یه توییت دیدم یه نفر یه روش Bypass برای وب فایروال های کلادفلر و akamai پیدا کرده
این دو فایروال یا WAF ها از پیشرفته ترین فایروال هایی هستن که داریم و کارشون جلو گیری از حملاتی مثل SQLi یا XSS و یا حملات وب هستش ببینید چطوری بایپس میشن
درواقع اتکر از onscrollsnapchange استفاده کرده که یه رویداد نادر توی مرورگرهاست که بعضی مرورگرها ممکنه اجراش کنن بعضیاشون ممکنه نادیدش بگیرن و ممکنه توسط WAF نادیده گرفته بشه و با بازی کردن با پیلود تونسته فایروال رو دور بزنه !
@Linuxor
این دو فایروال یا WAF ها از پیشرفته ترین فایروال هایی هستن که داریم و کارشون جلو گیری از حملاتی مثل SQLi یا XSS و یا حملات وب هستش ببینید چطوری بایپس میشن
درواقع اتکر از onscrollsnapchange استفاده کرده که یه رویداد نادر توی مرورگرهاست که بعضی مرورگرها ممکنه اجراش کنن بعضیاشون ممکنه نادیدش بگیرن و ممکنه توسط WAF نادیده گرفته بشه و با بازی کردن با پیلود تونسته فایروال رو دور بزنه !
@Linuxor
آیفون توی ورژن جدید IOS 26 برای عمیق شدن و زنده تر شدن به بکگراند توجه بیشتری کرده و شیشه ای ترش کرده ...
این توجه بیشتر به بکگراند باعث سردرگمی کاربر میشه و حتی نوشته ها خوانایی کمتر پیدا میکنن :)
توی دیزاین های خودتون به این توجه کنید که برعکس هرچیزی رابط کاربری یه حد مشخصی داره و از یه حدی بیشتر بخوای بهش توجه کنی به سمت بد تر شدن میره هیچ وقت نباید سادگی رو فدای زیبایی کنید ...
@Linuxor
این توجه بیشتر به بکگراند باعث سردرگمی کاربر میشه و حتی نوشته ها خوانایی کمتر پیدا میکنن :)
توی دیزاین های خودتون به این توجه کنید که برعکس هرچیزی رابط کاربری یه حد مشخصی داره و از یه حدی بیشتر بخوای بهش توجه کنی به سمت بد تر شدن میره هیچ وقت نباید سادگی رو فدای زیبایی کنید ...
@Linuxor
آپدیت IOS 26 حسابی مردم رو شاکی کرده
یه نفر گوشیش این شکلی شده و غیر قابل استفاده.
اپل غول فناوری و حتی توی UI هم همیشه فوقالعاده قوی بوده؛ قطعا این خرابکاری رو با تجربه قویی که از مارکت داره راحت میتونه جمع کنه، اما چطوریش معلوم نیست و خیلی منتظر حرکت بعدی اپل ام ببینم چه سیاستی داره، عقب نشینی یا فرهنگ جدید؟
@Linuxor
یه نفر گوشیش این شکلی شده و غیر قابل استفاده.
اپل غول فناوری و حتی توی UI هم همیشه فوقالعاده قوی بوده؛ قطعا این خرابکاری رو با تجربه قویی که از مارکت داره راحت میتونه جمع کنه، اما چطوریش معلوم نیست و خیلی منتظر حرکت بعدی اپل ام ببینم چه سیاستی داره، عقب نشینی یا فرهنگ جدید؟
@Linuxor
یه هینتی به هکرا و کسایی که باگ بانتی میزنن بدم
ما برنامه نویسا کد های SQL همیشه حواسمون به SQLi هست ولی وقتی یه آرایه توی برنامه داریم و میخوایم با اپراتور IN توی SQL ازش استفاده کنیم اکثر مواقع چون ابزار خاصی برای پارامترایز کردن آرایه نیست در رو باز میزاریم که SQLi بخوریم بیاین اتک بزنین نوش جونتون (البته باید برید فکر کنید کجاها پتانسیل IN هست که دانش و تجربه برنامه نویسی خیلی کمکتون میکنه)
@Linuxor
ما برنامه نویسا کد های SQL همیشه حواسمون به SQLi هست ولی وقتی یه آرایه توی برنامه داریم و میخوایم با اپراتور IN توی SQL ازش استفاده کنیم اکثر مواقع چون ابزار خاصی برای پارامترایز کردن آرایه نیست در رو باز میزاریم که SQLi بخوریم بیاین اتک بزنین نوش جونتون (البته باید برید فکر کنید کجاها پتانسیل IN هست که دانش و تجربه برنامه نویسی خیلی کمکتون میکنه)
@Linuxor
1
برای یادگیری و حتی کسب درآمد از هک اصلا نیازی به برنامه نویس بودن حرفه ای نیست ولی مشکل بلک باکس بودن تارگت رو باید بلخره یجوری برای خودتون حلش کنید
مثلا میتونین با تست جلو برین و بر اساس تست و استدلال به یه نتیجه ای برسید یا از باگ های رایج استفاده کنید که اکثر هکرا همین کارارو میکنن و جالب اینجاست مثلا ازشون بپرسین این ورودی تو چطوری باعث شده مثلا فلان چکر فانکشن رو دور بزنه شاید ندونن چرا و چطوری ، ولی خیلی خوب میتونن هک کنن و کارشون هکه...
اما یه راه دیگه حل مشکل بلک باکس بودن تارگت اینه که واقعا اون پشت رو با چشم بصیرت ببینید این چشم بصیرت هم تجربه برنامه نویسی و تجربه داشتن پروژه واقعیه که توی هک ناخودآگاه براتون شدت بلک باکس بودن رو کم میکنه
@Linuxor
مثلا میتونین با تست جلو برین و بر اساس تست و استدلال به یه نتیجه ای برسید یا از باگ های رایج استفاده کنید که اکثر هکرا همین کارارو میکنن و جالب اینجاست مثلا ازشون بپرسین این ورودی تو چطوری باعث شده مثلا فلان چکر فانکشن رو دور بزنه شاید ندونن چرا و چطوری ، ولی خیلی خوب میتونن هک کنن و کارشون هکه...
اما یه راه دیگه حل مشکل بلک باکس بودن تارگت اینه که واقعا اون پشت رو با چشم بصیرت ببینید این چشم بصیرت هم تجربه برنامه نویسی و تجربه داشتن پروژه واقعیه که توی هک ناخودآگاه براتون شدت بلک باکس بودن رو کم میکنه
@Linuxor
تست هوش، فرض کنید سه تا ربات هوش مصنوعی داریم که میتونن پیام هاشون رو رمز نگاری شده صوتی منتقل کنن هر سه تاشون رو میزاریم توی یه اتاق بدون دسترسی اینترنت آیا دوتاشون میتونن طوری صحبت کنن سومی نفهمه؟ از قبل هم هیچکدومشون کنار هم دیگه نبوده.
Anonymous Quiz
31%
بله اساس کار وب همین است، با رمزنگاری کلید عمومی خصوصی
26%
بله با رمزنگاری و الگوریتم های تولید کلید همزمان در دو ربات
43%
خیر در هر صورت ربات سوم میتواند به پیام های رمزنگاری شده دسترسی پیدا کند.
بچه های ری اکت بیکار ننشستن و اومدن تم شیشه ای IOS 26 رو برای وب درست کردن
github.com/rdev/liquid-glass-react
@Linuxor
github.com/rdev/liquid-glass-react
@Linuxor
صد تا از اینایی که صد تا کتاب خوندن رو بیارین ممکنه نتونن یه RFC بخونن،
مثلا این جمله رو دقت کنید
A client SHOULD NOT generate protocol elements or construct protocol elements that are not supported by the server.
یعنی : کلاینت نباید چیزهایی بفرسته که سرور نمیفهمه... ولی اگه دلیل موجهی داشته باشه، اشکالی نداره.
@Linuxor
مثلا این جمله رو دقت کنید
A client SHOULD NOT generate protocol elements or construct protocol elements that are not supported by the server.
یعنی : کلاینت نباید چیزهایی بفرسته که سرور نمیفهمه... ولی اگه دلیل موجهی داشته باشه، اشکالی نداره.
@Linuxor
1
همکارتون بهتون میگه کدی که نوشتین fall-through کرده شما باید برید کجای کدتون رو چک کنید؟
Anonymous Quiz
11%
میرم ببینم کجای حلقه بینهایتم مشکل داره که break نمیشه
6%
میرم و بعضی متغییر هایی که داخل if تعریف شدن رو بیرون if تعریف میکنم که خارج اسکوپ قابل دسترس باشه
18%
از اونجایی که من زبان Go بلدم میدونم این کلمه چیه و مشکل از Switch Case هستش
9%
میرم توی حلقه شرط continue رو چک میکنم چون باعث شده بقیه جاها اجرا نشه
56%
بهش میگم حاجی میشه منظورتو واضح تر بگی؟