2021-10-28 聚會手記 meeting journal

2021-10-28 聚會手記 meeting journal

tags: 聚會手記 meeting journal

黑客星期四 聚會資訊 hacking thursday meetup info

https://hackmd.io/CVS-B5o6T0iYuMKGjfi6XA?view

meetup link

簽到

地點:實體 台北 openlab

線上 discord

連結: https://discord.gg/7gpSktcbJQ

  • h4cker01

筆記 Note

萬聖節要到了

圖源:https://twitter.com/gaybutfleeting/status/1453409553857630219

MockingBird

CTF Field Guide

Everything you need to know about HTTP security headers

webshell in sushant747.gitbooks.io

https://www.freecadweb.org/

只是「檢視網頁原始碼」就被當駭客告了 !!?

» https://arstechnica.com/tech-policy/2021/10/viewing-website-html-code-is-not-illegal-or-hacking-prof-tells-missouri-gov/ 摘錄: 密蘇里州州長 Mike Parson 揚言要起訴一位發現安全漏洞的記者,要求民事賠償。儘管這是一個對外公開網站的 HTML 原始碼,而其中被發現有未加密的教師社會安全號碼。

以後別亂「檢視網頁原始碼」,也不能瀏覽器亂按「F12」

密碼潑灑攻擊大增,管理員、CxO帳號為主要目標

微軟DART本周公佈密碼潑灑的研究報告,說明此類攻擊的特徵及攻擊者偏好。密碼潑灑是一種利用大量使用者帳號名單,和常見密碼配對以儘可能猜出大量使用者帳號及密碼組合。 高明的密碼潑灑有2種特質,一是低調、緩慢,最高竿的攻擊者會使用不同IP位址同時間,以很少次猜測來攻擊多個帳號。二是利用重覆使用的密碼,攻擊者從暗網上蒐集外洩的用戶登入憑證,利用「憑證填充(credential stuffing)」手法來存取受害者重覆使用同一組帳號密碼的不同網站。 使用不安全或老舊驗證協定的App也是此類攻擊目標,例如Exchange ActiveSync、IMAP/POP3/SMTP Auth及Exchange Autodiscover,因為它們不強制使用多因素驗證(MfA),但最近也有些攻擊者鎖定使用REST API的應用。 微軟也說明特別容易遭密碼潑灑攻擊的用戶類型,供企業在檢查時特別注意。其中一類是管理員權限的帳號,包括安全管理員、Exchange服務、SharePoint、支付系統及Helpdesk、使用者管理員、驗證管理員、公司管理員、全域管理員及條件式存取(conditional access)管理員。其次則是CxO等公司高層帳號。

臉書要改名了?!

馬克·祖克柏公佈了臉書新命名 「元書?」 以元宇宙命名的 來源: https://www.facebook.com/verge/posts/4642185119151128 元宇宙是什麼?:維基百科 https://zh.wikipedia.org/zh-tw/%E5%85%83%E5%AE%87%E5%AE%99

https://www.facebook.com/permalink.php?story_fbid=392406319264069&id=106856187819085

摘要: Google 近日發表資安通報,警告全球 YouTube 創作者,應嚴加提防各種會竊取 YouTube 登入資訊與 cookie 的惡意軟體與駭侵攻擊,以免自己苦心經營的 YouTube 頻道遭到駭侵者奪取,並用來進行進一步的詐騙。

目前鎖定經營有成的 YouTuber,詐稱提供合作機會,要 YouTuber 試用新推出的測試版防毒軟體、VPN、音樂播放程式、相片編輯軟體、線上遊戲等,接著透過這些「測試用軟體」中夾帶的惡意軟體,竊取 YouTuber 苦心經營的 YouTube 頻道控制權,之後用以轉售牟利,或是用來推廣各種加密貨幣相關詐騙活動。

原始資料: https://blog.google/threat-analysis-group/phishing-campaign-targets-youtube-creators-cookie-theft-malware/

https://www.bleepingcomputer.com/news/security/google-youtubers-accounts-hijacked-with-cookie-stealing-malware/

引用來源: https://www.twcert.org.tw/tw/cp-104-5230-81977-1.html

英國 A.I. 交通監控鏡頭出錯

將馬路上的女人當成汽車還開了罰單 近日英國發生了一宗奇異的交通罰單事件,事主 David Knight 收到巴思和東北薩默塞特議會 (Bath and North East Somerset Council) 的信件,要求他在限期前繳交罰款,理由是他在一條巴士專線上違規駕車。 David Knight 一看到就知交通部門弄錯,因為指他違規的地點在薩里郡 (Surrey)的多爾金市 (Dorking),距離他的家 120 英里外,根本不會駕車前往該處,於事他仔細研究罰單信件,嘗試找出弄錯的原因。 從信中可見罰單上印有兩張圖,左邊張大街的廣角照片,車道上根本沒有車;而另一張是相片的局部放大,沒有任何車影卻見到一位女士。這時 Knight 恍然大悟,因為女士身上穿著的衣服印有 KNITTER 字樣,與其房車的車牌 KNI9 TER 的字樣極為相似。剛好女士身上的手袋肩帶遮住了 T 字,而閉路電視的 A.I. 又自作聰明地以為那個字就是 9,亦沒有辨識出那是人類還是汽車,自動「修正」後就發出罰單。 Knight惟有聯絡當局指出罰單出錯,由於已超過限期一個月,罰單金額亦由當初 60 英鎊加至 90 英鎊,當接聽電話的政府職員知道擺了烏龍後也忍不住大笑。最後投訴被接納,還取消了罰單。從事件可見這封信純粹由電腦產生,期間沒有再經人手檢測才會有鬧出這種笑話。 全文︰https://photoblog.hk/281951/