縮小字型大小。 重設字型大小。 放大字型大小。

標籤: 資訊安全

DOOM CAPTCHA – 玩毀滅公爵才能過關的圖形驗證碼

Posted on By 日落 在〈DOOM CAPTCHA – 玩毀滅公爵才能過關的圖形驗證碼〉中有 1 則留言

自從 OCR 技術越來越精準後,文字類型的驗證碼 (CAPTCHA) 和圖形類的驗證碼就越來越容易被電腦辨識出來,反而真人進行辨識的時間有時還比電腦要長。

剛看到別人轉的訊息,有人把毀滅公爵做進的驗證碼中,被驗證者必須殺掉怪物才會被識別成真人:

來源:DOOM CAPTCHA

試玩後發現 DOOM CAPTCHA 有一定的 pattern,再來就是怪物長的都一模一樣。其實這種規律和圖形,專為遊戲設計的辨識工具,辨識速度會比人還要快 …. XD

Tags:,

Nginx 將 deny all 換成 return 404

Posted on By 日落 在〈Nginx 將 deny all 換成 return 404〉中尚無留言

以往不想要讓人索引、讀取的目錄和檔案都會設定成 deny all:

在新分頁中預覽

location ~ /\.git {
    deny all;
}

這樣設定的話,開啟該目錄就會收到 HTTP 403 Forbidden。這個訊息有二個含意:主機上面的確有這份資料、你沒有權限打開。

也就是,檔案在 URL 的連結已經確定了,只要繞過權限管理即可讀取檔案。

與其這樣,不如直接讓主機回傳 HTTP 404,這樣便無法知道檔案是否存在:

location ~ /\.git {
    return 404;
}
Tags:,

master.php.net 的使用者資料庫可能已經外洩

Posted on By 日落 在〈master.php.net 的使用者資料庫可能已經外洩〉中尚無留言

看到 Hacker News 的新聞「PHP Site’s User Database Was Hacked In Recent Source Code Backdoor Attack」:

While this was initially treated as a compromise of the git.php.net server, further investigation into the incident has revealed that the commits were a result of pushing them using HTTPS and password-based authentication, leading them to suspect a possible leak of the master.php.net user database.

從伺服器的記錄猜測,攻擊者是透過 HTTP authentication 的方式,在 git repository 偷偷藏入 backdoor。若猜測是正確的,表示攻擊者可能已經取得 master.php.net 的使用者資料庫。另外也提到網站運作的環境太老舊,攻擊者也可能已經找到軟體上的弱點並透過這些弱點來設計攻擊。

官方已將網站改用 TLS 1.2,並將密碼儲存方式從 MD5 更新為 bcrypt 雜湊。比較好奇如果沒有保留密碼,要怎麼從 MD5 更新為 bcrypt?Hash 二次嗎? XD

Tags:, ,