Hasty Briefsbeta

全部标签

#security

共 683 篇

双语

SystemD Service Hardening
9 months ago
- Systemd提供强大的服务控制功能，但默认设置优先考虑易用性而非安全性
- 使用`systemd-analyze security`命令评估服务安全性并识别漏洞
- 安全设置可通过单元文件的`[Service]`部分或覆盖文件进行调整
- 关键安全选项包括`ProtectSystem`、`PrivateTmp`、`ProtectHome`和`MemoryDenyWriteExecute`
- `SystemCallFilter`可限制系统调用，但需谨慎配置以避免服务中断
- 审计日志(`ausearch`)有助于排查系统调用限制引发的问题
- 应优先强化暴露在外的服务，如SSH、Web服务器和自定义脚本
- 文档提供了Traefik的安全调优示例配置
- 动态用户(`DynamicUser=yes`)和非root用户能提升安全性
- 安全调优需平衡取舍，建议逐步应用更改并持续监控日志
Critical Cache Poisoning Vulnerability in Dnsmasq
9 months ago
- Dnsmasq中存在严重的缓存投毒漏洞，攻击者可注入恶意DNS记录。
- 该漏洞被命名为SHAR攻击（通过ASCII解析器静默实现的单字符劫持），影响所有Dnsmasq版本。
- 攻击者可在扩展的攻击窗口内暴力破解TxID和源端口，成功率极高。
- 上游递归解析器静默丢弃畸形查询，形成巨大的攻击窗口。
- 此漏洞颠覆了'解析器静默即无害'的DNS安全假设。
- 建议缓解措施包括检测上游解析器静默的机制和实施速率限制。
- 该漏洞会放大已知的SADDNS、Tudoor等缓存投毒攻击效果。
- 概念验证表明，在所有试验中均能可靠地污染Dnsmasq缓存。
How We Exploited CodeRabbit: From Simple PR to RCE and Write Access on 1M Repos
9 months ago
- 解释了如何在CodeRabbit生产服务器上实现远程代码执行（RCE）
- 详细说明了API令牌和密钥的泄露情况，包括对PostgreSQL数据库的访问权限
- 描述了如何获取对100万个代码仓库（包括私有仓库）的读写权限
- 强调了如何利用Rubocop等外部工具执行任意代码
- 列出了泄露的关键密钥，如GitHub应用私钥、OpenAI API密钥和数据库凭证
- 阐明了潜在影响，包括供应链攻击和隐私泄露
- 提到了负责任的披露流程以及CodeRabbit的迅速响应
- 强调了AI驱动工具安全性和快速创新中安全的重要性
The SSO Wall of Shame – Vendors that treat SSO as luxury feature
9 months ago
- 单点登录（SSO）是一种将身份验证外包给第三方身份提供商（如Google、Okta等）的机制。
- SSO对IT和安全团队高效管理跨多个供应商的用户账户至关重要。
- 许多SaaS供应商对SSO收取显著更高的费用，通常将其与'企业'套餐捆绑销售。
- 一份供应商及其SSO定价清单显示，费用涨幅从17%到超过16,000%不等。
- 部分供应商未公开列出SSO定价，需与客户经理协商。
- SSO应作为核心安全功能而非付费附加项，以鼓励更好的安全实践。
Travel eSIMs may route traffic over Chinese and undisclosed networks
9 months ago
- 安全研究揭示eSIM技术未经披露便将用户数据路由至境外网络
- 研究人员发现用户流量频繁经过中国基础设施，与物理位置无关
- 经测试的Holafly、Airalo、eSIM Access等eSIM服务商存在不透明的路由安排
- 由于获取到中国移动IP地址，设备被识别为位于中国境内
- 研究人员无需VPN即可通过eSIM访问地域限制内容
- 成为eSIM分销商门槛极低，仅需邮箱和支付方式即可开展业务
- eSIM分销商可获取IMSI号码、设备位置等敏感用户数据
- eSIM配置文件在用户不知情时主动与新加坡、香港服务器建立通信
- 研究者建议加强透明度监管框架，并公开数据集供深入研究
I Hacked India's Biggest Dating App (They Offered Me a $100 Gift Card)
9 months ago
- 由《印度时报》支持的Flutrr应用存在严重安全漏洞，所有用户数据均可被泄露。
- 所有API端点均无身份验证，允许未授权访问。
- 漏洞包括：可登录任意账户、以任何用户身份发送消息、替他人执行滑动操作等。
- 完整用户数据（姓名、邮箱、电话号码、定位信息等）对任何人可见。
- 未经授权即可执行账户删除等恶意操作。
- 漏洞于2024年11月报告，直至2025年3月未获回应，截至2025年8月仍未修复。
- 仅提供100美元亚马逊礼品卡作为关键漏洞的补偿。
- 用户隐私数据（聊天记录、匹配信息、个人资料）完全暴露。
- 建议用户在漏洞修复前注销账户。
CRLite in Firefox. Fast, private and secure (pick three)
9 months ago
- Firefox 142版本推出CRLite——全新证书吊销系统，显著提升浏览速度、隐私保护及安全性
- CRLite完全在设备端运行，消除了拖慢页面加载速度并泄露访问记录的在线吊销检查
- 与其他系统不同，CRLite将所有证书吊销信息存储在本地，每日仅需300KB的更新数据
- Mozilla希望CRLite能树立安全新标准，并推动其在Firefox之外的广泛采用
- CRLite的开发融合了创新算法，汇集了Mozilla团队及外部专家的共同贡献
Show HN: Anchor Relay – A faster, easier way to get Let's Encrypt certificates
9 months ago
- 快速免费的浏览器信任HTTPS证书
- 为现代基础设施提供安全简单的证书自动化
- 完美适合家庭实验室及自托管环境
- 无需开放80端口或转发HTTP流量
- 仅需出站连接即可完成证书验证
- 兼容Certbot和Caddy等工具
- 一次性完成DNS前置配置
- 可与Caddy、cert-manager等工具无缝集成
Commit hash pinning in GitHub Actions: secure, but at a cost
9 months ago
- 在GitHub Actions中使用提交哈希/SHA固定是安全最佳实践，但也存在权衡取舍
- 管理大量Action的升级工作繁琐且容易人为出错
- 使用Dependabot自动化更新可能重新引入类似版本标签的风险
- Dependabot安全警报不适用于提交哈希，可能削弱安全性
- 知名维护者（如AWS）出现CVE的可能性高于账户被接管的风险
- GitHub正在试验不可变Action以解决提交哈希的缺陷
- 替代方案1：使用信誉良好的维护者的版本标签，避免未知作者
- 替代方案2：创建内部包装Action来集中简化哈希更新
- 提交哈希固定通常不切实际，可信来源的版本标签可能已足够
Show HN: Changefly ID + Anonymized Identity and Age Verification
9 months ago
- Changefly ID 推出匿名身份与年龄验证功能，旨在提升网络隐私与安全性。
- 运用零知识证明技术，在无需透露个人数据的前提下验证年龄等属性。
- 采用安全多方计算技术，验证唯一性时无需暴露任何个人信息细节。
- 以临时唯一标识符替代传统登录凭证，有效防范凭据填充攻击和账户劫持。
- 通过简化数字体验同时最大化隐私保护，让终端用户直接受益。
- 帮助产品开发者减轻合规压力，显著降低数据泄露风险。
- 通过消除集中存储的个人信息数据库，从根本上防范身份盗用。
- 生成临时性标识符并阻断跨站点关联，彻底杜绝网络追踪行为。
- 提供开发者友好的API，轻松将匿名身份验证集成到各类应用中。
- 现已开放使用，用户和开发者皆可立即体验安全私密的在线交互服务。
I Hacked McDonald's (Security Contact Was Harder to Find Than Secret Recipe)
9 months ago
- 发现麦当劳应用存在漏洞，因缺乏服务端验证可获取免费餐食
- 报告问题后遭遇处理延迟，漏洞最终得到修复
- 发现麦当劳设计中心平台仅采用客户端密码保护且开放注册接口
- 设计中心通过明文邮件发送密码，并在JavaScript中暴露API密钥
- Algolia索引暴露了申请访问麦当劳系统用户的个人信息
- 餐厅员工可通过TRT门户访问高管系统并伪装成其他员工
- GRS管理面板无身份验证，允许未授权内容修改
- 因Stravito配置错误导致内部文档可被公开访问
- CosMc's品牌存在漏洞：包括优惠券无限使用和订单数据注入
- 麦当劳缺乏正规安全报告渠道，需直接致电总部上报问题
- 多数漏洞已修复，但举报人遭解雇，部分问题可能仍存在
- 建议改进措施：维护security.txt文件、设立安全联系人、启动漏洞赏金计划
Colombian Black Hawk Downed by Drone Is a Glimpse of What's to Come
9 months ago
- 哥伦比亚国家警察一架UH-60黑鹰直升机遭无人机击落，这是西半球首次发生此类事件。
- 袭击发生时该直升机正在支援古柯作物铲除行动，当局怀疑袭击者系哥伦比亚革命武装力量（FARC）反叛分子与海湾帮派。
- 事件造成至少12人死亡，哥伦比亚总统古斯塔沃·佩特罗指认FARC反叛分子策划了此次袭击。
- 该事件凸显直升机面对无人机袭击日益增长的脆弱性，这种趋势在乌克兰和亚洲等地亦有显现。
- 因担忧无人机威胁，韩国已取消价值数十亿美元的阿帕奇直升机采购合同。
- FPV（第一人称视角）无人机正成为直升机重大威胁，其具备成本低廉、机动灵活且打击精准的特点。
- 电子战系统被视为潜在防御手段，但相关技术应用进展缓慢，且部分无人机具备抗干扰能力。
- 拉丁美洲贩毒集团与叛乱组织正加速运用无人机技术，有报道称俄罗斯曾培训哥伦比亚反政府武装使用无人机。
- 鉴于贩毒集团无人机活动猖獗，美国正考虑修改交战规则以允许击落边境附近无人机。
- 武装无人机在全球范围的扩散引发警惕，预计未来将出现更多针对直升机的袭击事件。
Marshal madness: A brief history of Ruby deserialization exploits
9 months ago
- Ruby的Marshal模块长期以来存在反序列化漏洞，形成了补丁与绕过不断循环的局面。
- 2013年首次记录该问题，揭示了Ruby 2.0.0中Marshal.load方法的危险性。
- 攻击技术持续演进，研究人员如Luke Jahnke和William Bowling相继发布了通用RCE反序列化工具链。
- 现代技术使用CodeQL等高级程序分析工具来发现漏洞利用链。
- Ruby 3.4和RubyGems.org近期漏洞表明Marshal相关问题依然存在。
- 建议措施包括审计Marshal使用情况、替换为更安全的替代方案，以及弃用不安全方法。
Dynamically patch a Python function's source code at runtime
9 months ago
- 使用compile和exec函数在运行时动态修改函数源代码的Python技巧
- 该技术使得构建灵活AI机器人(如ToolBot)成为可能，它们能生成并执行可访问当前环境的代码
- 由于潜在的恶意代码执行风险，引发了严重的安全担忧
- 函数具有可被操作的.__code__属性
- 三步流程：编译新代码→在命名空间中执行→替换原函数
- ToolBot将工具选择与执行分离，提高了模块化程度
- write_and_execute_code工具允许LLM生成并运行可访问全局变量的Python代码
- 强调了安全风险；建议未来使用Restricted Python保障安全性
- 大语言模型是宝贵的学习工具，但需要谨慎使用和深入理解
How to check if your Apple Silicon Mac is booting securely
9 months ago
- macOS的安全性可通过“系统信息”和“隐私与安全性”设置进行检查。
- 快速检查包括在“系统信息”中验证启动安全性以及启用FileVault加密。
- 安全启动设置需通过恢复模式下的“启动安全性实用工具”进行管理。
- SilentKnight工具可验证XProtect/Gatekeeper检查及安全数据更新状态。
- 详细的启动过程验证需检查系统启动后LogUI中的日志条目。
- 关键日志条目包含内核版本、可信执行监视器（TEE）、iBoot固件和CoreCrypto支持状态。
- 安全策略组件如Apple移动文件完整性（AMFI）和沙箱必须正确加载。
- 安全隔区处理器（SEP）和Apple系统策略（ASP）是安全体系的核心组件。
- 启动过程通过从ROM到内核的逐级验证链确保安全性。
- Apple芯片Mac采用分阶段安全启动流程，每个环节均设有防篡改验证。
An Illustrated Guide to OAuth
9 months ago
- OAuth于2007年由Twitter推出，允许第三方应用在不共享密码的情况下代表用户发布推文。
- OAuth使用访问令牌（类似用户专属的API密钥），使应用能代表用户执行操作或访问数据。
- OAuth流程包含用户授权（资源所有者授予权限）和授权码流程（应用用授权码换取访问令牌）。
- OAuth通过避免在URL中传递访问令牌、改用安全后端请求交换授权码来保障安全性。
- OAuth术语包括：资源所有者（用户）、OAuth客户端（应用）、授权服务器（用户登录处）和权限范围（授予的权限）。
- 注册OAuth应用需提供应用名称和重定向URI，服务商会颁发客户端ID和客户端密钥。
- OAuth流程会将用户重定向至授权服务器登录并同意权限范围，随后将授权码返回给应用。
- 前通道（不安全，URL可见）与后通道（安全，加密POST请求）是OAuth流程的核心概念。
- PKCE（读作'pixie'）是一种为无后端应用（如移动端/JS应用）加固OAuth流程的方法。
- OAuth存在多种实现方式，包括隐式流程（安全性较低）、令牌刷新流程，OpenID Connect（OIDC）还扩展了登录功能。
Google to require developer verification to install and sideload Android apps
9 months ago
- 谷歌将从2026年起要求经认证的安卓设备必须通过验证开发者才能安装应用
- 该规则适用于所有安装渠道，包括第三方应用商店和侧载安装
- 谷歌希望通过验证开发者身份来减少恶意软件和金融诈骗
- 将为非Play商店开发者创建新的安卓开发者控制台
- 学生和业余爱好者将采用单独的验证流程
- 该要求将于2026年9月在巴西、印尼、新加坡和泰国率先实施，2027年起全球推行
- 这些国家的政府机构对该举措给予了积极反馈
Google to require developer verification for Android apps outside the Play Store
9 months ago
- 谷歌将从明年开始通过验证开发者身份来加强安卓应用分发的安全措施
- 该验证将适用于所有经过认证的安卓设备，并逐步在全球范围内推广
- 开发者仍可在Play商店外分发应用，但匿名选项将被取消
- 谷歌希望通过开发者验证来减少恶意软件、金融欺诈和数据盗窃
- 开发者测试系统的早期访问将于2025年10月启动，2026年3月前完成全面推广
- 到2026年9月，巴西、印尼、新加坡和泰国的应用必须满足新要求
- 全球范围内的要求将于2027年开始实施
- 开发者需提供真实姓名、地址、邮箱和电话号码，这可能促使独立开发者注册为企业
- 学生和业余开发者可选择单独的Android开发者控制台账户类型
- 类似苹果对欧盟应用商店的调整，谷歌此举符合《数字服务法》等日益增长的监管要求
How RubyGems.org protects OSS infrastructure
9 months ago
- RubyGems.org采用多层安全机制检测恶意gem包，包括自动化检测、风险评分、回溯扫描和外部警报系统。
- 当某个gem包被标记时，RubyGems.org会启动包含人工审核、确认后下架恶意gem及操作留痕的验证流程。
- 近期发生的凭据窃取gem事件中，RubyGems.org主动移除了所有恶意软件包并封禁相关账户，展现了快速响应能力。
- RubyGems.org鼓励社区通过邮件和Slack渠道举报问题，强调通过协作维护生态安全。
- 该平台平均每周下架约1个恶意或垃圾包，由赞助商和志愿者维护团队支持，并邀请企业通过RubyGems赞助计划参与共建。
PostMessaged and Compromised
9 months ago
- 微软注重主动安全措施，包括识别系统性弱点并在漏洞被利用前降低风险。
- postMessage API对于安全的跨域通信至关重要，但如果来源验证配置不当，可能成为安全漏洞。
- 常见的postMessage漏洞包括不安全的发送方和监听方，会导致令牌窃取、跨站脚本(XSS)和权限提升。
- 在postMessage中验证窗口对象而非来源会制造安全漏洞，使攻击者可劫持iframe。
- 案例研究揭示了Bing Travel和web.kusto.windows.net等平台因使用通配符targetOrigin导致的身份验证令牌暴露漏洞。
- Microsoft 365、Azure和Dynamics 365等服务中过于宽松的来源验证可能导致令牌窃取和未授权操作。
- 利用技术包括在受信任域中实施XSS攻击、接管闲置域名，以及在Power Apps等平台中利用自定义代码。
- 具有过度宽松清单设置（isFullTrust: true、宽泛的validDomains）的Teams应用特别容易受到postMessage攻击。
- 缓解策略包括严格来源验证、移除通配符域名，以及强制执行内容安全策略(CSP)标头。
- 微软针对CVE-2024-49038的响应包括更新应用清单、移除通配符条目，并强制实施默认安全配置。
- 建议客户审计应用清单、限制权限，并使用CodeQL等工具检测不安全的postMessage模式。

About|Login

#security

SystemD Service Hardening

Critical Cache Poisoning Vulnerability in Dnsmasq

How We Exploited CodeRabbit: From Simple PR to RCE and Write Access on 1M Repos

The SSO Wall of Shame – Vendors that treat SSO as luxury feature

Travel eSIMs may route traffic over Chinese and undisclosed networks

I Hacked India's Biggest Dating App (They Offered Me a $100 Gift Card)

CRLite in Firefox. Fast, private and secure (pick three)

Show HN: Anchor Relay – A faster, easier way to get Let's Encrypt certificates

Commit hash pinning in GitHub Actions: secure, but at a cost

Show HN: Changefly ID + Anonymized Identity and Age Verification

I Hacked McDonald's (Security Contact Was Harder to Find Than Secret Recipe)

Colombian Black Hawk Downed by Drone Is a Glimpse of What's to Come

Marshal madness: A brief history of Ruby deserialization exploits

Dynamically patch a Python function's source code at runtime

How to check if your Apple Silicon Mac is booting securely

An Illustrated Guide to OAuth

Google to require developer verification to install and sideload Android apps

Google to require developer verification for Android apps outside the Play Store

How RubyGems.org protects OSS infrastructure

PostMessaged and Compromised