Log for 網路攻防戰~資安閒聊群組

Zeroday 11/8 漏洞公開：

高雄城市芭蕾舞團網站，存在XSS漏洞
https://zeroday.hitcon.org/vulnerability/ZD-2017-00759

阿甘薯叔 資料庫注入漏洞
https://zeroday.hitcon.org/vulnerability/ZD-2017-00760

台北市立民權國中網站，疑外洩個資檔案
https://zeroday.hitcon.org/vulnerability/ZD-2017-00761

標題：iPhone APP 可在你不知情的情況下偷偷拍照竊取隱私(含影片示範與PoC)

影片示範：
https://www.youtube.com/watch?v=GqWUaflPMh0

概念驗證程式(PoC)下載處：
https://github.com/KrauseFx/watch.user

Krause 表示，一旦用戶授權給APP 相機權限，開發者可以輕鬆做到以下幾點：

1. 獲取手機前後攝像頭的訪問權限。
2. APP 前台運行時的任意時刻都可以對你進行記錄。
3. 不需要你的許可就可以拍照錄像。
4. 拍照/攝像後立即上傳到服務器。
5. 運行實時面部識別程序，來檢測你的面部特徵和表情。

原始資料：
https://krausefx.com/blog/ios-privacy-watchuser-access-both-iphone-cameras-any-time-your-app-is-running

什么时候可以讲解一下健身攻击😂

影片：網頁挖礦手法介紹

大綱：
常見虛擬貨幣
網頁挖礦手法
防護措施：
1. 留意 CPU 使用率。
2. 謹慎拜訪網站與下載。
3. 關閉/過濾瀏覽器中 JavaScript 功能。
4. 安全防護軟體。

影片來源：
https://www.youtube.com/watch?v=OJxH41bhq9E