Log for 網路攻防戰~資安閒聊群組
標題:YouBike App 密碼更新回傳機制出包,用手機號碼就能竄改他人密碼
摘要:
臺灣資安漏洞通報平臺HITCON ZeroDay於5月27日揭露,公共自行車租用服務YouBike App要求修改密碼的回傳機制未加密,手機號碼與密碼的數值是明文呈現,而且任何人可以輸入手機號碼,來更改用戶的密碼,並取得該用戶在YouBike的資料。YouBike表示,他們已經在近日完成了修補,「目前沒有任何YouBike用戶受到影響。」
此外,任何人可以在未經用戶本人授權的情況,在URL網址修改密碼變數的數值,來更改用戶的密碼。任何人能利用這項驗證機制的疏失,直接修改不同手機號碼的密碼,同時取得用戶個資,包括真實姓名、電子信箱、悠遊卡卡號,以及騎乘紀錄,甚至如果是使用聯名卡綁定的用戶,可能造成用戶的金融資料外洩。
ZeroDay 某單位可任意修改其他使用者的密碼:
https://zeroday.hitcon.org/vulnerability/ZD-2017-00300
引用來源:
http://www.ithome.com.tw/news/114548
摘要:
臺灣資安漏洞通報平臺HITCON ZeroDay於5月27日揭露,公共自行車租用服務YouBike App要求修改密碼的回傳機制未加密,手機號碼與密碼的數值是明文呈現,而且任何人可以輸入手機號碼,來更改用戶的密碼,並取得該用戶在YouBike的資料。YouBike表示,他們已經在近日完成了修補,「目前沒有任何YouBike用戶受到影響。」
此外,任何人可以在未經用戶本人授權的情況,在URL網址修改密碼變數的數值,來更改用戶的密碼。任何人能利用這項驗證機制的疏失,直接修改不同手機號碼的密碼,同時取得用戶個資,包括真實姓名、電子信箱、悠遊卡卡號,以及騎乘紀錄,甚至如果是使用聯名卡綁定的用戶,可能造成用戶的金融資料外洩。
ZeroDay 某單位可任意修改其他使用者的密碼:
https://zeroday.hitcon.org/vulnerability/ZD-2017-00300
引用來源:
http://www.ithome.com.tw/news/114548
Android Pay 今天(6/1) 開放了喔!
想安裝試用的,在這下載!
https://play.google.com/store/apps/details?id=com.google.android.apps.walletnfcrel
至於銀行相關優惠,下午才會知道!
然後!APPLE pay、sumsung pay、Android Pay、LINE Pay、街口支付、歐付寶.....等,就是逼大家花錢啊~!
想安裝試用的,在這下載!
https://play.google.com/store/apps/details?id=com.google.android.apps.walletnfcrel
至於銀行相關優惠,下午才會知道!
然後!APPLE pay、sumsung pay、Android Pay、LINE Pay、街口支付、歐付寶.....等,就是逼大家花錢啊~!
原來 Android 手機,之前在 Play 商店有綁定信用卡消費的,下載更新完 Android Pay。
打開確認,就可以啟用了!
註:今天是 Android Pay 台灣開放日。
https://www.android.com/intl/zh-TW_tw/pay/
打開確認,就可以啟用了!
註:今天是 Android Pay 台灣開放日。
https://www.android.com/intl/zh-TW_tw/pay/
Android Pay 還有一點厲害的就是結合了 Google 地圖功能,舉例來說,如果你在 Android Pay 綁定了屈臣氏的會員卡,只要在經過或者走進屈臣氏時,系統就會自動推播出屈臣氏會員卡方便你使用,另外,所有消費紀錄也會包含定位紀錄,點選消費紀錄就能知道店家資訊。
Google悄悄更新隱私政策,擴大追蹤範圍
http://www.ithome.com.tw/news/109234
Google打算追蹤你的信用卡消費紀錄
http://www.ithome.com.tw/news/114492
Google證實藉由追蹤信用卡消費記錄「優化」網路廣告
https://mashdigi.com/?p=54876
http://www.ithome.com.tw/news/109234
Google打算追蹤你的信用卡消費紀錄
http://www.ithome.com.tw/news/114492
Google證實藉由追蹤信用卡消費記錄「優化」網路廣告
https://mashdigi.com/?p=54876
入侵Exploit:
https://github.com/myjohnson062843/MS17-010
病毒樣本:https://www.hybrid-analysis.com/....../ed01ebfbc9eb5bb......
病毒Hash:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
https://github.com/myjohnson062843/MS17-010
病毒樣本:https://www.hybrid-analysis.com/....../ed01ebfbc9eb5bb......
病毒Hash:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
病毒樣本:https://www.hybrid-analysis.com/....../ed01ebfbc9eb5bb......
病毒Hash:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
病毒Hash:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
標題:資安專家出面集資訂閱影子掮客的駭客工具,希望及早掌握漏洞予以修補
摘要:
有鑑於影子掮客(The Shadow Broker)所釋出的攻擊工具造成全球WannaCry災情的爆發,兩位知名的資安專家Fantastic與x0rz本周透過Patreon平台發動募資,以加入影子掮客每月一倒」 (The ShadowBroker Monthly Dump Service)的訂閱服務,單月訂閱費用為100個Zcash幣(ZEC)。
目前每個Zcash幣的價格為236美元,要訂閱6月份攻擊工具的費用則是2.36萬美元(約新台幣71.5萬元),在取得新一波的攻擊工具後,資安研究人員即會展開分析,查明這些工具所帶來的風險,並進行責任揭露。
Fantastic及x0rz也坦承這並不是最好的作法,最好的方式是由那些建置這些工具的情報機構公布與修補相關的安全漏洞,假使美國國安局(NSA)能夠揭露遭竊的內容、所具備的攻擊能力或是所開採的安全漏洞,資安社群就能及時修補,也不必募資了。
引用來源:
http://www.ithome.com.tw/news/114565
摘要:
有鑑於影子掮客(The Shadow Broker)所釋出的攻擊工具造成全球WannaCry災情的爆發,兩位知名的資安專家Fantastic與x0rz本周透過Patreon平台發動募資,以加入影子掮客每月一倒」 (The ShadowBroker Monthly Dump Service)的訂閱服務,單月訂閱費用為100個Zcash幣(ZEC)。
目前每個Zcash幣的價格為236美元,要訂閱6月份攻擊工具的費用則是2.36萬美元(約新台幣71.5萬元),在取得新一波的攻擊工具後,資安研究人員即會展開分析,查明這些工具所帶來的風險,並進行責任揭露。
Fantastic及x0rz也坦承這並不是最好的作法,最好的方式是由那些建置這些工具的情報機構公布與修補相關的安全漏洞,假使美國國安局(NSA)能夠揭露遭竊的內容、所具備的攻擊能力或是所開採的安全漏洞,資安社群就能及時修補,也不必募資了。
引用來源:
http://www.ithome.com.tw/news/114565
標題:Gmail強化郵件安全,以機器學習封鎖垃圾及網釣郵件
摘要:
Google新增的安全措施首先為運用機器學習技術以偵測並封鎖網釣郵件。Google反濫用技術部門資深產品經理Andy Wen表示,Gmail收到的信件有50到70%為垃圾郵件,為了早期偵測垃圾郵件,Google採用專用的機器學習模型,選擇性延後部份(小於0.05%的)Gmail郵件的發送以執行嚴格的網釣信件分析,而這有助於以99.9%的準確率封鎖垃圾及網釣郵件。
Google新發展的偵測模型將結合Google 安全上網(Safe Browsing)機器學習技術,以及其他像是URL信譽與相似性分析,以便針對釣魚和惡意軟體連結產生新的URL點擊警告,而且比人為過濾更能快速演進。
另外,Gmail也結合新的啟發式演算法分析郵件附件及寄件者特徵,以防止勒索軟體和多態惡意軟體藉由郵件散佈。
引用來源:
http://www.ithome.com.tw/news/114564
摘要:
Google新增的安全措施首先為運用機器學習技術以偵測並封鎖網釣郵件。Google反濫用技術部門資深產品經理Andy Wen表示,Gmail收到的信件有50到70%為垃圾郵件,為了早期偵測垃圾郵件,Google採用專用的機器學習模型,選擇性延後部份(小於0.05%的)Gmail郵件的發送以執行嚴格的網釣信件分析,而這有助於以99.9%的準確率封鎖垃圾及網釣郵件。
Google新發展的偵測模型將結合Google 安全上網(Safe Browsing)機器學習技術,以及其他像是URL信譽與相似性分析,以便針對釣魚和惡意軟體連結產生新的URL點擊警告,而且比人為過濾更能快速演進。
另外,Gmail也結合新的啟發式演算法分析郵件附件及寄件者特徵,以防止勒索軟體和多態惡意軟體藉由郵件散佈。
引用來源:
http://www.ithome.com.tw/news/114564
【HITCON GIRLS 資安萌芽推廣】 - 青少年資安暑期營
7 月 8 日 HITCON GIRLS 的姐姐們將以淺顯、有趣的方式,帶領大家認識「資訊安全」,只要你/妳對資訊安全有興趣,即使沒有相關知識者也可參加,活動完全免費,歡迎國高中生同學來揪團報名!
報名網址:https://hitcon.kktix.cc/events/hitcongirls2017summer
開放報名時間:2017/06/05(一) 20:00
7 月 8 日 HITCON GIRLS 的姐姐們將以淺顯、有趣的方式,帶領大家認識「資訊安全」,只要你/妳對資訊安全有興趣,即使沒有相關知識者也可參加,活動完全免費,歡迎國高中生同學來揪團報名!
報名網址:https://hitcon.kktix.cc/events/hitcongirls2017summer
開放報名時間:2017/06/05(一) 20:00
利用密碼學教學軟體模擬Vernam OTP
https://www.youtube.com/watch?v=XI0t8EXMReM
Hash函數SHA-1的的線上計算
https://www.youtube.com/watch?v=sSanqKAP6UI
解開BMP圖檔藏有秘密訊息的C程式(steganography)
https://www.youtube.com/watch?v=29wpXAd1Un8
https://www.youtube.com/watch?v=XI0t8EXMReM
Hash函數SHA-1的的線上計算
https://www.youtube.com/watch?v=sSanqKAP6UI
解開BMP圖檔藏有秘密訊息的C程式(steganography)
https://www.youtube.com/watch?v=29wpXAd1Un8
4個免費 C/C++程式碼白盒掃描開源工具
visual code grepper
sourceforge.net/projects/visualcodegrepp
cppCheck
cppcheck.sourceforge.net/
CodeNavi
github.com/nccgroup/ncccodenavi
Doxygen
www.stack.nl/~dimitri/doxygen/
visual code grepper
sourceforge.net/projects/visualcodegrepp
cppCheck
cppcheck.sourceforge.net/
CodeNavi
github.com/nccgroup/ncccodenavi
Doxygen
www.stack.nl/~dimitri/doxygen/