#نگاه_نفوذگر_قسمت_8
تو این قسمت یه نگاه عمیق میکنیم به RCE که داخل Nextjs و React اتفاق افتاده و باهم به صورت کامل و تکنیکال بررسی میکنیم که این RCE چجوری اتفاق افتاده.
بررسی کد آسیب پذیر Next js و React + تست روی لابراتو + توضیح نحوه عملکرد PoC ها و ...
پ ن : 40 دقیقه اول یک سری فاندامنتال توضیح داده شده برای درک بهتر باید این چیزارو بدونیم ولی اگر میخواین میتونین مستقیم از دقیقه 40 به بعد برین سراغ توضیح اکسپلویت.

YouTube:
https://www.youtube.com/watch?v=pC1vkGLeEVU

Notion :
https://heady-hat-c49.notion.site/Next-js-React-RCE-CVE-2025-55182-2c2db480342881e7b9c5cf675288b23e

یکی از مواردی که برای ما هایی که از VPN استفاده می کنیم، دردسر شده،‌ Fingerprint مرورگرها است!
مثلا گوگل می‌رید ولی خطای 403 میده با اینکه VPN دارید. یک دلیل به خاطر Leak شدن TimeZone اصلی شما هست.
چه موارد دیگه ای را ممکن است بررسی کنند؟
چک کنید:
https://neberej.github.io/exposedbydefault/

@DevTwitter | <VAHID NAMENI/>

یه ابزار دیدم که یه پایه آماده‌ی اپلیکیشن بدون نوشتن کد با Next.js، Tailwindcss و TypeScript بهت می‌ده و می‌ذاره بدون نوشتن کلی کد، یه پلتفرم بدون کد زدن با قابلیت ساخت API بسازی. خودِ ابزار همینجوری طراحی شده که با یه ادیتور گرافیکی APIها رو بسازی و از هر HTTP کلاینت هم بتونی صداشون کنی، در واقع یه ترکیب عالی از فریم‌ورک و ابزارای آماده اس و کارتون رو فوری راه می‌اندازه.

دانلود :

github.com/nocode-js/nocode-platform-boilerplate

@Linuxor

اگه دوست دارد میز کار یا میز کامپیوتر را ببرید توی یک لیگ دیگه از لحاظ کارایی و دیزاین این ویدیو را حتما ببینید. که چطور با 3D printing چه کارهای جالبی میکنه.
Youtube:
https://www.youtube.com/watch?v=6er5oSPUGOI

@DevTwitter | <Mehdi Allahyari/>

کاش من یه کشور بدون حاشیه و ثروتمند به دنیا می‌اومدم که پاسپورتش حرف اول رو در دنیا میزد و اصلا نمیدونستم مشکل اقتصادی چی هست ...

همین سنگاپور رو ببینید. تا حالا چند بار برای یک اتفاق منفی یا اخبار بد اسمش رو شنیدید؟ راحت دارن زندگیشون رو میکنن.

اگه فقط به درآمد سرانه نگاه کنیم، سنگاپور با تولید ناخالص داخلی حدود 156.755 دلار ثروتمندترین کشور دنیاست. بعد لوکزامبورگ با 152.915 دلار دومه و بعدش هم ایرلند با 134.000 دلار سومه.

حتی اگه بخوایم یه جور دیگه حساب کنیم، مثلا با در نظر گرفتن قدرت خرید، بازم سنگاپور و لوکزامبورگ جلوتر از بقیه هستن. سوال فرعی: لوکیشن دقیق این 2 کشور رو بلدید؟ همسایه‌هاشون رو میشناسید؟

آمریکا با اینکه اقتصادش با 30.51 تریلیون دلار بزرگ‌ترینه، توی سرانه PPP رتبه نهم رو داره (89.105 دلار). این نشون میده که در کشورهای کوچیک، ثروت بین آدم‌های کمتری پخش میشه و تاثیر بیشتری داره.

یه روش دیگه هم هست که ساعت‌های کاری رو حساب میکنه. اینجا کشورهایی که با ساعت کار کمتر، درآمد بالاتری دارن، در رتبه‌بندی قرار میگیرن. اول میشه نروژ و بعد هم سوئیس ... این‌ها با ساعت کاری کمتر و تفریح بیشتر، پول به جیب میزنن.

کشورهایی مثل چین، چون جمعیتشون زیاده، در سرانه پایین‌تر هستن هرچند اقتصادشون بزرگ‌تر باشه.

ثروت فقط به پول درآوردن نیست. عربستان هم درآمدش بالاست ولی در لیست قرار نمیگیره؛ به این بستگی داره که چطور بین مردم توزیع کنی و ملت چقدر بتونن از اون پول استفاده کنن. اینو من نمیگم. مقاله اکونومیست میگه.

⛓ @linkepin

نه درکی از جامعه داره
نه درکی از اینترنت داره
نه درکی از آزادی داره
نه عدد میفهمه

@Esc_PC

تاپل‌ها همیشه immutable نیستند!


قالب ما tupleها رو یک دیتااستراکچر immutable یا تغییر ناپذیر میشناسیم. immutable یعنی اگر یک تایپ ساخته بشه هیچ وقت قابل تغییر نخواهد بود.
یا تغریف دیکنشنری:
unchanging over time or unable to be changed.


در پایتون هم اگر شما یک tuple رو یک بار تعریف کنید دیگه قابل تغییر نیست. برای مثال:

>>> a = (1, 2, 3)
>>> a[1]="new value"
Traceback (most recent call last):
  File "<python-input-3>", line 1, in <module>
    a[1]="new value"
    ~^^^
TypeError: 'tuple' object does not support item assignment
>>> 

خب پس تاپل غیر قابل تغییر. اما یک نکته مهم درباره غیر قابل تغییر بودن تاپل ‌ها وجود داره و اونم اینه که با اینکه خود تاپل غیر قابل تغییر یا immutble هست محتوا داخل اون قابل تغییر D:

به این مثال دقت کنید:

>>> a = (1, 2, ["first"])
>>> a
(1, 2, ['first'])
>>> a[2].append("second")
>>> a
(1, 2, ['first', 'second'])
>>> 

همینطور که میبینید ما تونستیم محتوا لیستی که داخل این تاپل بود تغییر بدیم. پس اگر یک دیتا تایپ mutable داخل تاپل داشته باشیم تاپل ما میتونه تغییر کنه. اما سایز یا lenght تاپل هیچ وقت تغییر نمیکنه.


تمام این‌ها به یک نکته جالب میرسه. ما میدونیم تنها چیزهایی میتونن hash بشند در پایتون که غیر قابل تغییر باشن و تنها چیزهایی که میتونن hash بشند میتونن به عنوان کلید یک دیکشنری استفاده بشن. برای مثال:

>>> a = (1, 2)
>>> {a:"a as the key"}
{(1, 2): 'a as the key'}
>>> 

اما اگر ما از یک mutable داخل این تایپل استفاده کنیم از اونجایی که این تاپیل حالا میتونه تغییر پیدا کنه قابل hash شدن نیست و در نتیجه نمیتونه به عنوان کلید دیکششنری استفاده بشه:

>>> a = (1, [2, 3])
>>> {a: "a as the key"}
Traceback (most recent call last):
  File "<python-input-14>", line 1, in <module>
    {a: "a as the key"}
TypeError: unhashable type: 'list'
>>> 

این نکته گاهی میتونه به slient bug برسه و یک جایی به مشکل بخوره D:


@TorhamDevCH

امروز یکی از بزرگترین روز ها برای اردبیل بود ...

روزی که اردبیل برای اولین بار کمیته تخصصی هوش مصنوعی رو گذاشت

و من خواب موندم و به کمیته نرسیدم😑

🔶 یوتیوبر BridgeMind کانالی راه‌اندازی کرده است که در آن ویدئو هایی درباره این موضوع منتشر می ‌کند که یک مهندس نرم ‌افزار چگونه به ‌صورت عملی با هوش مصنوعی کار می‌کند و تمرکز محتوای این کانال بر توسعه واقعی محصولات مبتنی بر هوش مصنوعی، فرآیند تصمیم‌ گیری فنی، ساخت MVP، و تبدیل ایده به محصول قابل درآمد است.

هدف‌گذاری BridgeMind رسیدن به درآمد یک میلیون دلاری از طریق توسعه و تجاری‌سازی اپلیکیشن‌های مبتنی بر هوش مصنوعی است؛ مسیری که به ‌صورت شفاف و مرحله ‌به ‌مرحله در قالب ویدئوها مستند سازی می‌شود.

این کانال بیشتر از آنکه آموزشی صرف باشد، یک روایت واقعی از مسیر ساخت محصول، آزمون و خطا و تفکر یک مهندس نرم‌افزار در دنیای هوش مصنوعی است.

پ.ن : برخی برنامه ‌نویسان با این شیوه‌ی کار با هوش مصنوعی مخالف هستند و معتقدند که هیچ تضمینی وجود ندارد استفاده گسترده از هوش مصنوعی لزوماً منجر به تبدیل شدن فرد به یک مهندس نرم‌افزار بهتر شود.
از نگاه آن ‌ها، تکیه بیش ‌از حد بر ابزارهای هوش مصنوعی ممکن است باعث تضعیف درک عمیق مفاهیم پایه، معماری نرم‌افزار و توانایی حل مسئله در بلند مدت شود.

https://www.youtube.com/@bridgemindai

#ai

@TheRaymondDev

سایت System Design یکی از بهترین منابع برای فهم طراحی سیستم‌های بزرگیه که هر روز استفاده می‌کنیم.
خودم تقریبا هر روز یکی از مطالبش رو می‌خونم و واقعا دید خوبی برای پیاده‌سازی نرم‌افزار می‌ده؛
از WhatsApp و YouTube تا Instagram و Redis و ...

https://newsletter.systemdesign.one/

@DevTwitter | <Mohammad/>

وقتشه که استفاده از Exception برای کنترل فلو (Control Flow) در لاراول را متوقف کنیم.
پترن Railway-Oriented Programming (ROP) یک شیوه مدرن برای مدیریت خطاهاست که از دنیای Functional Programming وارد شده. به جای پرتاب Exception و امیدوار بودن به اینکه یه جایی اون رو Catch کنیم، می‌تونیم عملیات‌ها را به صورت زنجیره‌ای از موفقیت‌ها و شکست‌ها مدل کنیم.
در این مقاله، ROP و طرز فکر پشت اون و نحوه پیاده‌سازی کاملش در لاراول را با استفاده از Result Types توضیح دادم.
مطالعه کامل مقاله
https://medium.com/@mmtaheri.dev/railway-oriented-programming-in-laravel-exceptions-are-not-your-business-3499a9feb790

@DevTwitter | <Mohammad Mahdi Taheri/>

اینو خوندم جالب بود رفتم ی سمپل کد پیدا کردم براش از

https://blog.logrocket.com/what-is-railway-oriented-programming/

const sendWayBillMail = async() => {
  const data = await fs.readFile('emailContent.txt', 'binary')
  if (!data){
    return 'Empty content or invalid!'
  }
  const { emailAddress, firstName, lastName } = await User.findById(userId)

  if (!emailAddress) {
      return 'Email address not found!'
    }  
  
  const isValidated = await validateEmail(emailAddress)
  
  if (!isValidated) {
      return 'Email address not valid!'
    }
  if (!lastName) {
    return 'Last name not found!'
  }
  if (!firstName) {
    return 'First name not found!'
  }

  sendMail(emailAddress, firstName, lastName, data)
  
  return 'Done'
}

و نکته جالب ماجرا اینجاست که همین الآنم کد هایی که با Django میزنم الان همین حالت ریلی رو داره

بیش از 200 تکنیک طراحی بصری

لیستی مفید از سبک‌ها و تکنیک‌های طراحی بصری به همراه مثال‌ها و راهنماهایی در مورد نحوه و زمان استفاده از اونها:


anthonyhobday.com/sideprojects/visualtechniques


@Linuxor

من حفظ کرده بودم که کانتینر از طریق دو فیچر c group و namespace ایزوله سازی می‌کنه ولی درک کاملی نداشتم که دقیقا معنیش چیه
این ویدیو پرکتیکال کانتینر رو با محوریت ایزوله سازی از اسکرچ پیاده سازی می‌کنه
https://youtu.be/MHv6cWjvQjM

♦️ محتوای برندساز با محتوای لیدساز چه فرقی داره؟

یه تصور رایج از پرسونال برندینگ اینه که: «محتوا تولید کن و توی سوشال‌مدیا منتشر کن تا دیده بشی و کسب درآمد کنی.»

ولی واقعیت اینه که اگر برای پرسونال برند خودت «استراتژی برندینگ» نداشته باشی، صرفاً با Content Marketing نمی‌تونی به یه برند موندگار تبدیل بشی. نهایتاً تبدیل میشی به یه «تولیدکننده‌ی محتوای خوب» که مخاطب‌ها پست‌هاش رو لایک می‌کنن، اما کسی برای پروژه‌های بزرگ سراغش نمیاد.

من این دو تا رو از هم تفکیک می‌کنم:

1️⃣ محتوای لیدساز (Lead Generation Content)

هدفش «فروش» یا «جذب مشتری» در کوتاه‌مدته. این محتوا روی نیاز و درد لحظه‌ای مخاطب تمرکز می‌کنه.

مثال: چک‌لیست سئوی تکنیکال، ۵ ترفند برای افزایش فروش، آموزش کار با سرچ کنسول.

نتیجه: مخاطب میگه «دمت گرم، چه نکته‌ی خوبی» و Save یا Share می‌کنه.

جایگاه شما: یک متخصص کاربلد یا یک مدرس خوب.

2️⃣ محتوای برندساز (Brand Building Content)

هدفش «هویت‌سازی»، «ایجاد تمایز» و «جایگاه‌سازی» (Positioning) در بلندمدته. این محتوا روی باورها، ارزش‌ها، دیدگاه منحصر‌به‌فرد و داستان شما تمرکز داره.

مثال: چرا من معتقدم سئو بدون UX بی‌فایده است؟ تحلیل من از آینده‌ی بازار دیجیتال مارکتینگ ایران چیه؟ من چه درسی از شکست در فلان پروژه گرفتم؟

نتیجه: مخاطب میگه «من طرز تفکر این آدم رو قبول دارم و می‌خوام فقط با اون کار کنم.»

جایگاه شما: یک رهبر فکری (Thought Leader) و مشاور استراتژیک که ارتباطات بسیار ارزشمندتری نسبت به لیدهای خرید داره.

♦️ خطای استراتژیک کجاست؟

اکثر افراد تمام تمرکزشون رو میذارن روی محتوای آموزشی و لیدساز. در نتیجه مخاطب هم اون‌ها رو به چشم یه «Wiki» یا دایره‌المعارف می‌بینه، نه یک «برند متمایز».

یه پرسونال برند، باید تفاوت جایگاه خودش رو با جایگاه افراد مشابه دیگه با دقت انتخاب کرده باشه و برای تثبیت اون جایگاه در ذهن مخاطبان هدف، برای خودش هویت‌سازی کنه.

اگر محتوای شما فقط «مشکل مخاطب» رو حل کنه، پول درمیارید. اما اگر محتوای شما «طرز فکر» مخاطب رو تغییر بده، برند می‌سازید.

به یه بیان دیگه میشه گفت کانتنت مارکتینگ فقط ابزاره. سوخت این ابزار باید «استراتژی برند» شما باشه.

🆔 @MiladSafaei_ir
.