2021-11-11 聚會手記 meeting journal

2021-11-11 聚會手記 meeting journal

tags: 聚會手記 meeting journal

黑客星期四 聚會資訊 hacking thursday meetup info

https://hackmd.io/CVS-B5o6T0iYuMKGjfi6XA?view

簽到

地點:實體

漢堡王台北

*

線上

連結: https://discord.gg/7gpSktcbJQ

  • jeffgen0x4 *

筆記 Note

OSINT Framework

Arm架構與技術部總監 屬於Arm機密運算v9架構基礎功能的機密領域

談到網路犯罪,2005年是個令人無法忘記的一年。那年是網路犯罪從原本的惡意且有些複雜的運動,進階為以金錢、資訊與策略優勢為目標的事業…

Userscripts

openssh

fail2ban ppy tty ?

r0eXpeR/supplier 主流供应商的一些攻击性漏洞汇总

LLVM 傳統學習 Compiler 相關知識多半是研讀 “龍書”

Ref Champ Yen 傳統學習 Compiler 相關知識多半是研讀 “龍書” 本文作者統整了相關資源, 提供一個以 LLVM 為主軸的學習途徑 https://lowlevelbits.org/how-to-learn-compilers-llvm-edition/?

RJ :黑客為什麼總是可以入侵系統,因為他總是能找到明明有系統安全原則卻不願意遵守它的人。

[覆水難收的遠端工作:史無前例的員工抗拒潮

](https://vocus.cc/article/61880cd8fd89780001f06008)

筆記: 網路爬蟲 vs 阻擋網路爬蟲 之戰的相關技術

筆記: 網路爬蟲 vs 阻擋網路爬蟲 之戰的相關技術

[爬蟲實戰] 如何不寫任何一行程式碼透過低代碼Low-Code / No-Code 工具 Playwright撰寫網頁自動化瀏覽程式

Lenia

Lenia is a 2D cellular automata with continuous space, time and states. It produces a huge variety of interesting life forms.

Can You Game on the World’s Smallest Monitor?

人類審查員無法分辨!源碼木馬惡意利用 Unicode 製造漏洞!

據劍橋大學電腦研究院的 Ross Anderson 表示他們發現一種名為「 Trojan Source (源碼木馬)」的手法,透過玩弄源程式碼的編碼,令到人類審查員所看到的程式邏輯,與編譯器看到的截然不同。其中一種惡意編寫手法是使用 Unicode 閱讀方向覆蓋字符來隱藏程式的真正邏輯。 一段肉眼看起來做好了權限檢查的程式碼⋯⋯原來隱藏了改變閱讀方向的 Unicode 覆蓋字符,編譯後權限檢查變成無效! 他們證實這種惡意編程手法適用在 C 、 C++ 、 C# 、 Javascript 、 Java 、 Rust 、 Go 和 Python 這些時下通用的程式語言,更推測這手法對其他現代程式語言一樣有效。研究人員同時亦發現另一個利用看起來與英語相似的同音字符來瞞騙程式審查員的攻擊手法。

標題:研究揭露新的木馬源攻擊,可於開源程式碼中注入不可見的安全漏洞

摘要: 兩名來自劍橋大學的研究人員Nicholas Boucher與Ross Anderson,揭露了一個藏匿在統一碼(Unicode)中的安全漏洞,此一編號為CVE-2021-42574的漏洞,將影響所有支援Unicode的程式語言,目前已確定受到波及的涵蓋了C、C++、C#、JavaScript、Java、Rust、Go與Python等,推測可能也有其它受害的語言。

研究報告下載處: https://arxiv.org/pdf/2111.00169.pdf

該漏洞將允許駭客於開源碼中、注入人類程式碼審查員看不見的安全漏洞,因而被研究人員稱為木馬源(Trojan Source)攻擊。

原始資料: https://www.lightbluetouchpaper.org/2021/11/01/trojan-source-invisible-vulnerabilities/

引用來源: https://www.ithome.com.tw/news/147613

標題:駭客開始利用擬真語音機器人偽裝客服,詐騙使用者兩步驟驗證碼 (含影片示範)

摘要: 依照Motherboard網站報導指稱,目前已經有駭客開始透過擬真的語音機器人偽裝成網路客服,其中包含透過警告使用者帳號被盜刷,因此需要重新進行身分驗證,同時在透過與真人相仿的語音互動過程,藉由騙取使用者自行輸入的認證密碼、一次性認證碼,或是兩步驟驗證比對資料等,從而取得使用者帳號取用權,進而竊取與帳號關聯的銀行資料,或是PayPal等金融服務帳號。 OTP Bot Call Audio 聲音檔案: https://soundcloud.com/user-233140213/otp-bot-call-audio 而目前此類攻擊主要模擬一般網路服務的自動化線上客服系統,亦即常見的語音機器人,但在越來越多類似Google Duplex,或是LINE AiCall等透過人工智慧模模擬人互動的語音技術問世後,意味未來將會有更多運用此類技術進行網路詐騙的攻擊出現。 影片示範: OTP bot - cashout bank logs, apple pay https://www.youtube.com/watch?v=Age9FQOwljc 原始資料: https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon-bank-apple-venmo?fbclid=IwAR1mWBTobKbQsJ1wsrjFUfAvH17qE6Wsre1tkKhiLDN-7x_6nT9rW7dj-fs 引用來源: https://www.cool3c.com/article/168161

學校官方程式太爛,家長們做了好用的開源版本,但政府一直在找麻煩

https://www.facebook.com/nixcraft/posts/5087196697960334