- 資訊安全:
1.腾讯玄武实验室:用条码可触发SQL注入、XSS攻击 by 杜美洁
BadBarcode不是某款产品或者某个厂商的漏洞,而是一类产品的问题。所有使用PS/2或HID键盘模拟条码阅读器的设备都可能受BadBarcode影响,条码阅读器支持ADF的设备可能实现全自动攻击,条码阅读器不支持ADF但有触屏的也可能被攻击。此外,其它键盘模拟设备也有可能有类似问题,如RFID/NFC Reader。
安全建议:
(1)对条码阅读器生产商默认不要开启类似ADF的功能,默认不要向主机传输ASCII控制字符。
(2)对使用PS/2或HID键盘模拟条码阅读器的设备的生产商,尽量不要选用PS/2或HID键盘模拟条码阅读器。对使用PS/2或HID键盘模拟条码阅读器的设备,可通过禁用热键以阻止BadBarcode攻击。
2.Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護 by TREND LABS
Oracle提供Java網路啟動通訊協定(JNLP)技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中,攻擊者利用JNLP來部署applet。
要實現這做法,Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI(Java命名和目錄介面)。這種機制是Java遠端程序呼叫的基礎,稱為RMI(遠端方法調用)。
3.汽车入侵又出奇招:安全气囊也被破 by Freebuf
攻击者将FTDI DLL(用于和诊断导线通信)替换成了一个含有恶意代码的版本。据这三个研究员称这是控制汽车最简单的方法。 一旦感染了恶意程序,攻击者就能控制汽车的诊断系统,甚至可在驾驶员不知情的情况下打开或者关闭某些功能。
如果攻击者可以通过OBD2端口以某种方式更新汽车的嵌入式控制固件,留下一个后门,那么在汽车行驶过程中触发该后门则会带来更为可怕的后果。
BadBarcode不是某款产品或者某个厂商的漏洞,而是一类产品的问题。所有使用PS/2或HID键盘模拟条码阅读器的设备都可能受BadBarcode影响,条码阅读器支持ADF的设备可能实现全自动攻击,条码阅读器不支持ADF但有触屏的也可能被攻击。此外,其它键盘模拟设备也有可能有类似问题,如RFID/NFC Reader。
安全建议:
(1)对条码阅读器生产商默认不要开启类似ADF的功能,默认不要向主机传输ASCII控制字符。
(2)对使用PS/2或HID键盘模拟条码阅读器的设备的生产商,尽量不要选用PS/2或HID键盘模拟条码阅读器。对使用PS/2或HID键盘模拟条码阅读器的设备,可通过禁用热键以阻止BadBarcode攻击。
2.Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護 by TREND LABS
Oracle提供Java網路啟動通訊協定(JNLP)技術來讓需要遠端伺服器上資源的應用程式可以在客戶端桌面上啟動。它可以用來部署applet或web start應用程式。在此攻擊中,攻擊者利用JNLP來部署applet。
要實現這做法,Java提供了目錄服務讓Java軟體客戶端透過名稱發現和查找物件。這就是所謂的JNDI(Java命名和目錄介面)。這種機制是Java遠端程序呼叫的基礎,稱為RMI(遠端方法調用)。
攻击者将FTDI DLL(用于和诊断导线通信)替换成了一个含有恶意代码的版本。据这三个研究员称这是控制汽车最简单的方法。 一旦感染了恶意程序,攻击者就能控制汽车的诊断系统,甚至可在驾驶员不知情的情况下打开或者关闭某些功能。
如果攻击者可以通过OBD2端口以某种方式更新汽车的嵌入式控制固件,留下一个后门,那么在汽车行驶过程中触发该后门则会带来更为可怕的后果。
- 自我成長:
1.稱讚與認可是領導者的天職 by 何飛鵬
稱讚部屬至少應包括三個不同的層次:
(1)對明確的工作成果表示認可
(2)不只對工作成果表示認可,還對工作者的態度及方法給予肯定
(3)不只對工作成果認同,也兼顧態度及方法,更重要的是描述此一成果對組織所產生的影響及貢獻
2.你越在乎的人,就越要體貼 by 黃淑文
再怎麼親密的愛,都要體貼尊重,不管對伴侶小孩好友,都不能忘了彼此還有一條無形的界線。超越了那條界線,再多的愛,都會變成侵犯和負擔,反而造成彼此心靈的隔閡,漸行漸遠。有了拿捏的尺寸,找到了尊重的界線,反而可以愛的更親密,給彼此更大的空間和彈性。
3.理想的簡單生活:越簡單,越幸福 by 黃淑文
花時間弄清楚你喜歡甚麼,這樣才能弄清楚你自己喜歡過甚麼生活。培養自己對所見之物評估的能力,隨著組成你物質世界的元素越來越接近你的真實需求和最具個性的品味,心中的寧靜感將日益充盈。
只要我們遷居新家,就會把自己的個性帶給這所住宅,它就像我們的衣服、我們的外殼。我們向世人展現的,往往決定了我們的本質。然而很多人並不確定自己的品味,也無法肯定甚麼東西會帶給他們真正的滿足。只有創造一個符合內心渴望的環境,我們才能找到內在自我和外在自我之間的聯繫。
稱讚部屬至少應包括三個不同的層次:
(1)對明確的工作成果表示認可
(2)不只對工作成果表示認可,還對工作者的態度及方法給予肯定
(3)不只對工作成果認同,也兼顧態度及方法,更重要的是描述此一成果對組織所產生的影響及貢獻
2.你越在乎的人,就越要體貼 by 黃淑文
再怎麼親密的愛,都要體貼尊重,不管對伴侶小孩好友,都不能忘了彼此還有一條無形的界線。超越了那條界線,再多的愛,都會變成侵犯和負擔,反而造成彼此心靈的隔閡,漸行漸遠。有了拿捏的尺寸,找到了尊重的界線,反而可以愛的更親密,給彼此更大的空間和彈性。
3.理想的簡單生活:越簡單,越幸福 by 黃淑文
花時間弄清楚你喜歡甚麼,這樣才能弄清楚你自己喜歡過甚麼生活。培養自己對所見之物評估的能力,隨著組成你物質世界的元素越來越接近你的真實需求和最具個性的品味,心中的寧靜感將日益充盈。
只要我們遷居新家,就會把自己的個性帶給這所住宅,它就像我們的衣服、我們的外殼。我們向世人展現的,往往決定了我們的本質。然而很多人並不確定自己的品味,也無法肯定甚麼東西會帶給他們真正的滿足。只有創造一個符合內心渴望的環境,我們才能找到內在自我和外在自我之間的聯繫。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言