2021-04-01 聚會手記 meeting journal

2021-04-01 聚會手記 meeting journal

黑客星期四 聚會資訊 hacking thursday meetup info

https://hackmd.io/CVS-B5o6T0iYuMKGjfi6XA?view

簽到: jeffgen0x4

筆記 Note

jeffgen0x4

愚人節快樂,妳各位黑客們,以下是今年各種網站彩蛋

hackmd

你可能已經注意到 hackmd 底下那隻漢堡小貓

stackoverflow

https://www.reddit.com/r/ProgrammerHumor/comments/mhkx3j/stack_overflow_april_fools/

plurk.com

https://www.plurk.com/p/oan70l ==4/1最新噗浪小知識==

  1. 電腦版噗浪輸入everplurk,會有一則把河道堵住的噗
  2. 輸入↑↑↓↓←→←→BA,河道會崩塌
  3. 輸入baipu,河道上所有噗文的頭像都會變成獨眼雞

https://www.facebook.com/photo/?fbid=5555116297832602&set=a.106444966033123

逆向逆起來

  • mytechnotalent/Reverse-Engineering 好心人真的 初學者的福利 逆向逆起來 https://github.com/mytechnotalent/Reverse-Engineering

Exploit report

  • 標題:PHP Git 伺服器被駭客入侵,在原始碼開了後門 摘要: 國外資安網站發現,在最新的軟體攻擊事件中,PHP Git 官方資料庫被駭客入侵,同時代碼庫(Code base)也被駭客篡改。 為了預防駭客攻擊,PHP 維護人員已決定將官方 PHP 原始碼資料庫遷移至 GitHub。PHP 也公告,正在調查資料庫是否有因惡意提交造成任何損壞,同時,儘管調查仍在進行中,但已決定停止 git.php.net 伺服器,降低安全風險。 PHP 公告: https://news-web.php.net/php.internals/113838 原始資料: https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/ 引用來源: https://technews.tw/2021/03/29/php-git/

  • 27萬個專案使用的npm套件netmask遭爆含有重大漏洞 研究人員警告,存在於npm套件netmask當中的漏洞,雖然只是把應該視為8位元的IP位址第一節視為字串、當作是10位元,卻會造成巨大災難。如果瀏覽器能夠辨識8進位文字,但Node.js應用程式不行,代表使用者可提交任何看起來像是來自內部的網址,但事實上所存取的卻是遠端的惡意檔案

  • 研究自製智慧居家的應用時,意外找到了利用 HDMI 的惡意軟體實現。

HDMI 有個控制設備的指令,稱為 CEC (Consumer Electronics Control),這使得電腦得以經由 CEC 的方式操作經由 HDMI 連接的設備。 如果惡意軟體的宿主筆電接著 Apple TV,此時就可以經由 CEC 指令來操作 Apple TV,就像用著電視搖控器般,得以操作所想要的功能。

  • dmz 記得關 https://www.facebook.com/groups/308549376151517/permalink/1415452158794561/ 有一位客戶跟我說,網路怎麼一直斷線,然後我問他說有沒有監控系統? 他說:「有監控,但 CHT 裝機班有來幫我設好的」 我開始存疑,我請客戶登入數據機設定畫面截圖給我看一下~ 果然 …. 直接屁眼開開歡迎光臨了 … Orz ※ 事後,已教客戶把 DMZ 關閉了,沒再斷線發生情況。 #請勿忘記全台DVR駭攻事件 #資安觀念仍需加強 【臺灣多家主機託管商遭DDoS攻擊,元兇是國內IP疑大量DVR設備遭入侵】 https://www.ithome.com.tw/news/140158

科技。社群。敲敲門 EP12|資安又不是空氣,怎麼會外洩?神秘駭客來解惑啦!

3月19日下午10:50 ·

你有碰過帳號被盜的經驗嗎? 主持人有一天早上,睡眼惺忪,不小心點開來路不明的連結,整個帳號密碼就被偷了(所有資料放水流,心痛啊)。 每次遇到詐騙、網路攻擊,總是會想說到底是誰這麼無聊啦?!「對,他們真的是很無聊。」張裕敏笑著說。 他是台灣駭客年會(HITCON)共同創辦人,現任「趨勢科技」資深協理,為了鑽研資安問題,甚至苦學俄文(超猛)。 電影中的駭客神出鬼沒又神秘,穿著黑帽T看不見臉。但現實中的駭客,可能跟你我一樣坐在咖啡廳打電腦。 所謂的駭客分三種:白帽、灰帽跟黑帽,端看他是否遵守法律跟道德底線。 提到駭客攻擊,會又提到所謂的「網軍」,但嚴格來說,我們卻是網軍、水軍傻傻分不清楚。 「網軍」是指國家級正規化軍隊的網路作戰單位,而「水軍」則是民間組織或政府所委託的單位,操縱輿論以達到政治目的。 聽著裕敏協理滔滔不絕,實在很難想像,這樣一位可愛的鄰居阿伯竟是呼風喚雨的高超駭客(我這樣說禮貌嗎)。 下次到咖啡廳時注意一下,或許駭客就在你身邊。 線上聽「科技社群敲敲門」 |台北廣播電台|https://reurl.cc/dVr218 |Spotify|https://reurl.cc/MZ704W |SoundOn|https://reurl.cc/WE4rRZ |Apple podcast|https://reurl.cc/jqd1Wm |Firstory|https://reurl.cc/Q7pLRq |KKBOX|https://reurl.cc/pmD1vxc |Google播客| https://reurl.cc/bz62Yy

沈伯洋 3月29日上午2:27

其實碰中國議題那麼多年,這幾天開始覺得應該要開Podcast等或其他類似平台讓各位專家暢所欲言,並統整出一個好的匪情研究環境。現在龐大的圈子裡面其實很多地方沒有健康的共識,也根本不易建立敵我認知。現在這個樣子說真的,過個兩三年可能會不太妙。

h4cker02