🧠 چرا موقع خوندن کد سردرگم می‌شیم؟
خیلی وقت‌ها وقتی کدی رو نمی‌فهمیم، فکر می‌کنیم مشکل از خودمونه

ولی معمولاً سردرگمی ما از ۳ دلیل مشخص میاد؛ و هر کدوم راه‌حل خودش رو داره

1) کمبود دانش
یعنی چیزی که جلوته رو اصولاً بلد نیستی
مثلاً:
سینتکس یک زبان برات ناآشناست
معنی یک عملگر یا تابع خاص رو نمی‌دونی
مفهوم بیزنسی یا اصطلاح پروژه رو نمی‌فهمی
این مشکل به حافظه بلندمدت مربوطه.
یعنی اون دانش هنوز توی ذهنت ذخیره نشده

✅ راه‌حل:
مطالعه‌ی مفهوم
دیدن مثال
مرور و تمرین

2) کمبود اطلاعات
اینجا مشکل این نیست که بلد نیستی
مشکل اینه که اطلاعات کامل همون‌جا جلوی چشمت نیست
مثلاً:
یک متد صدا زده شده ولی تعریفش توی فایل دیگه‌ست
مقدار یک متغیر جای دیگه تعیین می‌شه
بخشی از منطق توی کلاس یا ماژول دیگریه
این مشکل بیشتر به حافظه کوتاه‌مدت مربوطه
چون باید چند تکه اطلاعات رو موقت توی ذهنت نگه داری و به هم وصل کنی

✅ راه‌حل:
رفتن به تعریف توابع و متدها
پیدا کردن منبع متغیرها
جمع کردن تکه‌های مرتبط کد کنار هم

3) فشار پردازشی
اینجا هم دانشش رو داری، هم اطلاعاتش هست،
ولی کد از نظر ذهنی سنگینه
مثلاً:
چند حلقه و شرط تو در تو وجود داره
متغیرها مدام تغییر می‌کنن
باید اجرای کد رو مرحله‌به‌مرحله توی ذهنت شبیه‌سازی کنی
این مشکل به حافظه کاری مربوطه
یعنی همون بخشی از ذهن که توش تحلیل، دنبال کردن و حل مسئله انجام می‌دی

✅ راه‌حل:
کاغذ و قلم
نوشتن مقدار متغیرها
دیباگر
شکستن مسئله به بخش‌های کوچک‌تر

📌 یک نکته مهم
مغز ما همیشه دقیق عمل نمی‌کنه
خیلی وقت‌ها از روی عادت، چیزها رو حدس می‌زنه
مثلاً ممکنه در کد اشتباه تایپی وجود داشته باشه
ولی مغزت چون انتظار یک الگوی آشنا رو داره، همون چیزی رو ببینه که «فکر می‌کنه باید باشه»
این میان‌بُرها گاهی کمک می‌کنن سریع‌تر کد بخونیم
ولی گاهی هم باعث می‌شن باگ یا جزئیات مهم رو نبینیم

✅ جمع‌بندی
هر وقت کدی رو نفهمیدی، سریع خودت رو قضاوت نکن

اول مشخص کن مشکل از کدوم دسته‌ست:

چیزی رو بلد نیستم → باید یاد بگیرم
اطلاعات کافی ندارم → باید بگردم و جمعش کنم
ذهنم از پردازش کد خسته شده → باید مسئله رو سبک‌تر کنم

فرق برنامه‌نویس حرفه‌ای با بقیه این نیست که هیچ‌وقت سردرگم نمی‌شه؛
اینـه که می‌فهمه دقیقاً چرا سردرگم شده

#تجربه

🔵 عنوان مقاله
GTA-maker Rockstar Games hacked again but downplays impact (2 minute read)

🟢 خلاصه مقاله:
شرکت توسعه‌دهنده بازی‌های معروف، راک استار گیمز، بار دیگر با هکرها مواجه شده است. هکرهایی که خود را «ShinyHunters» می‌نامند اعلام کردند که توانسته‌اند به داده‌های این شرکت از طریق یک سرویس ابری شخص ثالث دسترسی پیدا کنند. این گروه تهدید کرده است که در صورت عدم پرداخت باج، اطلاعات حساس را فاش خواهند کرد.

در این خبر، راک استار گیمز اعلام کرده است که این حمله تأثیری بر فرآیندهای داخلی و داده‌های کاربران نداشته و در حال حاضر موضوع کنترل‌شده است. با وجود تهدیدهای هکرها، تیم امنیتی این شرکت در حال بررسی وضعیت است و اطمینان دادند که اقدامات لازم برای حفاظت از داده‌های کاربران انجام شده است. این اتفاق نشان می‌دهد که حتی شرکت‌های بزرگ و معتبر در عرصه فناوری و گیمینگ نیز در معرض حملات سایبری قرار دارند، اما مهم‌ترین نکته، نحوه واکنش سریع و ایمن در برابر این تهدیدات است.

در مجموع، این حمله مجدد نشان می‌دهد که امنیت سایبری در دنیای امروز اهمیت بیشتری پیدا کرده است و باید همواره با تهدیدهای جدید و پیچیده‌تر مقابله کرد. شرکت‌ها باید تدابیر لازم برای حفاظت داده‌ها و اطلاعات حساس را در اولویت قرار دهند تا از هرگونه ضرر مالی و اعتباری جلوگیری شود.

#امنیت_سایبری #راکستار_گیمز #حملات_هاکری #بازیهای_ویدئویی

🟣لینک مقاله:
https://www.bbc.com/news/articles/cx2dg5g1le7o?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Why F.I.R.S.T. Testing Still Wins After 20 Years

🟢 خلاصه مقاله:
در دنیای آزمایش‌های علمی و ارزیابی‌های کیفیت، اصول F.I.R.S.T. همچنان پس از گذشت بیش از بیست سال، جایگاه ویژه‌ای دارند. فرناندا نادفی‌تا در مقاله‌ای مجدد به اصول مهم این روش‌ها می‌پردازد و آن‌ها را مورد بررسی قرار می‌دهد. او با ارائه نمونه‌ها و مثال‌های عملی نشان می‌دهد چرا این استانداردها همچنان مورد اعتماد و کارآمد هستند و چگونه می‌توانند در پروژه‌های مختلف به کار گرفته شوند.

در تحلیل دوباره این اصول، نادفی‌تا تأکید می‌کند که فایرست بر پایه پنج ویژگی کلیدی استوار است: سریع بودن، مستقل بودن، تکرارپذیری، خودتأییدی و زمان‌بندی مناسب. این ویژگی‌ها باعث شده‌اند تا آزمایش‌ها نه تنها قابل اعتماد باشند بلکه در زمان مناسب و با هزینه کمتر، نتایج دقیقی ارائه دهند. او نشان می‌دهد که این اصول در بسیاری از پروژه‌های واقعی، چه در صنعت و چه در تحقیق، پاسخگو و مؤثر عمل کرده‌اند و همچنان مورد تایید قرار دارند.

در انتها، نادفی‌تا با مثال‌هایی زنده و ملموس، اثبات می‌کند که اصول F.I.R.S.T. نه فقط یک رویکرد نظری بلکه یک راهکار عملی است که می‌تواند کارایی و اعتمادپذیری در ارزیابی‌ها را به حداکثر برساند. این مقاله مجالی است برای تجدیدنظر در مفروضات پیشین و تأکید بر اهمیت حفظ و ارتقاء استانداردهای کیفیت در آزمایش‌ها.

#آزمایش #کیفیت #FIRST #مطالعات

🟣لینک مقاله:
https://cur.at/UonuHhJ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Pentest of a 100% vibe-encoded app: complete security analysis of an AI-generated app (4 minute read)

🟢 خلاصه مقاله:
در یک آزمایش نفوذ جامع، یک برنامه تحت وب ساخته شده کامل با کدگذاری وایت-پای ۱۰۰٪ مورد بررسی قرار گرفت. این برنامه که با فناوری کریپتو و هوش مصنوعی ساخته شده بود، در حالت نیمه‌مخبری (gray-box) و با استفاده از اطلاعات کاربری عادی مورد آزمایش قرار گرفت. نتیجه‌گیری‌های اولیه نشان دادند که آسیب‌پذیری‌های جدی و سریع نمایان شدند؛ از جمله یک آسیب‌پذیری مسیر ناپایدار (LFI) که از طریق پارامتر unfiltered full_path، به فایل حساس /etc/passwd دسترسی پیدا کرد و درهای نفوذ از راه دور (RCE) را باز کرد.

در ادامه، یکی دیگر از مشکلات مهم، مربوط به پایگاه داده داخلی برنامه بود، که با سوءاستفاده از آسیب‌پذیری نوع IDOR در مسیر /employee/{guid}، امکان استخراج اطلاعات حساس کارمندان مانند ایمیل‌ها، نقش‌ها و هش‌های پسورد آن‌ها فراهم شد. این آسیب‌پذیری به‌راحتی و با برداشت شناسه‌های GUID از یک API عمومی لیست برترین‌ها قابل بهره‌برداری بود.

در قسمت فرانت‌اند، نرم‌افزار با نسخه Vite 5.4.10 اجرا می‌شد که آسیب‌پذیری‌های شناخته‌شده‌ای در آن وجود داشتند. کدهای تولیدشده توسط هوش مصنوعی، به دلیل نادیده گرفتن تایید ورودی و ضعف‌های امنیتی دیگر، علاوه بر ارائه امکانات، در معرض خطر قرار داشتند. در مجموع، این آزمایش نشان داد که فناوری‌های نوین و کدهای هوشمند نیازمند مراقبت‌های امنیتی ویژه و به‌روزرسانی‌های مداوم هستند تا از بروز آسیب‌پذیری‌های آسیب‌پذیر جلوگیری شود.

#امنیت_برنامه_وب #آسیب‌پذیری #نفوذگرایى #کدهای_هوشمند

🟣لینک مقاله:
https://www.hackmosphere.fr/en/pentest-of-a-100-vibe-encoded-app-complete-security-analysis-of-an-ai-generated-app/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Trusted Access for the Next Era of Cyber Defense (3 minute read)

🟢 خلاصه مقاله:
در دنیای امنیت سایبری رو به رشد امروز، دسترسی مطمئن و معتبر به سیستم‌ها و ابزارهای مختلف اهمیت حیاتی دارد. در این راستا، شرکت OpenAI برنامه «دسترسی مطمئن برای عصر بعدی دفاع سایبری» خود را گسترش داده است تا هزاران نفر از مدافعان معتبر و فعال در حوزه امنیت سایبری بتوانند به طور مؤثر از این فناوری بهره‌مند شوند. هدف این برنامه تقویت توانایی‌ها و سرعت واکنش در مقابل حملات سایبری است، به گونه‌ای که تیم‌های امنیتی بتوانند بهتر و سریع‌تر به تهدیدها پاسخ دهند و از زیرساخت‌های خود محافظت کنند.

در ادامه، این شرکت از معرفی GPT‑5.4‑Cyber خبر داده است؛ مدلی پیشرفته و مجاز که به طور خاص برای وظایف دفاعی طراحی شده است. این مدل توانمندی‌های خاصی دارد، مانند مهارت در تحلیل و مهندسی معکوس فایل‌های باینری، که اغلب در شناسایی و نابودی بدافزارها و تهدیدات سایبری کاربرد دارد. با افزوده شدن این فناوری‌های نوین، تیم‌های امنیتی قادر خواهند بود دفاع‌های قوی‌تر و هوشمندانه‌تری را پیاده‌سازی کنند، و به مقابله با چالش‌های امنیتی پیچیده‌تر بپردازند.

این تحولات نشان می‌دهد که آینده امنیت سایبری با تکنولوژی‌های هوشمند و دسترسی‌های مطمئن، بسیار مطمئن‌تر و کارآمدتر خواهد شد. شرکت OpenAI همچنان در مسیر توسعه ابزارها و فناوری‌هایی است که نه تنها امنیت را ارتقاء می‌دهند، بلکه فرآیندهای مقابله با تهدیدات سایبری را سرعت می‌بخشند و ظرفیت دفاعی سازمان‌ها را افزایش می‌دهند.

#امنیت_سایبری #هوشمصنوعی #مدیریت_تهدیدات #فناوری_پیشرفته

🟣لینک مقاله:
https://openai.com/index/scaling-trusted-access-for-cyber-defense/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Waterfall Strikes Back

🟢 خلاصه مقاله:
در حین بررسی یک الگوی جالب، Patrick Prill توجه‌اش را به نکته‌ای مهم جلب کرد. او متوجه شد که توسعه بر اساس مشخصات نمونه‌محور (Spec-Driven Development) از توسعه‌دهندگان می‌خواهد که ابتدا مشخصات کاملی و بی‌نقص تهیه کنند. این رویه، در واقع همان روشی است که در دوران آبشاری (Waterfall) به آن اعتراف می‌کردیم و آن را اشتباه می‌دانستیم؛ زمانی که فرآیند توسعه به صورت مرحله‌ای و خطی بود و تیم‌ها در هر مرحله منتظر پایان کار قبل برای شروع مرحله بعد می‌ماندند. پیش از ظهور روش‌های چابک (Agile)، این رویکرد به عنوان استاندارد معمول در صنعت تلقی می‌شد، اما اکنون مشخص است که این روش در بسیاری موارد ناکارآمد است و منجر به محصول نهایی ناقص یا نیازهای تغییرپذیر بازار ناپایدار می‌شود.

در واقع، بازگشت به این الگو نشان‌دهنده این است که پس از گذر از دوره‌ای انتقادی، دوباره در مسیر اشتباه حرکت می‌کنیم. این نکته برای تیم‌های توسعه اهمیت دارد که بدانند نیاز نیست هر چیزی را در ابتدا به صورت کامل مشخص و برنامه‌ریزی کنند، بلکه باید فرآیند را انعطاف‌پذیر و مبتنی بر تغییرات و بازخوردهای بی‌وقفه نگه دارند. این رویکرد، همان چیزی است که Agile آن را ترویج می‌کند و نشان می‌دهد که در عمل، انتظار داشتن مشخصات کامل از اول، اغلب منجر به عدم انطباق با نیازهای واقعی و بازار می‌شود.

#توسعه_نرم‌افزار #آبشار #چابک #مدیریت_پروژه

🟣لینک مقاله:
https://cur.at/2iupJ7N?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
3 Design Principles for Creating Agent Skills

🟢 خلاصه مقاله:
در دنیای امروز، مهارت‌ها به عنوان یک روش استاندارد برای ارائه زمینه و دستورالعمل به ربات‌های هوشمند یا همان عوامل مصنوعی تبدیل شده‌اند. این مهارت‌ها نقش مهمی در تعیین وظایف و نحوه‌ی عملکرد عوامل دارند و به توسعه‌دهندگان کمک می‌کنند تا سیستم‌های هوشمند بهتر و کارآمدتری بسازند. اما سوال مهم این است که چه طور باید این مهارت‌ها را به درستی طراحی و پیاده‌سازی کرد؟

در این راستا، آنجی جونز چند اصل کلیدی و راهنمایی ارزشمند را برای طراحی مهارت‌های موثر برای عوامل هوشمند ارائه می‌دهد. او بر اهمیت ساختاردهی مناسب، وضوح در دستورالعمل‌ها و قابلیت تعمیم مهارت‌ها تاکید دارد، زیرا این موارد می‌توانند تأثیر قابل توجهی بر عملکرد نهایی سیستم‌های هوشمند داشته باشند. با رعایت این اصول، توسعه‌دهندگان می‌توانند مهارت‌هایی بسازند که نه تنها کارآمد و دقیق باشند، بلکه به راحتی قابل توسعه و اصلاح نیز باشند.

در پایان، تمرکز بر طراحی اصولی و کاربرپسند برای مهارت‌های عامل‌های هوشمند، نقش بسزایی در بهبود تجربه کاربری و افزایش بهره‌وری سیستم‌ها دارد. این نکات ساده اما مهم، مسیر را برای ساخت سامانه‌های هوشمند قوی‌تر و انعطاف‌پذیرتر هموار می‌کنند که پاسخگوی نیازهای متنوع و دقیق کاربران باشند.

#هوش_مصنوعی #طراحی_مهارت #توسعه_عوامل #هوشمندسازی

🟣لینک مقاله:
https://cur.at/Q2S7xBk?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

عزیزانی که تازه دارید git یاد می‌گیرین ، این وب‌سایت به صورت interactive و گرافیکی بهتون مفاهیم branching رو یاد میده

https://learngitbranching.js.org/

🔵 عنوان مقاله
Jones Day Confirms Limited Breach After Phishing Attack by Silent Ransom Group (2 minute read)

🟢 خلاصه مقاله:
شرکت حقوقی جونز دی که یکی از بزرگ‌ترین و معتبرترین موسسات حقوقی در آمریکا به شمار می‌آید، اخیراً اطلاع داد که در نتیجه یک حمله سایبری محدود، داده‌های مربوط به ده مشتری این شرکت به خطر افتاده است. در این حمله، گروهی تحت عنوان "Silent Ransom Group" مسئولیت این نفوذ را بر عهده گرفت و تصاویری از گفتگوهای احتمالی میان این گروه و مسئولان جونز دی منتشر کرد. در پیام‌های این گروه، ادعا شده است که توانسته‌اند به سرپرست تیم مسئول پرونده‌های شرکت در دادگاه استیناف فدرال، دست یابند و اطلاعات این شخص را به سرقت ببرند.

این افشاگری نشان دهنده سطح پیچیدگی و خطرات حملات سایبری علیه نهادهای حقوقی است، که ممکن است منجر به نشت اطلاعات حساس و نقض حریم خصوصی موکلان و کارمندان شود. با وجود اینکه این نفوذ محدود اعلام شده است، اما نشان‌دهنده نیاز شدید به تدابیر امنیت سایبری قوی‌تر در مؤسسات بزرگ است تا از چنین خطراتی جلوگیری شود و از داده‌های مهم محافظت گردد.

در نهایت، این حادثه هشدار مهمی برای تمامی سازمان‌ها و شرکت‌ها است که باید به‌روزترین روش‌های امنیتی را در برابر حملات سایبری اتخاذ کنند، چرا که حتی پس از اقدامات حفاظتی، تهدیدهای سایبری همچنان ادامه دارد و نیازمند واکنش سریع و مؤثر است.

#امنیت_سایبری #حمله_سایبری #نفوذ_شبه_نظامی #داده_های_حساس

🟣لینک مقاله:
https://databreaches.net/2026/04/06/jones-day-confirms-limited-breach-after-phishing-attack-by-silent-ransom-group/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How Bitwarden Encrypts and Decrypts Secrets (12 minute read)

🟢 خلاصه مقاله:
در دنیای امنیت دیجیتال، حفاظت از اطلاعات حساس کاربران بسیار حیاتی است. در این راستا، برنامه‌هایی مانند Bitwarden با بهره‌گیری از فناوری‌های پیشرفته، فرآیند رمزگذاری و رمزگشایی اطلاعات مخفی را به شکل ایمن و مؤثری مدیریت می‌کنند. در این مقاله، به بررسی نحوه رمزگذاری و رمزگشایی اسرار در Bitwarden خواهیم پرداخت و با جزئیات فنی آن آشنا می‌شویم.

در ابتدا، باید بدانیم که چگونه ساختار رمزگذاری در این سیستم طراحی شده است. بر اساس تحلیل‌هایی که توسط گرینبرگ انجام شده، قالب رمزگذاری به صورت ۲.{iv}|{ciphertext}|{mac} است. در این قالب، مقدار ciphertext از الگوریتم AES-256-CBC با پدینگ PKCS#7 بهره می‌برد و مقدار MAC نیز بر پایه HMAC-SHA256 است که بر روی iv و متن رمزگذاری شده محاسبه می‌شود. این ساختار تضمین می‌کند که داده‌ها هم در حین انتقال و هم در ذخیره‌سازی، از امنیت بالا برخوردار باشند.

در ادامه، باید اشاره کنیم که کلید اصلی یا master key، ۶۴ بایت است و به دو بخش ۳۲بایتی تقسیم می‌شود: یکی کلید AES برای رمزگذاری و دیگری کلید MAC برای امضاء و تأیید صحت داده‌ها. این کلید اصلی زیرمجموعه‌ای از کلیدهای رمزگذاری و امضاهای جداگانه است که امنیت داده‌ها را چندبرابر می‌کند. همچنین، کلید رمزگذاری اصلی از طریق فرآیندی به نام PBKDF2-HMAC-SHA256 تولید می‌شود، که بر روی عبارت عبور کاربران و با پسوند ایمیل انجام می‌پذیرد و ۶۰۰ هزار تکرار دارد. این فرآیند، مقاومت بالا در برابر حملات مبتنی بر حدس زدن کلمه عبور را فراهم می‌کند و سپس این کلید هش شده، به کلیدهای فرعی برای رمزگذاری و MAC تقسیم می‌شود.

در پایان باید گفت که تمامی این عملیات‌ها در کنار استانداردهای رمزنگاری پیشرفته، موجب شده است که اطلاعات کاربران در سرویس‌هایی مانند Bitwarden، تا حد زیادی در برابر دستکاری و نفوذ محافظت شده باقی بماند. این تکنولوژی‌ها با هم، امنیت و سلامت داده‌های حساس را تضمین می‌کنند و اعتماد کاربران را نسبت به این نوع سامانه‌ها افزایش می‌دهند.

#امنیت_اطلاعات #رمزگذاری #Bitwarden #فناوری_امنیت

🟣لینک مقاله:
https://blog.miguelgrinberg.com/post/how-bitwarden-encrypts-and-decrypts-secrets?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🛡️ مراقب اکانت‌هات تو شبکه های اجتماعی باش!

🔻 روزبه‌روز هک و سرقت اکانت‌ها بیشتر می‌شه. اگر نمی‌خوای حساب‌هات به خطر بیفتن، چندتا نکته رو رعایت کن. اینجا برات یه راهنمای کامل آوردم که باهاش امنیتتو ببری بالا!

1️⃣ ساخت حساب درست و اصولی

⬅️ ایمیل مستعار بساز! یه ایمیل موقت یا مستعار که برای همه جا از همون اصلیه استفاده نکنی. این کار امنیتتو خیلی بیشتر می‌کنه. چندتا سرویس خوب براش:

◽️ SimpleLogin
◽️ Addy

2️⃣ از پسورد های قوی و اصولی استفاده کن

⬅️ پسورد قوی و یونیک استفاده کن! هر جا یه رمز تکراری نذار. از یه مدیر رمز عبور کمک بگیر که هم رمز بسازه، هم برات ذخیره کنه. مثلا:

◽️ Proton Pass
◽️ Bitwarden

یکی یه پروژه اُپن سورس ساخته که cookieهای مرورگرتون رو با openclaw و hermes سینک میکنه!

دلیلی که واسم جالبه (خصوصا از نظر امنیتی) اینه که Tailscale استفاده کرده، اینجوری که بین دستگاهتون و tailnet یه کانکشن مستقیم encrypt شده درست میکنه که دیتاتون از نتورک شخصی خارج نشه!

علاوه بر cookie میتونید توکن‌های CLI و API key هاتون رو هم باهاش sync کنید!

https://agentcookie.dev/

🔵 عنوان مقاله
A Route to Root in a 4G Industrial Router (8 minute read)

🟢 خلاصه مقاله:
در تحقیقات امنیتی، همکار من در شرکت Tanto Security، سام سی، موفق به بازطراحی و بررسی مجدد روتر صنعتی 4G LTE مدل USR-G806AU شد. این دستگاه در فرم‌ورهای ورژن ۱.۰.۴۱ و ۲.۰.۱۳ مورد بررسی قرار گرفت. در حین بررسی، یک حساب کاربری غیرمجاز و ناشناس با شناسه کاربری usr و نام‌کاربری مخفی کشف شد که در فایل کمک‌کاربری /bin/usr_root قرار داشت. این حساب، که بدون اطلاع و ثبت‌شده در مستندات دستگاه است، رمز عبور خودش را از طریق فرآیندی خاص می‌گرفت.

این فرآیند رمزگذاری، شامل افزودن مقدار ۰x۶۱ (معادل ۹ میا) به هر کاراکتر در یک بلوک ۱۴ بایتی، و سپس انتقال آن به برنامه سو (su) برای اجرای دستورات با حساب usr بود. در نتیجه، با این رویکرد، کاربر می‌توانست بدون نیاز به گذرواژه، دسترسی ریشه (root) را کسب کند. این آسیب‌پذیری، که با شناسه CVE-2024-42682 ثبت شده است، امکان اجرای دستورات مخرب و کنترل کامل دستگاه را به مهاجم می‌دهد.

علاوه بر این، سازندگان این باینری، لیست مجاز دستورات (command allowlist) را به گونه‌ای پیکربندی کرده بودند که با بهره‌گیری از عملیات‌هایی مانند $(...) و جایگذاری دستوری با بک‌تیک (`...`) بتوانند ارتقاء سطح دسترسی و اجرای دستورات دلخواه در سیستم محلی انجام دهند. این آسیب‌پذیری‌ها سبب می‌شوند کنترل کامل بر دستگاه‌های مبتنی بر این روترهای صنعتی به سادگی توسط مهاجمین امکان‌پذیر باشد، که این موضوع اهمیت زیادی در تأمین امنیت شبکه‌های صنعتی دارد.

دستگاه‌های صنعتی مانند این روتر، اگرچه در ظاهر امن به نظر می‌رسند، اما ضعف‌هایی مانند این می‌توانند منجر به نفوذهای مخرب و آسیب‌های جدی به زیرساخت‌ها و تجهیزات حساس شوند. لذا، شناسایی و اصلاح چنین آسیب‌پذیری‌هایی برای تضمین امنیت سیستم‌های صنعتی ضروری است.

#امنیت_سایبری #آسیب_پذیری #روترصنعتی #حفاظت_شبکه

🟣لینک مقاله:
https://tantosec.com/blog/2026/04/route-to-root-in-4g-industrial-router/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Your Cypress Tests Are Slower Than You Think

🟢 خلاصه مقاله:
تست‌های Cypress شما نسبت به آنچه تصور می‌کنید، کندتر شده‌اند. در مقاله‌ای از دیوید اینگریام، علت اصلی کاهش سرعت مجموعه‌های تست Cypress بررسی می‌شود. او توضیح می‌دهد که چرا با گذشت زمان، اجرای تست‌ها به آرامی و در مواردی بسیار طولانی‌تر می‌شود و این مشکل می‌تواند توسعه‌دهندگان را دچار سردرگمی کند. اما نکات مهمی را نیز ارائه می‌دهد که با رعایت آن‌ها می‌توانید بازخورد سریع‌تر و مؤثرتری داشته باشید و فرآیند توسعه را روان‌تر کنید. این توصیه‌ها و اصلاحات ساده، به تیم شما کمک می‌کند تا مجدد سرعت و کارایی تست‌ها را بازیابی کند و در نتیجه، مسیر توسعه نرم‌افزار سریع‌تر و بدون مشکل پیش برود.

تست‌های Cypress یکی از ابزارهای محبوب برای اتوماسیون تست‌های فرانت‌اند و اطمینان از صحت عملکرد برنامه‌های وب هستند. با این‌حال، برخی مشکلات معمول مانند افت سرعت تدریجی، می‌تواند روند توسعه و عیب‌یابی را مختل کند. در اینجا، با بررسی دلایل اصلی کاهش سرعت، راهکارهایی عملی برای بهبود عملکرد ارائه می‌شود تا تیم‌های توسعه بتوانند مجدد از این ابزار قدرتمند بهره‌مند شوند و زمان صرف شده برای اجرای تست‌ها را به حداقل برسانند.

#تست_برنامه_نویسی #Cypress #بهبود_عملکرد #توسعه_نرم‌افزار

🟣لینک مقاله:
https://cur.at/K0rmSsX?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Hasbro says it was hacked, and may take 'several weeks' to recover (2 minute read)

🟢 خلاصه مقاله:
شرکت هسبرو در تاریخ ۱ آوریل از طریق یک اطلاعیه به سازمان بورس و اوراق بهادار آمریکا اعلام کرد که هدف حمله سایبری قرار گرفته است. این حمله در تاریخ ۲۸ مارس تشخیص داده شده و در نتیجه، تیم فنی شرکت بلافاصله سیستم‌های خود را از دسترس خارج کرده و برنامه‌های ضروری جهت حفظ تداوم فعالیت‌ها و اطمینان از ادامه روند سفارش‌دهی و حمل‌ونقل را اجرا کرده است.

با وجود اقدامات سریع شرکت برای محدود کردن آسیب و محافظت از داده‌ها، نگرانی آن وجود دارد که هکرها هنوز داخل شبکه شرکت باشند، زیرا هسبرو در حال حاضر در حال پیاده‌سازی تدابیری برای تأمین امنیت بیشتر عملیات است. این روند ممکن است چند هفته طول بکشد و همچنان ادامه داشته باشد تا هرگونه تهدید احتمالی به طور کامل برطرف شود.

این حادثه زنگ خطری است برای شرکت‌های بزرگ و نشان می‌دهد که حملات سایبری چقدر می‌تواند به زیرساخت‌های حیاتی و زنجیره تامین آن‌ها آسیب برساند و نیاز به تقویت سامانه‌های امنیتی در این حوزه بیش از پیش احساس می‌شود.

#حملات_سایبری #امنیت_دیجیتال #هک_سایبری #تداوم_کاری

🟣لینک مقاله:
https://techcrunch.com/2026/04/01/hasbro-hacked-may-take-several-weeks-to-recover/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Bucketsquatting is (Finally) Dead (4 minute read)

🟢 خلاصه مقاله:
در حالی که بسیاری از فناوری‌ها و روش‌های جدید در دنیای فضای ابری مطرح می‌شوند، مفهوم «بکت‌اسکواتینگ» یا «قفسه‌گذاری در باکت‌ها» مدتی است که به عنوان یک تهدید امنیتی مهم شناخته می‌شد. این فعالیت زمانی اتفاق می‌افتاد که حمله‌کنندگان با ثبت حساب‌های S3 با نام‌هایی که قبلاً توسط سازمان‌هایی مورد استفاده قرار می‌گرفت، تلاش می‌کردند به منابع حساس دسترسی پیدا کنند یا به نوعی در آن‌ها سوءاستفاده کنند. این مشکل از سال ۲۰۱۹ به عنوان یک معضل بزرگ در حوزه امنیت سرویس‌های ابری شناخته شده بود و امنیت سازمان‌ها را تهدید می‌کرد.

با توجه به این نگرانی‌ها، آمازون وب سرویس (AWS) اقداماتی را در این زمینه انجام داده است. یکی از این اقدامات، معرفی «فضای نام حساب» (Account Namespace) است، که امکان می‌دهد کاربران بتوانند نام باکت را به حساب کاربری خود محدود کنند. این اقدام به مدیران این امکان را می‌دهد تا کنترل بیشتری بر روی نام‌گذاری و ایجاد باکت‌ها داشته باشند و از ثبت نام‌های نامناسب و احتمالا مخرب جلوگیری کنند. همچنین، در تنظیمات سیاست‌های امنیتی (SCPها)، از کلید شرط s3:x-amz-bucket-namespace استفاده شده است تا بتوان سیاست‌هایی خاص برای ساخت باکت‌ها بر اساس فضای نام تعیین کرد و از فعالیت‌های مخرب جلوگیری به عمل آورد.

این تغییرات نشان‌دهنده تمایل AWS به بهبود امنیت فضای ابری و حفاظت بیشتر از داده‌های کاربران است. با اجرای این سیاست‌ها و استفاده از فضای نام حساب، سازمان‌ها می‌توانند اطمینان حاصل کنند که تنها منابع مجاز و کنترل‌شده در حساب‌های کاربری‌شان ایجاد می‌شود، و از وقوع حملات قفسه‌گذاری در باکت‌ها پیشگیری می‌شود. این نوآوری، قدم مهمی در جهت کاهش خطرات ناشی از فعالیت‌های مخرب در فضای ذخیره‌سازی ابری است و نشان می‌دهد که امنیت داده‌ها همواره در اولویت است.

#امنیت_ابری #فضای_نام #AWS #حفظ_داده

🟣لینک مقاله:
https://onecloudplease.com/blog/bucketsquatting-is-finally-dead?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

راه حل برای برخی از مشکلات فیلترینگ برای ما برنامه نویس ها

یکی از مشکلاتی ک توی ایام فیلترینگ داشتیم، بالا نیومدن PostMan بود، این نامرد کلا بدون نت نمیاد بالا :/

ازونجایی ک بعید نیس دوباره ب هر بهانه ای فیلترینگ شدیدتر بشه، ما باید دنبال راه بقا بگردیم، حالا راهکار چیه؟

استفاده از HTTPie بجای PostMan، این ابزار تمام قابلیت های پست‌من رو داره و هیچ قطعی نت هم توش مشکلی ایجاد نمیکنه (پست‌من وقتی نت نداشتی اصلا باز نمیشد)

نکته جالب اینه ک از فرمت های PostMan هم پشتیبانی میکنه و خیلی راحت میتونین تمام کالکشن هاتون رو توی PostMan اکسپورت کنین و ایمپورت کنین داخل HTTPie

https://httpie.io/

<IMustafa Zeynali/>

مدتی که PHP - Laravel بیشتر میزدم
یک پروژه ساده برای Todo-List ساختم روی گیت هاب برای کسایی که دارن آموزش میبینن یا نیاز دارن
با Claude تکمیلش کردم و یک داکیومنت کامل نوشتم براش
که بتونید خیلی راحت بفهمید چی به چیه و داشته باشیدش

https://github.com/MisaghMomeniB/todo-list-php

| <Misagh Momeni Bashusqeh/>

♨️ لینکدین رفع فیلتر شد...!

▪️پلتفرم لینکدین که یکی از مهم‌ترین ابزارهای کاریابی، جذب نیرو، شبکه‌سازی حرفه‌ای و فعالیت‌های تجاری در جهان محسوب میشه از امروز بعد از مدت‌ها مجدداً بدون فیلترشکن در دسترسی کاربران ایرانی قرار گرفته!

Meet Memory OS: A 6-Layer Open-Source Memory Stack Built on Top of Hermes Agent
https://www.marktechpost.com/2026/06/01/meet-memory-os-a-6-layer-open-source-memory-stack-built-on-top-of-hermes-agent/