- 資訊安全:
1.Oracle中泄露“天机”的TNS by Freebuf
黑客通过TNS获取ORACLE数据库版本信息主要有以下三种方式:
(1)身份验证前部分函数泄露数据库版本:
在TNS的通讯包中存在大量的函数调用。这些函数调用中有一部分函数会在进行身份验证之前被运行,其中一部分函数会导致数据库版本信息外泄。从而使得只要黑客知道数据库ip和端口以及实例名就可以成功骗去数据库版本信息。其中最有代表的函数是0x3B TTC函数。
(2)TNS报错信息泄露数据库版本:
如果TNS接到一个它无法识别的TNS命令(是格式正确,但内容不对),就会会送一个错误,在这个错误中包含VSNNUM,它保存了一个十进制数字,把该数字转成十六进制会得到数据库版本号。这种方式比上一种方式需求的信息更少,只需要数据库的IP和端口就可以进行数据库版本号的骗取。
(3)TNS命令不合理使用泄露数据版本:
危险的来源是本来lsnrctl的命令应该只在本地执行,但oracle为了照顾操作的灵活性,某些版本支持lsnrctl 远程使用。仅通过IP信息可以获取目标数据库所有外围敏感信息。例如我们ping 192.168.0.60发现可以ping 通。直接设置监听目标ip (set current_listener 192.168.0.60)执行命令version获取目标IP数据库的端口、数据库版本以及操作系统版本。
2.三种新型DDoS反射攻击出现 by 安全牛
Akamai公司称,攻击者最近开始滥用RPC portmap服务、NetBIOS名称服务器和Sentinel授权服务器。
NetBIOS是一种应用使用的服务,可以分开连接到局域网的计算机。流量峰值可达15.7Gbps。
该公司发现的另一种新型反射攻击利用了RPC Portmap,也即Portmapper。它是一种开放网络计算远程过程调用服务,可以将RPC服务号映射到网络端口号。流量峰值最高可达100Gbps。
另一种攻击滥用了Sentinel授权服务器,这种服务器通常被用于在多用户环境下做授权管理。流量峰值可达11.7Gbps。
3.谁该为云安全负责? by 安全牛
该研究报告的几个重要发现如下:
(1)56%的受访者认为,目前为止‘省钱’是使用云资源的主要原因。
(2)只有33%的受访者觉得自己有自信达到云环境下的安全目标。
(3)79%的受访者认为大多数时候安全是十分重要的;74%的受访者觉得大多数时候合规很重要。
黑客通过TNS获取ORACLE数据库版本信息主要有以下三种方式:
(1)身份验证前部分函数泄露数据库版本:
在TNS的通讯包中存在大量的函数调用。这些函数调用中有一部分函数会在进行身份验证之前被运行,其中一部分函数会导致数据库版本信息外泄。从而使得只要黑客知道数据库ip和端口以及实例名就可以成功骗去数据库版本信息。其中最有代表的函数是0x3B TTC函数。
(2)TNS报错信息泄露数据库版本:
如果TNS接到一个它无法识别的TNS命令(是格式正确,但内容不对),就会会送一个错误,在这个错误中包含VSNNUM,它保存了一个十进制数字,把该数字转成十六进制会得到数据库版本号。这种方式比上一种方式需求的信息更少,只需要数据库的IP和端口就可以进行数据库版本号的骗取。
(3)TNS命令不合理使用泄露数据版本:
危险的来源是本来lsnrctl的命令应该只在本地执行,但oracle为了照顾操作的灵活性,某些版本支持lsnrctl 远程使用。仅通过IP信息可以获取目标数据库所有外围敏感信息。例如我们ping 192.168.0.60发现可以ping 通。直接设置监听目标ip (set current_listener 192.168.0.60)执行命令version获取目标IP数据库的端口、数据库版本以及操作系统版本。
2.三种新型DDoS反射攻击出现 by 安全牛
Akamai公司称,攻击者最近开始滥用RPC portmap服务、NetBIOS名称服务器和Sentinel授权服务器。
NetBIOS是一种应用使用的服务,可以分开连接到局域网的计算机。流量峰值可达15.7Gbps。
该公司发现的另一种新型反射攻击利用了RPC Portmap,也即Portmapper。它是一种开放网络计算远程过程调用服务,可以将RPC服务号映射到网络端口号。流量峰值最高可达100Gbps。
另一种攻击滥用了Sentinel授权服务器,这种服务器通常被用于在多用户环境下做授权管理。流量峰值可达11.7Gbps。
3.谁该为云安全负责? by 安全牛
该研究报告的几个重要发现如下:
(1)56%的受访者认为,目前为止‘省钱’是使用云资源的主要原因。
(2)只有33%的受访者觉得自己有自信达到云环境下的安全目标。
(3)79%的受访者认为大多数时候安全是十分重要的;74%的受访者觉得大多数时候合规很重要。
- 自我成長:
1.小王子 ― 唯心變現的B612 by 傅睿邨
一個悲觀主義者,容易看到所有事情都是悲觀的,所以他身處的環境自然被他解讀成是一個「悲劇的總和」,看到的一切都是符合悲劇的頻率。
相對的,一個樂觀主義者,可能覺得自己身處的世界如此幽默有趣,即使偶有挫折,但本質上,還是如此的美好。因此我們生活的世界其實是我們內心反射出來的「結果」,我選擇怎麼看他,他就以我選擇的方式回應我。
2.改變是辛苦的,但幸福卻是永恆的 by 競爭力直升機
人們往往不是不願意追求幸福,而是太害怕在現實生活中作出改變。就像毛毛蟲羽化成蝶一樣,你願不願意為更美好的未來,勇敢地走出安全區域,付出蛻皮的艱苦代價呢?今天的你如果活得跟昨天一樣,明天的你,也會跟今天一樣。
3.靈機應變,試著看到別人沒看到的方向 by 張景泓
我們必須頻繁的訓練自己可以逆向想事情、懷疑既存的事實與現象、分析判斷時事的利與弊,才有可能在遇到問題時,在短時間做出關鍵判斷。簡單來說,就是要讓腦袋常態性的運轉,而不是別人說什麼就相信什麼。
一個悲觀主義者,容易看到所有事情都是悲觀的,所以他身處的環境自然被他解讀成是一個「悲劇的總和」,看到的一切都是符合悲劇的頻率。
相對的,一個樂觀主義者,可能覺得自己身處的世界如此幽默有趣,即使偶有挫折,但本質上,還是如此的美好。因此我們生活的世界其實是我們內心反射出來的「結果」,我選擇怎麼看他,他就以我選擇的方式回應我。
2.改變是辛苦的,但幸福卻是永恆的 by 競爭力直升機
人們往往不是不願意追求幸福,而是太害怕在現實生活中作出改變。就像毛毛蟲羽化成蝶一樣,你願不願意為更美好的未來,勇敢地走出安全區域,付出蛻皮的艱苦代價呢?今天的你如果活得跟昨天一樣,明天的你,也會跟今天一樣。
3.靈機應變,試著看到別人沒看到的方向 by 張景泓
我們必須頻繁的訓練自己可以逆向想事情、懷疑既存的事實與現象、分析判斷時事的利與弊,才有可能在遇到問題時,在短時間做出關鍵判斷。簡單來說,就是要讓腦袋常態性的運轉,而不是別人說什麼就相信什麼。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言