- 資訊安全:
1.DDoS攻击依旧猖狂 Q2峰值再突破240Gbps by 51CTO.com
从国际CDN公司Akamai公布的数据中发现,2015年第二季度有12起DDoS攻击的峰值流量超过了100Gbps,5起攻击的包转发率峰值超过了50Mpps。而只有极少数的企业能够以一己之力承受住这样的攻击。
黑客已经开始利用支持UPnP(通用即插即用)协议的设备来直接或间接放大DDoS攻击流量。随着采用UPnP协议的不安全家庭联网设备不断激增,这些设备常被黑客当作SSDP(SYN与简单服务发现协议)反射器,来持续发起攻击。据悉,SSDP是本季度最常见的DDoS攻击向量,占到DDoS攻击流量的16%左右。
2.Kirby CMS多枚漏洞分析 by Freebuf
KirbyCMS其中有一个漏洞,允许攻击者保存/读取托管环境目录中的内容。
由于KirbyCMS是一款基于文件的内容管理系统,在账户目录中它还存储有身份验证数据文件,每位用户都有其属于自身的密码文件,命名类似:kirby/site/accounts/[username].php
在登录界面,KirbyCMS参考密码文件来验证密码hash。在此过程中,它不能验证生成的路径,并确保不包含遍历路径序列,比如说用户提供的登录变量中的‘../’
这就导致它产生了一个路径遍历漏洞,如果攻击者出于同一个多用户托管环境下那么就可以绕过身份验证,以及向/tmp等公共目录写入文件。
KirbyCMS还有一个漏洞允许上传通常不允许的PHP脚本文件,这个漏仅仅只能够被已经通过身份验证的用户利用,而管理员权限不是必须的。
另外,KirbyCMS还有另外一个漏洞——CSRF(跨站请求伪造),如果攻击者诱使用户访问一个钓鱼站点,这可能导致攻击者利用一个已经通过身份验证的用户执行文件上传操作。这将致使一个未经验证的攻击者修改或者上传内容。
3.物联网操作系统安全性分析 by bt0sea
(1)当物联网设备无网络连接时、云端立刻通知。
(2)OTA升级、出现重大安全漏洞要厂商直接推送更新固件。
(3)设置强密码Policy 要求12位以上,同时使用数字、特殊符号和字母的组合。如果条件允许尽量使用双因素方式认证(Two-factor authentication)
(4)使用SSL/TLS连接云端传输数据(HTTPS+ AES 128bit encryption),尽量不要在物联网终端设备上存储数据,以免被黑。如果必须在本地存储请加密,同时加密备份到云端一份。如果再安全一点可以使用TPM处理,把秘钥存储到类似U盘的设备当中做认证。
(5)如果使用SSL,检查两端(服务器和客户端)的证书,不允许使用自签名证书。
(6)云端处理好多租户问题,尽量做到操作系统层面、数据层面的隔离。
从国际CDN公司Akamai公布的数据中发现,2015年第二季度有12起DDoS攻击的峰值流量超过了100Gbps,5起攻击的包转发率峰值超过了50Mpps。而只有极少数的企业能够以一己之力承受住这样的攻击。
黑客已经开始利用支持UPnP(通用即插即用)协议的设备来直接或间接放大DDoS攻击流量。随着采用UPnP协议的不安全家庭联网设备不断激增,这些设备常被黑客当作SSDP(SYN与简单服务发现协议)反射器,来持续发起攻击。据悉,SSDP是本季度最常见的DDoS攻击向量,占到DDoS攻击流量的16%左右。
2.Kirby CMS多枚漏洞分析 by Freebuf
KirbyCMS其中有一个漏洞,允许攻击者保存/读取托管环境目录中的内容。
由于KirbyCMS是一款基于文件的内容管理系统,在账户目录中它还存储有身份验证数据文件,每位用户都有其属于自身的密码文件,命名类似:kirby/site/accounts/[username].php
在登录界面,KirbyCMS参考密码文件来验证密码hash。在此过程中,它不能验证生成的路径,并确保不包含遍历路径序列,比如说用户提供的登录变量中的‘../’
这就导致它产生了一个路径遍历漏洞,如果攻击者出于同一个多用户托管环境下那么就可以绕过身份验证,以及向/tmp等公共目录写入文件。
KirbyCMS还有一个漏洞允许上传通常不允许的PHP脚本文件,这个漏仅仅只能够被已经通过身份验证的用户利用,而管理员权限不是必须的。
另外,KirbyCMS还有另外一个漏洞——CSRF(跨站请求伪造),如果攻击者诱使用户访问一个钓鱼站点,这可能导致攻击者利用一个已经通过身份验证的用户执行文件上传操作。这将致使一个未经验证的攻击者修改或者上传内容。
3.物联网操作系统安全性分析 by bt0sea
(1)当物联网设备无网络连接时、云端立刻通知。
(2)OTA升级、出现重大安全漏洞要厂商直接推送更新固件。
(3)设置强密码Policy 要求12位以上,同时使用数字、特殊符号和字母的组合。如果条件允许尽量使用双因素方式认证(Two-factor authentication)
(4)使用SSL/TLS连接云端传输数据(HTTPS+ AES 128bit encryption),尽量不要在物联网终端设备上存储数据,以免被黑。如果必须在本地存储请加密,同时加密备份到云端一份。如果再安全一点可以使用TPM处理,把秘钥存储到类似U盘的设备当中做认证。
(5)如果使用SSL,检查两端(服务器和客户端)的证书,不允许使用自签名证书。
(6)云端处理好多租户问题,尽量做到操作系统层面、数据层面的隔离。
- 自我成長:
1.不只敘利亞 那些橫越地中海的難民 為什麼離開家園 by 杜易寰
根據1951年聯合國批准的難民地位公約,基於人道原因,任何國家,都不可以將符合定義的難民驅回原國,或其他可能使其陷入危險的國家。這份當年為了政治犯而量身訂做的公約,並未包含因為天災或是戰爭而流離失所的難民,自從茉莉花革命以來,中東一連串的政治動盪產生的難民,就落在這個尷尬的灰色地帶。
2.解決問題的SOP by 何飛鵬
選擇從哪一個問題下手,是處理問題成敗之關鍵。
當大問題拆解成數個小問題之後,我們還要將這些待處理的小問題,按照問題大小、輕重緩急,排定處理的先後順序,然後從關鍵問題下手,依序處理。
遭遇愈大的問題,愈需要冷靜,將問題往下拆解,選擇關鍵問題處理,再排定問題處理的先後順序,然後一步步地解決,這就是解決問題的標準工作程序。
3.外包人生的去人性化後果 by 何明修
無論其管道或網路平台,將生活所需外包給他人,就是將我們一部分人性外包出去。現代社會的的巨大悖論之一,即是當我們越能滿足生活所需的同時,我們離生命的本質就越加疏遠。
如果說,原本應充滿危險與剌激的婚外情只剩下平淡無情的付費機制與網路填寫,那麼還有什麼是更令人期待的驚奇事件?很顯然,外包邏輯的蔓延所導致的去人性化結果,即是我們真實的生命更虛假,越來越不具有本真性(authenticity)。
根據1951年聯合國批准的難民地位公約,基於人道原因,任何國家,都不可以將符合定義的難民驅回原國,或其他可能使其陷入危險的國家。這份當年為了政治犯而量身訂做的公約,並未包含因為天災或是戰爭而流離失所的難民,自從茉莉花革命以來,中東一連串的政治動盪產生的難民,就落在這個尷尬的灰色地帶。
2.解決問題的SOP by 何飛鵬
選擇從哪一個問題下手,是處理問題成敗之關鍵。
當大問題拆解成數個小問題之後,我們還要將這些待處理的小問題,按照問題大小、輕重緩急,排定處理的先後順序,然後從關鍵問題下手,依序處理。
遭遇愈大的問題,愈需要冷靜,將問題往下拆解,選擇關鍵問題處理,再排定問題處理的先後順序,然後一步步地解決,這就是解決問題的標準工作程序。
3.外包人生的去人性化後果 by 何明修
無論其管道或網路平台,將生活所需外包給他人,就是將我們一部分人性外包出去。現代社會的的巨大悖論之一,即是當我們越能滿足生活所需的同時,我們離生命的本質就越加疏遠。
如果說,原本應充滿危險與剌激的婚外情只剩下平淡無情的付費機制與網路填寫,那麼還有什麼是更令人期待的驚奇事件?很顯然,外包邏輯的蔓延所導致的去人性化結果,即是我們真實的生命更虛假,越來越不具有本真性(authenticity)。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言