Log for 網路攻防戰~資安閒聊群組
標題:行俠仗義荷包也滿滿!頂尖白帽駭客,平均收入是工程師 2.7 倍
摘要:
從這項調查結果可以很明顯地看出, 漏洞測試是一個可持續行業,特別是在不夠發達的國家,測試工程師也越來越受歡迎。優秀的測試工程師憑借自己的能力絕對可以過上富足的生活。
報告的主要發現:
1. 58% 的白帽是自學成才的。
2. 37% 的白帽說他們只是在空閒時間當駭客,並不是主要工作。
3. 大約有 12% 的 HackerOne 的註冊白帽每年可以賺取 2 萬美元甚至更多。
4. 超過 3% 的 HackerOne 的註冊白帽每年可以賺取 10 萬美元以上。
5. 1.1% HackerOne 的註冊白帽的年收入超過 35 萬 美元。
6. 13.7% HackerOne 的註冊白帽所賺得的獎金佔他們年收入的 90-100%。
7. HackerOne 註冊的白帽中,印度人(23%)和美國人(20%)最多。
8. 近四分之一的 HackerOne 的註冊的白帽沒有報告他們發現的漏洞。
9. 2017 年,美國公司向 HackerOne 總支付金額超過 1500 萬美元。
10. HackerOne 註冊的美國白帽總共獲得超過 410 萬美元的獎勵,而印度白帽僅獲得超過 300 萬美元獎勵。
11. 「你最喜歡的平台或產品是什麼?」,在這個問題中,70.8% 的白帽選擇了「網站」作為答案。
12. 「錢」並不是白帽的主要目的。它僅排名第四。
13. 白帽最喜歡搜索 XSS 漏洞。
14. 近 30% 的白帽受訪者表示,他們使用 Burp Suite 來找漏洞 。
原始資料:
https://www.bleepingcomputer.com/news/security/top-bug-hunters-make-2-7-times-more-money-than-an-average-software-engineer/
引用來源:
https://www.inside.com.tw/2018/01/21/top-bug-hunters-make-2-7-times-more-money-than-an-average-software-engineer
摘要:
從這項調查結果可以很明顯地看出, 漏洞測試是一個可持續行業,特別是在不夠發達的國家,測試工程師也越來越受歡迎。優秀的測試工程師憑借自己的能力絕對可以過上富足的生活。
報告的主要發現:
1. 58% 的白帽是自學成才的。
2. 37% 的白帽說他們只是在空閒時間當駭客,並不是主要工作。
3. 大約有 12% 的 HackerOne 的註冊白帽每年可以賺取 2 萬美元甚至更多。
4. 超過 3% 的 HackerOne 的註冊白帽每年可以賺取 10 萬美元以上。
5. 1.1% HackerOne 的註冊白帽的年收入超過 35 萬 美元。
6. 13.7% HackerOne 的註冊白帽所賺得的獎金佔他們年收入的 90-100%。
7. HackerOne 註冊的白帽中,印度人(23%)和美國人(20%)最多。
8. 近四分之一的 HackerOne 的註冊的白帽沒有報告他們發現的漏洞。
9. 2017 年,美國公司向 HackerOne 總支付金額超過 1500 萬美元。
10. HackerOne 註冊的美國白帽總共獲得超過 410 萬美元的獎勵,而印度白帽僅獲得超過 300 萬美元獎勵。
11. 「你最喜歡的平台或產品是什麼?」,在這個問題中,70.8% 的白帽選擇了「網站」作為答案。
12. 「錢」並不是白帽的主要目的。它僅排名第四。
13. 白帽最喜歡搜索 XSS 漏洞。
14. 近 30% 的白帽受訪者表示,他們使用 Burp Suite 來找漏洞 。
原始資料:
https://www.bleepingcomputer.com/news/security/top-bug-hunters-make-2-7-times-more-money-than-an-average-software-engineer/
引用來源:
https://www.inside.com.tw/2018/01/21/top-bug-hunters-make-2-7-times-more-money-than-an-average-software-engineer
TWCERT/CC每月發布的「免費資安電子報」
資安電子報內容綱要如下:
1.TWCERT/CC近期活動
2.國內外重要資安新聞
●資安政策、威脅趨勢
●駭客攻擊事件及手法
●軟硬體漏洞資訊
●資安研討會及活動
3.本月份事件通報統計
免費資安月報訂閱傳送門:
https://docs.google.com/forms/d/e/1FAIpQLScEwX70twsIaNqahtfXnz2VE8OBtN_rFVTrXBKLnAzV6I8egQ/viewform
線上瀏覽資安月報傳送門:
http://twcertcc.blogspot.tw/
資安電子報內容綱要如下:
1.TWCERT/CC近期活動
2.國內外重要資安新聞
●資安政策、威脅趨勢
●駭客攻擊事件及手法
●軟硬體漏洞資訊
●資安研討會及活動
3.本月份事件通報統計
免費資安月報訂閱傳送門:
https://docs.google.com/forms/d/e/1FAIpQLScEwX70twsIaNqahtfXnz2VE8OBtN_rFVTrXBKLnAzV6I8egQ/viewform
線上瀏覽資安月報傳送門:
http://twcertcc.blogspot.tw/
標題:義籍駭客破解MASTER IPCAM01並取得ROOT密碼
摘要:
自稱Raffaele Sabato的駭客亦破解該國Barni Carlo spa公司出廠的網路攝影機,型號Master IPCAM01。
循HTTP request途徑則能獲得IP camara管理性資料並變更web server 通信埠,等同接管全機。目前尚未獲悉修補訊息,然須注意所有探勘行動皆發生於輸入預設帳密之後,鑒於眾多網路攝影機預設密碼業已披露,故修改實為保全IoT之根本要務。
坊間已公開之IP camara帳號/密碼:
Acta: admin / 123456
Appro: admin / 9999
Avigilon: admin / admin
Axis: root / pass
Basler: admin / admin
Boschs: service / service
Brickcom: admin / admin
Canon: root / (Camera Model)
CBC: admin / admin
CNB: root / admin
Dahua:admin / admin ,888888/888888,666666/666666
Dynacol: admin / 1234
GeoVision: admin / admin
Grandstream: admin / admin
GVI: admin / 1234
Hikvision: admin / 12345
Honeywell: administrator / 1234
IOImag: admin / admin
IPX-DDK: root / admin
IQinVisions: root / system
JVC: admin / JVC
Merit Lilin: admin / pass
Messo: admin / (Camera Model)
Mobotixs: admin / Meins
Panasonic: admin / 12345
Pelco Sarix: admin / admin
Pixord: admin / admin
Riva-Rivatech: root / pass
QViS: admin / 1234
Samsung Electronics: root / root , admin / 4321
Samsung Techwin (new): admin / 4321
Samsung Techwin (old): admin / 1111111
Sanyo: admin / admin
Scallop: admin / password
Sony: admin / admin
Stardot: admin / admin
Toshiba: root / ikwd
Trendnet: admin / admin
Telexper / txper: admin / 99999999
Ubiquiti: ubnt / ubnt
UNV (Uniview): admin / 123456
Verint: admin / admin
VideoIQ: supervisor / supervisor
Vivotek: root /空
引用來源:
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4870
摘要:
自稱Raffaele Sabato的駭客亦破解該國Barni Carlo spa公司出廠的網路攝影機,型號Master IPCAM01。
循HTTP request途徑則能獲得IP camara管理性資料並變更web server 通信埠,等同接管全機。目前尚未獲悉修補訊息,然須注意所有探勘行動皆發生於輸入預設帳密之後,鑒於眾多網路攝影機預設密碼業已披露,故修改實為保全IoT之根本要務。
坊間已公開之IP camara帳號/密碼:
Acta: admin / 123456
Appro: admin / 9999
Avigilon: admin / admin
Axis: root / pass
Basler: admin / admin
Boschs: service / service
Brickcom: admin / admin
Canon: root / (Camera Model)
CBC: admin / admin
CNB: root / admin
Dahua:admin / admin ,888888/888888,666666/666666
Dynacol: admin / 1234
GeoVision: admin / admin
Grandstream: admin / admin
GVI: admin / 1234
Hikvision: admin / 12345
Honeywell: administrator / 1234
IOImag: admin / admin
IPX-DDK: root / admin
IQinVisions: root / system
JVC: admin / JVC
Merit Lilin: admin / pass
Messo: admin / (Camera Model)
Mobotixs: admin / Meins
Panasonic: admin / 12345
Pelco Sarix: admin / admin
Pixord: admin / admin
Riva-Rivatech: root / pass
QViS: admin / 1234
Samsung Electronics: root / root , admin / 4321
Samsung Techwin (new): admin / 4321
Samsung Techwin (old): admin / 1111111
Sanyo: admin / admin
Scallop: admin / password
Sony: admin / admin
Stardot: admin / admin
Toshiba: root / ikwd
Trendnet: admin / admin
Telexper / txper: admin / 99999999
Ubiquiti: ubnt / ubnt
UNV (Uniview): admin / 123456
Verint: admin / admin
VideoIQ: supervisor / supervisor
Vivotek: root /空
引用來源:
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4870
Microsoft Office之 DDE (動態數據交換)攻擊(含程式碼)
SensePost 發現了一種利用DDE(動態數據交換)協議,來執行任意代碼的方法。
在Microsoft Word中,最簡單的方法是插入一個字段代碼,如SensePost 文中所述,並在formula中嵌入payload。
在括號內添加以下payload內容,將會在下次打開文件時彈出一個對話框。如果用戶選擇“Yes”選項,則payload將被執行。
英文版:
https://pentestlab.blog/2018/01/16/microsoft-office-dde-attacks/
簡中版:
http://www.freebuf.com/articles/system/160797.html
SensePost 發現了一種利用DDE(動態數據交換)協議,來執行任意代碼的方法。
在Microsoft Word中,最簡單的方法是插入一個字段代碼,如SensePost 文中所述,並在formula中嵌入payload。
在括號內添加以下payload內容,將會在下次打開文件時彈出一個對話框。如果用戶選擇“Yes”選項,則payload將被執行。
英文版:
https://pentestlab.blog/2018/01/16/microsoft-office-dde-attacks/
簡中版:
http://www.freebuf.com/articles/system/160797.html