CFScanner development by creating an account on GitHub.
❤5🔥1👏1
Forwarded from CodeNaline | کدنالین
https://youtu.be/OJ5DdqomXcc
نسخه تصویری پادکست کدنالین، اپیزود چهارم، جادی =)
🧠 @CodeNaline
💬 @TorhamDevCH
نسخه تصویری پادکست کدنالین، اپیزود چهارم، جادی =)
🧠 @CodeNaline
💬 @TorhamDevCH
YouTube
کدنالین اپیزود چهارم - جادی میرمیرانی
نسخه صوتی پادکست : https://t.iss.one/CodeNaline/54
❤9👎2👏1
Forwarded from Sudoer - Powered OFF (Morteza Bashsiz)
درود
اطلاعرسانی
نسخه تازه گولنگ ریلیز شد
۱. بهبود کیفیت اسکن که نتیجه رو بهتر میکنه
۲. بهینه سازی کد مخصوصا در پکیج اسکنر
۳. اضافه شدن لاگر کاستوم
لاگر بر این اساس هستش :
با هر بار تست دانلود و آپلود
Info
و بعد از n تلاش
Ok
اگر اروری ایجاد شه
Fail
و علت آن بعد از مسیج اروری که ایجاد شده چاپ میشه
https://github.com/MortezaBashsiz/CFScanner
برای دریافت نسخه گولنگ به لینک زیر برید
https://github.com/MortezaBashsiz/CFScanner/releases/tag/v23.04.16
سپاس فراوان
اطلاعرسانی
نسخه تازه گولنگ ریلیز شد
۱. بهبود کیفیت اسکن که نتیجه رو بهتر میکنه
۲. بهینه سازی کد مخصوصا در پکیج اسکنر
۳. اضافه شدن لاگر کاستوم
لاگر بر این اساس هستش :
با هر بار تست دانلود و آپلود
Info
و بعد از n تلاش
Ok
اگر اروری ایجاد شه
Fail
و علت آن بعد از مسیج اروری که ایجاد شده چاپ میشه
https://github.com/MortezaBashsiz/CFScanner
برای دریافت نسخه گولنگ به لینک زیر برید
https://github.com/MortezaBashsiz/CFScanner/releases/tag/v23.04.16
سپاس فراوان
GitHub
GitHub - MortezaBashsiz/CFScanner: Cloudflare scanner
Cloudflare scanner. Contribute to MortezaBashsiz/CFScanner development by creating an account on GitHub.
👍3❤1
Forwarded from Seyed Mahdi Notes (Seyed Mahdi)
یه ویدیو از تیم دواپس هابیز دیدم با تایتل " ci/cd چیست؟ "
بعد یه جا داشت گیت هاب و گیت لب رو مقایسه میکرد و با دلایلی مثل "اوپن سورسی گیت لب" و اینکه "گیت هاب برای پروژه های پابلیک مناسب تره"😐 گفتن که بعیده به گیت هاب توی شرکتا فکر بشه و گیت هاب اکشن هم به درد پروداکشن نمیخوره😐
ببینید توی ویدیو چنباری اشاره شد که قوانین عوض میشه و سرویسا اپدیت میشن و نمیشه انتخاب کرد و ....
ولی خب تیر آخرو به قلب گیت هاب زدن .
حالا ۱۰۰۰ بار بگو هرچیز به جای خویش خوبه بعد بیا بگو "گیت هاب بعیده استفاده شه" ... همشو میشوره میبره
من کاملا مخالف اینم که گیت هاب و گیتهاب اکشن به درد پروداکشن و شرکتا نمیخوره . خیلیا رو میشناسم که روی همینن و خیلی سرورای قوی ای پشت گیت هاب اکشن هست . و اینکه ساعتی هستش هزینه هاش (برای ریپوهای پابلیک کلا فری). یه سری فری داره توی ماه برای پرایوتا و اگه اسکیل شرکت کوچیک باشه کلا همون پلن free کافیش باشه که نیاز نباشه بره سرور با ریسورس زیاد بخره و بندازه اونجا و هفته ای ۱۰ ساعت استفاده کنه ازش😐
بازم میگم خیلی بستگی داره هرچیز جای خودش خوبه
بعد یه جا داشت گیت هاب و گیت لب رو مقایسه میکرد و با دلایلی مثل "اوپن سورسی گیت لب" و اینکه "گیت هاب برای پروژه های پابلیک مناسب تره"😐 گفتن که بعیده به گیت هاب توی شرکتا فکر بشه و گیت هاب اکشن هم به درد پروداکشن نمیخوره😐
ببینید توی ویدیو چنباری اشاره شد که قوانین عوض میشه و سرویسا اپدیت میشن و نمیشه انتخاب کرد و ....
ولی خب تیر آخرو به قلب گیت هاب زدن .
حالا ۱۰۰۰ بار بگو هرچیز به جای خویش خوبه بعد بیا بگو "گیت هاب بعیده استفاده شه" ... همشو میشوره میبره
من کاملا مخالف اینم که گیت هاب و گیتهاب اکشن به درد پروداکشن و شرکتا نمیخوره . خیلیا رو میشناسم که روی همینن و خیلی سرورای قوی ای پشت گیت هاب اکشن هست . و اینکه ساعتی هستش هزینه هاش (برای ریپوهای پابلیک کلا فری). یه سری فری داره توی ماه برای پرایوتا و اگه اسکیل شرکت کوچیک باشه کلا همون پلن free کافیش باشه که نیاز نباشه بره سرور با ریسورس زیاد بخره و بندازه اونجا و هفته ای ۱۰ ساعت استفاده کنه ازش😐
بازم میگم خیلی بستگی داره هرچیز جای خودش خوبه
👍19👎3❤1
Seyed Mahdi Notes
یه ویدیو از تیم دواپس هابیز دیدم با تایتل " ci/cd چیست؟ " بعد یه جا داشت گیت هاب و گیت لب رو مقایسه میکرد و با دلایلی مثل "اوپن سورسی گیت لب" و اینکه "گیت هاب برای پروژه های پابلیک مناسب تره"😐 گفتن که بعیده به گیت هاب توی شرکتا فکر بشه و گیت هاب اکشن هم…
GitHub Docs
About GitHub for enterprises - GitHub Enterprise Server 3.5 Docs
Businesses can use GitHub's enterprise products to improve their entire software development lifecycle.
👍4👎1
LearnGitBranching
https://learngitbranching.js.org/
An interactive git visualization and tutorial. Aspiring students of git can use this app to educate and challenge themselves towards mastery of git!
#LearnGit
https://learngitbranching.js.org/
An interactive git visualization and tutorial. Aspiring students of git can use this app to educate and challenge themselves towards mastery of git!
#LearnGit
learngitbranching.js.org
Learn Git Branching
An interactive Git visualization tool to educate and challenge!
👍5👎1
Vulnerability Management for Go
https://go.dev/blog/vuln
Go provides tooling to analyze your codebase and surface known vulnerabilities. This tooling is backed by the Go vulnerability database, which is curated by the Go security team. Go’s tooling reduces noise in your results by only surfacing vulnerabilities in functions that your code is actually calling.
#Golang
#VulnerabilityDetection
https://go.dev/blog/vuln
Go provides tooling to analyze your codebase and surface known vulnerabilities. This tooling is backed by the Go vulnerability database, which is curated by the Go security team. Go’s tooling reduces noise in your results by only surfacing vulnerabilities in functions that your code is actually calling.
#Golang
#VulnerabilityDetection
go.dev
Vulnerability Management for Go - The Go Programming Language
Announcing vulnerability management for Go, to help developers learn about known vulnerabilities in their dependencies.
👍5👎1🤔1
Forwarded from CodeNaline | کدنالین
YouTube
کدنالین اپیزود ششم - مرتضی باشسیز
کدنالین، اپیزوده ششم، مرتضی باشسیز ⚡️
این قسمت رو با مرتضی پیش رفتیم، باهم دیگ یک بازی انجام دادیم و بهمون خوشگذشت =). این قسمت رو شدیدا توصیه میکنم 🔥.
castbox : https://castbox.fm/episode/CodeNaline-S2-E6---Morteza-Bashsiz-id5066732-id589640160
telegram…
این قسمت رو با مرتضی پیش رفتیم، باهم دیگ یک بازی انجام دادیم و بهمون خوشگذشت =). این قسمت رو شدیدا توصیه میکنم 🔥.
castbox : https://castbox.fm/episode/CodeNaline-S2-E6---Morteza-Bashsiz-id5066732-id589640160
telegram…
❤10👎1
John Carmack Podcast
https://youtu.be/I845O57ZSy4
پادکست طولانی هستش اما در مورد مطالب مفیدی صحبت میکنند.
#Podcast
https://youtu.be/I845O57ZSy4
پادکست طولانی هستش اما در مورد مطالب مفیدی صحبت میکنند.
#Podcast
YouTube
John Carmack: Doom, Quake, VR, AGI, Programming, Video Games, and Rockets | Lex Fridman Podcast #309
John Carmack is a legendary programmer, co-founder of id Software, and lead programmer of many revolutionary video games including Wolfenstein 3D, Doom, Quake, and the Commander Keen series. He is also the founder of Armadillo Aerospace, and for many years…
👍6👎1🔥1
Forwarded from Sadra Codes
من چطور مقاله تکنیکال مینویسم؟ شما چطور بنویسید؟!
اولین نکته، انتخاب موضوع مناسبه. سعی کنید درباره مباحثی بنویسید که اصطلاحا بهش میگن Hot Topic و موضوع روز دنیاست. مثلا درحال حاضر، ChatGPT یکی از این مدل موضوعاته. اگه یه ابزار آپدیتی میده، میتونید درباره اون آپدیت بنویسید یا تجربه خودتون از یه ابزار یا...
نکته بعدی، نوشتن اولین درفت (Draft) از مقاله هست. توی درفت، فقط سکشنها و عناوین رو بنویسید و در بدنه هر عنوان، یه بولت لیست داشته باشید حاوی یه سری سوالات که معمولا مشخص میکنن در این سکشن، قراره درباره چی صحبت کنید. یکم تحقیق کنید و بولت لیست رو به ساب سکشنها و ساب ساب سکشنها تبدیل کنید و نهایتا شروع به نوشتن کنید.
نکته پایانی، یادتون نره Conclusion و لیست منابع (در صورت وجود) رو قید کنید. 🍻
اولین نکته، انتخاب موضوع مناسبه. سعی کنید درباره مباحثی بنویسید که اصطلاحا بهش میگن Hot Topic و موضوع روز دنیاست. مثلا درحال حاضر، ChatGPT یکی از این مدل موضوعاته. اگه یه ابزار آپدیتی میده، میتونید درباره اون آپدیت بنویسید یا تجربه خودتون از یه ابزار یا...
نکته بعدی، نوشتن اولین درفت (Draft) از مقاله هست. توی درفت، فقط سکشنها و عناوین رو بنویسید و در بدنه هر عنوان، یه بولت لیست داشته باشید حاوی یه سری سوالات که معمولا مشخص میکنن در این سکشن، قراره درباره چی صحبت کنید. یکم تحقیق کنید و بولت لیست رو به ساب سکشنها و ساب ساب سکشنها تبدیل کنید و نهایتا شروع به نوشتن کنید.
نکته پایانی، یادتون نره Conclusion و لیست منابع (در صورت وجود) رو قید کنید. 🍻
👍13👎4
Forwarded from Security Analysis
⭕️ دور زدن SSRF Protection از طریق Cross Protocol Redirect
یکی از راه هایی که حتما میدونید برای دور زدن SSRF Protection و دستیابی به internal asset مثل localhost و ... این هست که ما redirect انجام بدیم. برای مثال آدرس URL ای به اپ میدیم که تحت کنترل ماست و اون درخواست http رو ریدایرکت میکنه به یه asset inernal
محقق طی یه پروژه با تارگتی روبه رو میشه که هیچگونه جلوگیری ای برای ssrf نداشته و بعد از گزارش برنامه نویس از لایببری
اما Cross-Protocol Redirect چیه؟ منظور اینه که پروتکل از http به https هنگام ریدایرکت تغییر پیدا کنه یا برعکس
در اینجا محقق URL ابتدایی که به App داده پروتکل https داشته اما در ریدایرکت گفته که به localhost ریدایرکت صورت بگیره روی پروتکل http
https://blog.doyensec.com/2023/03/16/ssrf-remediation-bypass.html
#web_security #ssrf
@securation
یکی از راه هایی که حتما میدونید برای دور زدن SSRF Protection و دستیابی به internal asset مثل localhost و ... این هست که ما redirect انجام بدیم. برای مثال آدرس URL ای به اپ میدیم که تحت کنترل ماست و اون درخواست http رو ریدایرکت میکنه به یه asset inernal
محقق طی یه پروژه با تارگتی روبه رو میشه که هیچگونه جلوگیری ای برای ssrf نداشته و بعد از گزارش برنامه نویس از لایببری
ssrf-req-filter توی node.js استفاده میکنه و محقق هنگام اولین retest متوجه میشه آسیب پذیری پچ شده اما زمانی که محقق Cross-Protocol Redirect رو تست میکنه دوباره با موفقیت به اون asset internal دسترسی میگیرهاما Cross-Protocol Redirect چیه؟ منظور اینه که پروتکل از http به https هنگام ریدایرکت تغییر پیدا کنه یا برعکس
در اینجا محقق URL ابتدایی که به App داده پروتکل https داشته اما در ریدایرکت گفته که به localhost ریدایرکت صورت بگیره روی پروتکل http
https://example.com/?redirect=https://localhost
اما چرا این اتفاق میفته؟ به طور خلاصه ما کد JS شبیه به کد زیر رو داریم که از ssrf جلوگیری کنهrequest({
uri: url,
agent: ssrfFilter(url),
});
اما در لایبرری request در قسمت lib/redirect.js ما یه شرط جالب داریم:if (request.uri.protocol !== uriPrev.protocol) {
delete request.agent
}
بازم هم به طور خیلی خلاصه بخوام بگم این شرط بررسی میکنه که اگر هنگام ریدایرکت تغییر پروتکل داشتیم request.agent حذف بشه که در این کیس ما باعث میشه ssrf filter ای نداشته باشیم ( چون خود متد ssrfFilter اگر دقت کنید در قسمت agent کال شده)https://blog.doyensec.com/2023/03/16/ssrf-remediation-bypass.html
#web_security #ssrf
@securation
Doyensec
SSRF Cross Protocol Redirect Bypass
Server Side Request Forgery (SSRF) is a fairly known vulnerability with established prevention methods. So imagine my surprise when I bypassed an SSRF mitigation during a routine retest. Even worse, I have bypassed a filter that we have recommended ourselves!…
👍7
Forwarded from Django Expert (Majid A.M)
✔️بدترین تجربه مصاحبه کاری من به عنوان یک برنامه نویس توسعهدهنده وب:
اول اسم شرکت رو بگم خدمتتون اسم شرکت "نقش اول کیفیت" (ناک) هست که خودشون رو بزرگترین کارگزار(وندور) همراه اول معرفی میکنند
من بعد از یک جلسه مصاحبه hr آنلاین دعوت به مصاحبه حضوری شدم و بعد از مراجعه به ساختمان این شرکت به من گفته شد که به دلیل اشتباه در تنظیمات تقویم فردی که در بخش نیروی انسانی مشغول به کار هست (hr محترم بدون هیچ گونه عذرخواهی این کلمات رو بیان کردند) یک ساعت دیرتر این مصاحبه قرار هست شکل بگیره بعد از اعتراض بنده به موضوع گفتند که فرد مصاحبه کننده فنی (که از دفتر همراه اول قرار بود تشریف بیاورند و این پروژه به صورت کامل برای همراه اول و در دفتر مرکزی این شرکت بود گفته های من بر اساس اطلاعاتی هست که به بنده حین تماس تلفنی برای دعوت به مصاحبه منتقل کردند) در راه هستند و ۲۰ دقیقه دیگه مصاحبه انجام میشه و اگر قصد دارم مصاحبه رو انجام ندم به ایشان اطلاع بدم با قبول طرفین نسبت به این موضوع بنده رفتم یه میان وعده ای بخورم و برگردم
بعد از مراجعت مجدد من به ساختمان اصلی و بعد از ۵ دقیقه از زمان تعیین شده (یعنی ۲۵ دقیقه انتظار من) بنده تماس گرفتم و این فرد محترم به من گفتند که مصاحبه کنسل شده و من مجدداً اعتراض کردم و پرسیدم آیا به نظر شما این رفتار حرفه ای هست؟ ایشون بدون هیچ گونه عذر خواهی تلفن رو قطع کردند.
حالا شاید جالب باشه چرا مصاحبه کنسل شده؟ به دلیل عدم هماهنگی بین پرسنل خوده ناک یا شرکت نقش اول کیفیت (یا همون بزرگترین وندور همراه اول 😅)
به عنوان کسی که بیشتر از ۲۰۰ مصاحبه رفته و مصاحبه بخشی از روتین ماهانه اش هست و همچنین بیشتر از ۵۰ تا مصاحبه گرفته (در هر دو پوزیشن تجربه داشته به نظرم این دلیل ابدا قابل قبول نیست)
و کسی که تجربه کار ریموت/داخلی /بین المللی/ پروژهای/ سازمانی(سازمانهای بیشتر از پانصد نفر) میتونم بگم بدترین تجربه من از دعوت به مصاحبه در این شرکت رخ داده
پینوشت: من با دفتر مدیریت این شرکت تماس گرفتم و اعتراض مجدد خودم رو به این رفتار غیر حرفه ای و عدم حسن انجام کار و همچنین ندونستن الفبای رفتار حرفه ای سازمانی اعلام کردم، نه به امید دعوت به مصاحبه مجدد که دیکه هرگز پام رو در دفتر هیچ وندوری از همراه اول و حتی خوده همراه اول هم نخواهم گذاشت بلکه به امید رفع این مشکلات در خور توجه.
امیدوارم انتشار این پست کمکی کنه به سایر دوستان فنی کنه تا مسیر شغلی خودشون رو بهتر دنبال کنند و از رخ دادن تجربه های این چنین توسط این شرکت جلوگیری کنه
ارادتمند همیشگی شما: مجید آقامحمد
™️ @DjangoEx
〰〰〰〰〰〰〰〰
© @DjangoIR
اول اسم شرکت رو بگم خدمتتون اسم شرکت "نقش اول کیفیت" (ناک) هست که خودشون رو بزرگترین کارگزار(وندور) همراه اول معرفی میکنند
من بعد از یک جلسه مصاحبه hr آنلاین دعوت به مصاحبه حضوری شدم و بعد از مراجعه به ساختمان این شرکت به من گفته شد که به دلیل اشتباه در تنظیمات تقویم فردی که در بخش نیروی انسانی مشغول به کار هست (hr محترم بدون هیچ گونه عذرخواهی این کلمات رو بیان کردند) یک ساعت دیرتر این مصاحبه قرار هست شکل بگیره بعد از اعتراض بنده به موضوع گفتند که فرد مصاحبه کننده فنی (که از دفتر همراه اول قرار بود تشریف بیاورند و این پروژه به صورت کامل برای همراه اول و در دفتر مرکزی این شرکت بود گفته های من بر اساس اطلاعاتی هست که به بنده حین تماس تلفنی برای دعوت به مصاحبه منتقل کردند) در راه هستند و ۲۰ دقیقه دیگه مصاحبه انجام میشه و اگر قصد دارم مصاحبه رو انجام ندم به ایشان اطلاع بدم با قبول طرفین نسبت به این موضوع بنده رفتم یه میان وعده ای بخورم و برگردم
بعد از مراجعت مجدد من به ساختمان اصلی و بعد از ۵ دقیقه از زمان تعیین شده (یعنی ۲۵ دقیقه انتظار من) بنده تماس گرفتم و این فرد محترم به من گفتند که مصاحبه کنسل شده و من مجدداً اعتراض کردم و پرسیدم آیا به نظر شما این رفتار حرفه ای هست؟ ایشون بدون هیچ گونه عذر خواهی تلفن رو قطع کردند.
حالا شاید جالب باشه چرا مصاحبه کنسل شده؟ به دلیل عدم هماهنگی بین پرسنل خوده ناک یا شرکت نقش اول کیفیت (یا همون بزرگترین وندور همراه اول 😅)
به عنوان کسی که بیشتر از ۲۰۰ مصاحبه رفته و مصاحبه بخشی از روتین ماهانه اش هست و همچنین بیشتر از ۵۰ تا مصاحبه گرفته (در هر دو پوزیشن تجربه داشته به نظرم این دلیل ابدا قابل قبول نیست)
و کسی که تجربه کار ریموت/داخلی /بین المللی/ پروژهای/ سازمانی(سازمانهای بیشتر از پانصد نفر) میتونم بگم بدترین تجربه من از دعوت به مصاحبه در این شرکت رخ داده
پینوشت: من با دفتر مدیریت این شرکت تماس گرفتم و اعتراض مجدد خودم رو به این رفتار غیر حرفه ای و عدم حسن انجام کار و همچنین ندونستن الفبای رفتار حرفه ای سازمانی اعلام کردم، نه به امید دعوت به مصاحبه مجدد که دیکه هرگز پام رو در دفتر هیچ وندوری از همراه اول و حتی خوده همراه اول هم نخواهم گذاشت بلکه به امید رفع این مشکلات در خور توجه.
امیدوارم انتشار این پست کمکی کنه به سایر دوستان فنی کنه تا مسیر شغلی خودشون رو بهتر دنبال کنند و از رخ دادن تجربه های این چنین توسط این شرکت جلوگیری کنه
ارادتمند همیشگی شما: مجید آقامحمد
™️ @DjangoEx
〰〰〰〰〰〰〰〰
© @DjangoIR
👍19👎2😡1
Forwarded from جادی | Jadi
اگر گندی که به #فیلترنت زدن رو اعصاب شما هم هست و لازمه لحظاتی روحیه رو تقویت کنین، به این سایت سر بزنین (:
https://ridanbe.net/
پ.ن. نمیدونم کی ساخته.. ظاهرا اسپانسرش خیار دات نت است ولی ((:
https://ridanbe.net/
پ.ن. نمیدونم کی ساخته.. ظاهرا اسپانسرش خیار دات نت است ولی ((:
😁11🤣3