‏یک محقق امنیت سایبری با نام مستعار «Chaotic Eclipse» یا «Nightmare Eclipse»، کدهای اثبات (Proof-of-Concept) برای دو آسیب‌پذیری وصله‌نشده ویندوز با نام‌های «YellowKey» و «GreenPlasma» منتشر کرده است. YellowKey یک روش دور زدن رمزنگاری بیت‌لاکر (BitLocker bypass) است که ویندوز ۱۱ و ویندوز سرور ۲۰۲۲/۲۰۲۵ را تحت تأثیر قرار می‌دهد و از طریق محیط بازیابی ویندوز (Windows Recovery Environment) با قرار دادن فایل‌های مخصوص «FsTx» روی درایو USB یا پارتیشن EFI قابل بهره‌برداری است.
محقق امنیتی کوین بومونت (Kevin Beaumont) صحت این آسیب‌پذیری را تأیید کرد و استفاده از پین بیت‌لاکر به همراه رمز عبور BIOS را به عنوان راهکار کاهش خطر توصیه نمود؛ هرچند محقق اصلی ادعا کرده که آسیب‌پذیری حتی در محیط‌های TPM+PIN نیز قابل بهره‌برداری است، اما کد مربوط به این نسخه منتشر نشده است. GreenPlasma نیز یک آسیب‌پذیری ارتقاء سطح دسترسی (privilege escalation) است که به کاربران غیرمجاز امکان می‌دهد اشیاء حافظه‌ای دلخواه در مسیرهای قابل نوشتن توسط SYSTEM ایجاد کنند، هرچند کد منتشرشده برای دستیابی به پوسته کامل SYSTEM ناقص است.

این افشاگری‌ها در پی نارضایتی محقق از نحوه رسیدگی مایکروسافت به گزارش‌های آسیب‌پذیری صورت گرفته و پس از انتشار قبلی آسیب‌پذیری‌های BlueHammer و RedSun است که هر دو پس از افشای عمومی مورد بهره‌برداری واقعی قرار گرفتند. محقق تهدید کرده که به انتشار اکسپلویت‌های آسیب‌پذیری‌های مستندنشده ویندوز ادامه خواهد داد و از «یک غافلگیری بزرگ» برای Patch Tuesday ماه آینده خبر داده است.

( به بیان ساده بیت‌لاکر ویندوز بکدور داشته که خود مایکروسافت قفل سیستم‌های ملت را باز کنه )

<Teegra/>

‏محققان امنیت سایبری چندین آسیب‌پذیری جدی در NGINX Plus و NGINX Open Source فاش کردند که مهم‌ترین آن‌ها یک نقص بحرانی ۱۸ ساله است. این آسیب‌پذیری که با نام «NGINX Rift» شناخته می‌شود، توسط شرکت depthfirst کشف شده و یک مشکل سرریز بافر پشته (heap buffer overflow) در ماژول ngx_http_rewrite_module است (CVE-2026-42945، امتیاز CVSS v4: 9.2).
این نقص به مهاجم احراز هویت‌نشده اجازه می‌دهد با ارسال یک درخواست HTTP ساختگی، اجرای کد از راه دور (remote code execution) را محقق سازد یا حمله انکار سرویس (DoS) ترتیب دهد.
شرکت F5 در بیانیه‌ای اعلام کرد این آسیب‌پذیری زمانی فعال می‌شود که دستور rewrite با دستورات خاص و عبارات منظم سازگار با Perl (PCRE) ترکیب شود. مهاجم می‌تواند با ارسال تنها یک درخواست، بدون نیاز به احراز هویت یا دسترسی قبلی، کنترل فرآیند worker در NGINX را به دست گیرد.

این آسیب‌پذیری پس از افشای مسئولانه در ۲۱ آوریل ۲۰۲۶ در نسخه‌های جدید NGINX Plus (R32 P6 و R36 P4) و NGINX Open Source (1.30.1 و 1.31.0) برطرف شده است، هرچند برای نسخه‌های قدیمی‌تر (0.6.27 تا 0.9.7) هیچ وصله‌ای در نظر گرفته نشده است.
علاوه بر این، سه آسیب‌پذیری دیگر نیز وصله شدند: CVE-2026-42946 (امتیاز 8.3) مربوط به تخصیص حافظه بیش از حد، CVE-2026-40701 (امتیاز 6.3) مربوط به استفاده از حافظه آزادشده (use-after-free)، و CVE-2026-42934 (امتیاز 6.3) مربوط به خواندن خارج از محدوده (out-of-bounds read). به کاربرانی که امکان به‌روزرسانی فوری ندارند، توصیه شده است در تنظیمات rewrite، از نام‌گذاری صریح (named captures) به جای نام‌گذاری ضمنی (unnamed captures) استفاده کنند.

اگر از Nginx استفاده میکنید آپدیت کنید تا سرورتون حداقل با DDoS به فنا نره !

<Teegra/>

🔵 عنوان مقاله
Qilin ransomware group claims the hack of German political party Die Linke (1 minute read)

🟢 خلاصه مقاله:
گروه حمله‌رسان Qilin در تاریخ اول آوریل، حزب سیاسی چپ‌گرای آلمان به نام Die Linke را به فهرست افشای داده‌های خود در سایت تار (Tor) اضافه کرد. این اقدام نشان می‌دهد که این گروه نفوذ و حمله سایبری قدرتمندی است که به‌طور هدفمند بر سازمان‌ها و احزاب سیاسی تمرکز دارد. اضافه کردن یک حزب سیاسی به فهرست افشای اطلاعات، هشداری جدی برای مسئولان امنیت سایبری و اعضای حزب است و نشان‌دهنده میزان نفوذ و تهدیداتی است که فعالیت‌های سایبری می‌تواند برای نهادهای سیاسی ایجاد کند.

این حمله سایبری در حالی رخ داده است که در عصری قرار داریم که حملات هکری و نفوذهای دیجیتال به‌طور فزاینده‌ای افزایش یافته و می‌تواند عواقب جدی اقتصادی، سیاسی و امنیتی برای کشورها و سازمان‌ها داشته باشد. گروه Qilin با تمرکز بر اهداف حساس، نشان داده است که قابلیت کشف و نفوذ به سیستم‌های مدافع را دارد و اقداماتی مانند افشای داده‌ها در سایت‌های تار، بخشی از استراتژی‌های آن برای فشار آوردن یا انتقام‌گرفتن است.

این خبر مهم، توجه بسیاری از مراجع امنیتی و سیاسی را به خود جلب کرده و هشدار دهنده است که باید توجه بیشتری به امنیت سایبری سازمان‌ها و نهادهای حیاتی داشت. در نتیجه، نیاز به تقویت سیستم‌های دفاعی و همکاری بین‌دولتی در مقابله با گروه‌های هکری مانند Qilin، بیش‌ازپیش احساس می‌شود.

#حملات_سایبری #امنیت_سایبری #حزب_آلمان #گروه_Qilin

🟣لینک مقاله:
https://securityaffairs.com/190348/cyber-crime/qilin-ransomware-group-claims-the-hack-of-german-political-party-die-linke.html?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Essential reading for people who are still responsible and serious in IT

🟢 خلاصه مقاله:
برای کسانی که در حوزه فناوری اطلاعات هنوز رویکردی مسئولانه و جدی دارند، این مطالعه ضروری است. مایک برین‌هوف پنج کتاب را معرفی می‌کند که تاثیر چشمگیری در تفکر انتقادی او درباره مباحث حوزه فناوری، هیجانات مربوط به هوش مصنوعی و فرهنگ بهره‌وری داشته است. این فهرست کتاب‌ها شامل موضوعاتی مانند سوگیری‌های شناختی و تاریخچه جنبش لودی‌تها است، و به نوعی دیدگاهی متفاوت و جذاب نسبت به مسائل این عرصه ارائه می‌دهد.

در دنیای فناوری امروز، تمرکز بر توسعه سریع و پرسرعت فناوری، گاهی اوقات باعث نادیده گرفتن پیامدهای اجتماعی، اخلاقی و انتقادی می‌شود. کتاب‌هایی که مایک برین‌هوف معرفی می‌کند، به خواننده کمک می‌کنند تا با دیدی وسیع‌تر، از تخصص‌گرایی صرف فاصله بگیرد و نگاهی جامع‌تر و فکرشده‌تر به فناوری و تاثیرات آن در جامعه داشته باشد. از شناخت سوگیری‌های ذهنی گرفته تا تاریخچه جنبش‌های مقاومتی، این کتاب‌ها درسی ارزشمند برای کسانی است که قصد دارند در این حوزه همانند مسوولان و تصمیم‌گیرندگان، آگاهانه و مسئولانه عمل کنند.

در مجموع، این مجموعه کتاب‌ها ابزاری قدرتمند برای فهم بهتر مفاهیم پیچیده فناوری و تحلیل انتقادی آن‌هاست و برای هر فرد حرفه‌ای در فناوری اطلاعات که به دنبال رشد فکری و درک عمیق‌تر است، توصیه می‌شود. مطالعه این منابع نه تنها باعث تقویت دیدگاه انتقادی بلکه راهنمایی است برای مسیر حرفه‌ای مسئولانه‌تر در دنیای پرشتاب و در حال تحول فناوری.

#فناوری #تفکرانتقادی #هوشمندسازی #مسئولیتپذیری

🟣لینک مقاله:
https://cur.at/MAoSGdA?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How AI Testing Agents Are Transforming QA at Showpad

🟢 خلاصه مقاله:
در دنیای نوین توسعه و تضمین کیفیت نرم‌افزار، هوش مصنوعی به‌سرعت نقش مهمی ایفا می‌کند. در شرکت Showpad، تیم تست و تضمین کیفیت (QA) با بهره‌گیری از عامل‌های هوشمند، نحوه انجام فرآیندهای تست را دگرگون کرده است. گانشنا مانیکام، یکی از اعضای این تیم، در مورد تجربیات خود در توسعه و پیاده‌سازی این عامل‌های هوشمند توضیح می‌دهد. او معتقد است که ساختن عوامل کوچک و تخصصی برای هر مرحله از فرآیند تست، به بهبود دقت، سرعت و کارایی آزمون‌ها کمک زیادی می‌کند. این رویکرد نه تنها امکان شناسایی سریع‌تر خطاها را فراهم کرد، بلکه فرآیندهای تکراری و زمان‌بر را به شکل قابل توجهی کاهش داد. در نتیجه، تیم QA توانست نتایج دقیق‌تری کسب کند و زمان تحویل پروژه‌ها نیز کاهش یابد. این تجربه نشان می‌دهد که ادغام هوش مصنوعی در کارهای روزمره تضمین کیفیت، گام موثری در آینده‌نگری و بهبود مستمر فرآیندهای توسعه نرم‌افزار است.

#هوش_مصنوعی #تضمین_کیفیت #تست_نرم‌افزار #هوشمندسازی

🟣لینک مقاله:
https://cur.at/18yjD6U?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

پروژه RustDesk یک نرم‌افزار دسترسی از راه دور (Remote Desktop) شبیه TeamViewer یا AnyDesk که اوپن سورس نوشته شده.

نکات کلیدی و کوتاه:
زبان اصلی: Rust (برای هسته) و Flutter/Dart (برای رابط کاربری مدرن).

مهم‌ترین ویژگی: قابلیت میزبانی روی سرور شخصی (Self-Hosting). یعنی شما کنترل کامل روی داده‌هات داری و مجبور نیستی از سرورهای عمومی استفاده کنی.

کاربرد: کنترل کامپیوتر یا موبایل از راه دور، انتقال فایل، چت صوتی و تصویری.

پشتیبانی از سیستم‌عامل‌ها: ویندوز، مک، لینوکس، اندروید، iOS و حتی مرورگر (Web client).

مزیت رقابتی: رایگان بودن، امنیت بالا، بدون نیاز به تنظیمات اولیه (در حالت پیش‌فرض) و متن‌باز بودن کامل.

محبوبیت: بیش از 114 هزار ستاره در گیتهاب.

https://github.com/rustdesk/rustdesk

#DevTwitter

🔵 عنوان مقاله
@playwright-labs/reporter-slack: Rich Slack Notifications for Playwright Test Runs

🟢 خلاصه مقاله:
در دنیای توسعه نرم‌افزار امروز، دریافت نتایج تست‌های خود به صورت فوری و کارآمد اهمیت زیادی دارد. یکی از ابزارهای مفید در این زمینه، افزونه‌ای است که به شما امکان می‌دهد نتایج آزمایش‌های Playwright را مستقیماً در Slack دریافت کنید. Vitali Haradkou در مقاله‌ای، روش استفاده از افزونه @playwright-labs/playwright-slack را برای ارسال اعلان‌های غنی و جامع در حین اجرای تست‌ها معرفی می‌کند. این قابلیت به تیم‌های توسعه کمک می‌کند تا سریع‌تر از وضعیت پروژه مطلع شده و در صورت بروز خطا یا مشکل، واکنش نشان دهند. استفاده از این ابزار، فرآیند نظارت بر تست‌ها را بسیار ساده‌تر و موثرتر می‌سازد و از طریق پیام‌های ساختاریافته، اطلاعات مهم را در لحظه در دسترس اعضای تیم قرار می‌دهد.

در مجموع، این تکنولوژی جدید به عنوان یک راه حل مفید و کارآمد برای بهبود گردش کار تیم‌های توسعه پرکاربرد است و امکان کنترل بهتر بر فرآیند تست و سریع‌تر عیب‌یابی را فراهم می‌آورد.

#تست_نرم_افزار #Slack #Playwright #اطلاع‌رسانی

🟣لینک مقاله:
https://cur.at/fFdnFdT?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

اختلال‌های یواشی روی گوگل‌پلی دیده میشه
ممکنه در حال وایت‌لیست شدن باشه

🔵 عنوان مقاله
You Write Too Many Tests

🟢 خلاصه مقاله:
در دنیای توسعه نرم‌افزار، تست‌های زیاد و بی‌وقفه می‌توانند هم باعث افزایش زمان و هزینه‌های پروژه شوند و هم گاهی اوقات کارایی آن‌ها را کاهش دهند. اگر در اعتماد به صحت و کامل بودن تست‌های یکپارچه‌سازی خود دچار تردید هستید، بهتر است کمی تجدید نظر کنید. کریس تونکینسون پیشنهاد می‌دهد که در عوض، تعداد این تست‌ها را کاهش دهید و به جای آن از الگوی «درخت سناریو» برای پوشش‌دهی از بالا به پایین بهره ببرید. این روش به شما کمک می‌کند تا با تمرکز بر سناریوهای کلیدی، نظارت موثرتری بر عملکرد سیستم داشته باشید و در عین حال زمان و منابع کمتری صرف کنید.

در عمل، استفاده از الگوی «درخت سناریو» به توسعه‌دهندگان امکان می‌دهد که با ساختن یک ساختار سلسله‌مراتبی از سناریوهای مختلف، تست‌ها را به شکل منظم‌تر و موثرتری سازماندهی کنند. این رویکرد نه تنها تضمین می‌کند که تمام مسیرهای مهم تست شده است، بلکه باعث می‌شود اشکالات در مراحل اولیه شناسایی و برطرف شوند. در نتیجه، کیفیت نهایی نرم‌افزار ارتقا پیدا می‌کند و نیاز به تعداد زیادی تست تکراری کاهش می‌یابد.

پس اگر احساس می‌کنید تعداد تست‌های یکپارچه‌سازی شما زیادی است یا اعتماد به آن‌ها ندارید، بهتر است نگاهی دوباره بیندازید و استراتژی‌های جدیدی مانند «درخت سناریو» را در نظر بگیرید. این تغییر کوچک می‌تواند تأثیر بزرگی بر روند توسعه، کیفیت نهایی و صرفه‌جویی در زمان و هزینه‌ها داشته باشد.

#تست_نرم_افزار #توسعه_پایدار #الگوی_درخت_سناریو #کیفیت_نرم_افزار

🟣لینک مقاله:
https://cur.at/wMZEdfl?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

طرف بعد از 8 سال از شرکت Attlasian اخراج یا خارج شده اومده ویدو گذاشته

که چه کارهایی در چه بخش هایی انجام داده رو کامل توضیح داده

بنظرم کار جالبی بود شاید برای بعضی حرکت خوبی باشه

https://www.youtube.com/watch?v=55pTFVoclvE

#کاربردی

🔵 عنوان مقاله
You're Not Meta: Build Fast Teams with Fast Tests

🟢 خلاصه مقاله:
در دنیای توسعه نرم‌افزار، سرعت اجرای تست‌ها و کار تیمی موثر نقش مهمی در پیشرفت پروژه‌ها ایفا می‌کند. سایو اولادجی در مقاله‌ای جذاب به اهمیت این موضوع اشاره می‌کند و بر این نکته تأکید دارد که باید در اجرای تست‌های محلی سرعت‌بخش بوده و تعداد تست‌های بی‌ثبات و ناسازگار را کاهش داد. او تجربه‌های ارزشمندی از کار در شرکت‌های معتبر مانند گوگل و متا دارند، که نشان می‌دهد رعایت توازن در نوع و تعداد تست‌ها، نه تنها روند توسعه را تسریع می‌کند بلکه کیفیت نرم‌افزار را هم حفظ می‌نماید.

در این مقاله، اولادجی بر اهمیت برپایه قرار دادن تست‌های سریع، تا حد امکان، تأکید می‌کند تا بتوان سریع‌تر مشکلات را شناسایی و رفع کرد. کاهش تعداد تست‌های نامعتبر و بی‌ثبات که اغلب باعث اتلاف وقت و ایجاد سردرگرمی می‌شوند، راهکاری است که باید جدی گرفته شود. علاوه بر این، او بر رعایت یک "هرم تست" متعادل تاکید دارد که شامل تست‌های واحد، یکپارچه‌سازی و پذیرش است. این استراتژی، کمک می‌کند تا تیم‌های توسعه بتوانند در زمان کوتاه‌تری بر مشکلات تمرکز کنند و محصول نهایی با کیفیت بالا ارائه دهند.

در مجموع، این نکات و روش‌ها بر اهمیت برنامه‌ریزی، تمرکز بر سرعت و دقت در تست‌ها اشاره دارد، موضوعی که در فضای رقابتی فناوری اهمیت حیاتی دارد و می‌تواند تفاوت چشمگیری در سرعت و کیفیت نهایی پروژه‌ها ایجاد کند.

#توسعه_نرم_افزار #تست_سریع #کارایی تیم #کیفیت_پروژه

🟣لینک مقاله:
https://cur.at/zwHEK6B?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

اتصال پرسرعت با امنیت مطمئن
پایدار، سریع، سازگار با انواع دستگاه‌ها
.
کد تخفیف :
Labdon
.
https://xn--r1a.website/SiftalNetBot

درود و وقت بخیر 🌹

دوستان، من خودم مدتیه از این VPN استفاده می‌کنم و واقعاً از کیفیت و پایداریش راضی‌ام.
برای کارهای برنامه‌نویسی و نیازهایی که دارم، عملکرد خیلی خوبی داشته و تا الان تجربه‌ی روان و بدون دردسری باهاش داشتم.

✅ اتصال پرسرعت
✅ امنیت قابل اعتماد
✅ پایداری بالا
✅ سازگار با انواع دستگاه‌ها

اگر دنبال یک VPN مطمئن برای کار روزمره، برنامه‌نویسی یا استفاده‌ی حرفه‌ای هستید، می‌تونه گزینه‌ی مناسبی باشه.

🔵 عنوان مقاله
How I Debug Appium Test Failures Without Inspector

🟢 خلاصه مقاله:
وقتی در حال تست برنامه‌های موبایل با ابزار قدرتمند و محبوب Appium هستید، ممکن است با مشکلات متعددی در فرآیند اشکال‌زدایی روبه‌رو شوید. جوثین جوب در مقاله‌ای نکاتی ارزشمند درباره چگونگی رفع خطاهای تست‌های Appium ارائه می‌دهد، به ویژه وقتی که ابزار Inspekte‌r در دسترس نیست یا کارایی ندارد. او به اشتراک گذاشتن راه‌حل‌های عملی و کارآمد برای رفع مشکلات رایج می‌پردازد تا توسعه‌دهندگان بتوانند فرآیند اشکال‌زدایی خودشان را بدون وابستگی به ابزارهای جانبی و در داخل محیط آزمایش پیش ببرند و در نتیجه سریع‌تر مشکلات را شناسایی و حل کنند.

در این مقاله، همچنین به یکی از مشکلات رایج در تست‌های موبایل با Appium اشاره می‌شود که مربوط به شکست در اجرای عملیات اسکرول در دستگاه‌های مختلف است. جوب توضیح می‌دهد چرا این مشکل در برخی دستگاه‌ها رخ می‌دهد و چه عوامل فنی و تفاوت‌های در اندازه صفحه نمایش، در این مسئله نقش دارند. فهم این نکته به توسعه‌دهندگان کمک می‌کند تا استراتژی‌های بهتری برای اطمینان از عملکرد صحیح اسکرول در تمامی دستگاه‌ها تدوین کنند و از شکست‌های مکرر در تست‌ها جلوگیری نمایند.

در نهایت، با مطالعه این راهکارهای کاربردی، می‌توانید فرآیند اشکال‌زدایی در تست‌های موبایل را بهبود بخشید و اطمینان حاصل کنید که برنامه‌های شما در هر اندازه صفحه‌نمایش و در انواع دستگاه‌ها به درستی کار می‌کنند. این موارد علاوه بر صرفه‌جویی در زمان، کیفیت نهایی محصول نهایی را نیز ارتقاء می‌دهد و فرآیند توسعه را سریع‌تر و مطمئن‌تر می‌سازد.

#تست_موبایل #اشکال‌زدایی #Appium #توسعه‌دهندگان

🟣لینک مقاله:
https://cur.at/a04e05d?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Commit Comprehension Gate (GitHub Repo)

🟢 خلاصه مقاله:
در پروژه‌های نرم‌افزاری، بررسی دقیق و درک کامل تغییرات کد قبل از ادغام در شاخه اصلی بسیار حائز اهمیت است. به همین منظور، ابزار «دروازه درک تعهد» (Commit Comprehension Gate) یک اکشن قدرتمند در GitHub است که فرآیند تایید کد را هوشمندانه‌تر می‌کند. این اکشن از توسعه‌دهنده می‌خواهد نشان دهد که کاملاً به تغییرات انجام شده در کد متمرکز شده است، قبل از اینکه بتواند درخواست ادغام (Merge Request) را نهایی کند.

در واقع، «دروازه درک تعهد» این وظیفه را بر عهده می‌گیرد که با ایجاد سه سوال چندگزینه‌ای بر اساس تفاوت‌های واقعی در تغییرات کد، سطح درک توسعه‌دهنده را ارزیابی کند. این سوالات مستقیماً در کامنت مربوط به درخواست pull (PR) قرار می‌گیرند و تا زمانی که تمامی سوال‌ها به درستی پاسخ داده نشوند، وضعیت تعهد به حالت «در انتظار» باقی می‌ماند. این سیستم، بدون نیاز به ذخیره‌سازی جداگانه، فرآیند ارزیابی را بسیار ساده و سریع می‌سازد و هر بار که توسعه‌دهنده یک کامیت جدید ارسال کند، مجموعه‌ای تازه از سوالات تولید می‌شود.

همچنین، درخواست‌های PR در حالت پیش‌نویس به صورت خودکار نادیده گرفته می‌شوند و مدیران پروژه یا نگهدارنده‌ها امکان دارند که فرآیند عبور از این دروازه را در صورت نیاز، نادیده بگیرند. این ابزار به تیم‌های توسعه کمک می‌کند تا با اطمینان بیشتری تغییرات را قبل از ادغام بررسی کرده و کیفیت کد را تضمین کنند.

در نتیجه، «دروازه درک تعهد» یک راهکار هوشمند و موثر برای مدیریت کیفیت کد در پروژه‌های تیمی است که همکاری و درک مشترک روی کد را تقویت می‌کند و از بروز خطاهای احتمالی در فرآیندهای ادغام جلوگیری می‌نماید.

#کد_کمیته #پروژه_تیم #توسعه_مستمر #کیفیت_کد

🟣لینک مقاله:
https://github.com/islandbytesio/commit_comprehension_gate?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🎉 جشنواره تخفیف ۳۵ درصدی
⏰ فقط به مدت ۲۴ ساعت!

اگر دنبال یک VPN سریع، پایدار و امن هستید، این فرصت رو از دست ندید.

✅ مناسب برای برنامه‌نویسی
✅ عالی برای وب‌گردی و شبکه‌های اجتماعی
✅ سرعت بالا و پینگ مناسب
✅ امنیت و پایداری عالی
✅ سازگار با انواع دستگاه‌ها

همین حالا با تخفیف ویژه تهیه کنید. 🚀

👇🐝👇🐝👇🐝👇

https://xn--r1a.website/SiftalNetBot

‏دو آسیب‌پذیری خطرناک در افزونه پرکاربرد وردپرس «Avada Builder» با بیش از یک میلیون نصب فعال کشف شده که به هکرها امکان می‌دهد فایل‌های دلخواه را بخوانند و اطلاعات حساس را از پایگاه داده استخراج کنند.

اولین آسیب‌پذیری با شناسه CVE-2026-4782، در تمام نسخه‌های تا 3.15.2 وجود دارد و به کاربران احراز هویت‌شده با حداقل سطح دسترسی «مشترک» (subscriber) اجازه می‌دهد محتوای هر فایلی روی سرور، از جمله فایل حساس wp-config.php حاوی اعتبارنامه‌های پایگاه داده و کلیدهای رمزنگاری، را بخوانند که می‌تواند به تصاحب کامل سایت منجر شود.

آسیب‌پذیری دوم با شناسه CVE-2026-4798، یک حمله تزریق SQL (SQL injection) کور مبتنی بر زمان است که نسخه‌های تا 3.15.1 را تحت تأثیر قرار می‌دهد و بدون نیاز به احراز هویت قابل بهره‌برداری است، مشروط بر اینکه افزونه WooCommerce پیش‌تر فعال و سپس غیرفعال شده باشد.

<Teegra/>

🔵 عنوان مقاله
Your Load Test Passed. Your Server Crashed. Here's Why (Little's Law Fix Inside)

🟢 خلاصه مقاله:
اگرچه افزودن آزمایش‌های بارگذاری به سیستم‌ها کار ساده‌ای است، اما طراحی صحیح آنها نیازمند دقت و دانش فنی است. بسیاری از توسعه‌دهندگان با خیال راحت آزمایش‌های مختلفی را اجرا می‌کنند، اما پس از آن با مشکلات ناگهانی مانند کرش سرورها روبرو می‌شوند، چرا که در طراحی این آزمایش‌ها نکات حیاتی نادیده گرفته شده است. جنیش پاتهل در مطالب خود نکات عملی و قابل استفاده‌ای در مورد اعدادی که اهمیت فراوان دارند و مواردی که باید در مطالعه رفتار کاربران در نظر گرفته شوند، ارائه می‌دهد. این نکات می‌تواند به توسعه‌دهندگان کمک کند تا نقشه راه بهتری برای شبیه‌سازی بارهای واقعی و پیشگیری از سقوط سرورها در زمان‌های حساس داشته باشند.

در ادامه، شرح می‌دهد که چگونه طراحی صحیح آزمایش‌های بارگذاری می‌تواند از بروز چنین مشکلاتی جلوگیری کند و به بهبود پایداری و کارایی سیستم‌ها کمک کند. بررسی‌های فنی و ترفندهای کاربردی ارائه شده در این مقاله، بخش مهمی از دانش لازم برای توسعه‌دهندگان و مدیران فنی است تا در زمان اجرای آزمایش‌ها، از نتایج دقیق و قابل اعتماد بهره‌مند شوند و بدون نگرانی از آسیب‌ها، سیستم‌های خود را بهبود دهند.

در مجموع، این مقاله مرجع خوبی است برای کسانی که قصد دارند آزمایش‌های بارگذاری مؤثر و دقیق انجام دهند، و نشان می‌دهد که چگونه با رعایت نکات کلیدی می‌توان به نتایج قابل اطمینان رسید و از وقوع مشکل‌های بزرگ در زمان تولید جلوگیری کرد.

#آزمایش_بارگذاری #پایداری_سیستم #توسعه_وب #نکات_فنی

🟣لینک مقاله:
https://cur.at/J2twzkV?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Default Creds (GitHub Repo)

🟢 خلاصه مقاله:
در دنیای فناوری و امنیت سایبری، داشتن اطلاعات مربوط به حساب‌های پیش‌فرض یکی از مهم‌ترین مواردی است که باید مورد توجه قرار گیرد. در این زمینه، "Default Creds" یک مخزن جامع و متمرکز است که به صورت جمعی و به‌روز نگهداری می‌شود. این مخزن، مجموعه‌ای از حساب‌های پیش‌فرض کارخانه‌ای است که معمولاً در دستگاه‌ها، سرویس‌ها و نرم‌افزارها یافت می‌شود و به صورت عمومی در دسترس قرار دارد. هدف اصلی این پروژه، کمک به متخصصان امنیت، پژوهشگران و هکرهای اخلاق‌مدار برای شناسایی آسیب‌پذیری‌هایی است که به دلیل استفاده از این حساب‌های پیش‌فرض وجود دارد. با داشتن دسترسی به این مجموعه، می‌توان سریع‌تر نقاط ضعف سیستم‌ها را شناسایی و اقدامات لازم را جهت بهبود امنیت انجام داد.

این مخزن بر اساس همکاری و مشارکت جامعه فعال ساخته شده است و افراد مختلف می‌توانند اطلاعات جدید را به آن افزودن و به‌روزرسانی‌های لازم را انجام دهند. در نتیجه، "Default Creds" به یک منبع ارزشمند و معتبر برای شناخت و مقابله با آسیب‌پذیری‌های امنیتی تبدیل شده است. بهره‌گیری از این بانک اطلاعاتی می‌تواند در فرآیندهای تست نفوذ، ارزیابی امنیتی و آموزش‌های مربوطه نقش مهمی ایفا کند، چرا که با شناختن حساب‌های پیش‌فرض، می‌توان از سوءاستفاده‌های احتمالی جلوگیری کرد و سطح امنیت سیستم‌ها را ارتقاء داد.

در نهایت، "Default Creds" نشان‌دهنده همکاری فعال و همیاری جامعه در جهت بهبود امنیت شبکه‌ها و سیستم‌ها است. این پروژه منبعی ارزشمند برای توسعه‌دهندگان، مدیران فناوری و متخصصان امنیتی است که واقعاً درک عمیقی از چالش‌های مرتبط با حساب‌های پیش‌فرض و راهکارهای مقابله با آن‌ها دارند. با استفاده صحیح و هوشمندانه از این مخزن، می‌توان گامی مؤثر در جهت کاهش خطرات امنیتی و افزایش امنیت دیجیتال برداشت.

#امنیت_سایبری #حسابهای_پیش‌فرض #پیدا_کردن_نفوذ #حفاظت_سیستم‌ها

🟣لینک مقاله:
https://github.com/anotherhadi/default-creds?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Threat Intelligence Report: MANGO SANDSTORM Dindoor / Fakeset Campaign (8 minute read)

🟢 خلاصه مقاله:
در گزارشی جامع و تحلیل دقیق، به فعالیت‌های جاسوسی سایبری گروه MuddyWater – که با نام‌های MANGO SANDSTORM و MERCURY هم شناخته می‌شود – پرداخته شده است. در ماه فبریه، این گروه عملیات‌های نفوذ خود را در قالب یک کمپین اطلاعاتی گسترده علیه چندین نهاد حساس انجام داد. اهداف این حملات شامل یک مؤسسه مالی در ایالات متحده، یک فرودگاه مهم در آمریکا، یک سازمان غیرانتفاعی در کانادا و یک شرکت زیرمجموعه فناوری نظامی در اسرائیل بودند. اجرای این عملیات‌ها با بهره‌گیری از ابزارهای خاص و فنی ادامه داشت که یکی از این ابزارهای کلیدی، بدافزار Dindoor بود. این بدافزار بر اساس محیط اجرایی Deno ساخته شده است، و به طور خاص برای جلوگیری از شناسایی توسط سامانه‌های مبتنی بر PowerShell و پایتون طراحی شده است.

این گروه برای مراقبت بیشتر و افزایش پیچیدگی در فعالیت‌های خود، از بدافزار Fakeset بهره برد که با خط توده‌ای از بدافزارهای دیگر مانند Stagecomp و Darkcomp در ارتباط است. این ابزار، با خط‌سیرهای کاربری متفاوتی در دسته‌بندی‌های اولویت‌های تهاجم، مانند T1059، T1566، T1567، T1105 و T1071، وارد عمل شده است. جزئیاتی که نشان می‌دهد این حملات کاملاً برنامه‌ریزی‌شده و هدفمند بوده است، در بخش انتقال داده‌ها به سمت فضای ابری نیز مشخص است؛ چرا که مهاجمان با استفاده از ابزار Rclone، اطلاعات حساس را به سرویس‌های ابری مانند Wasabi منتقل می‌کردند. این عملیات نشان می‌دهد که گروه MuddyWater، در پی جمع‌آوری اطلاعات حساس و نگهداری آنها در محیط‌های امن و مخفی است.

در مجموع، این گزارش نشان‌دهنده پیچیدگی و تخصص بالای گروه MuddyWater است که با بهره‌گیری از فناوری‌های نوین و طراحی حملاتی چند وجهی، به دنبال دستیابی به اهداف اطلاعاتی خود در سطح جهانی است. شناخت و رصد چنین فعالیت‌هایی اهمیت بالایی دارد تا بتوان در برابر تهدیدات پیشرفته سایبری، واکنش مؤثر و سریع نشان داد.

#حملات_سایبری #تهدید_معلوماتی #مجموعه_MudddyWater #امنیت_اطلاعات

🟣لینک مقاله:
https://krypt3ia.wordpress.com/2026/03/20/threat-intelligence-report-mango-sandstorm-indoor-fakeset-activity/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon