==== 資安雙週報 (240501) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 雙週公司重大資訊專區 - 除了 HelloWorld 還有 RCE - 想要當熱心的共同開發者嗎 - 你真的認識 JSON 嗎 ## ==== 雙週公司重大資訊專區 ==== 根據法規第四條之二十六：發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事[0] 我會定期從公開資訊觀測站[1] 直接整理這兩週發生的官方重訊 - 長榮航空證實資料外洩 不明人士存取3百多名旅客資料[2] - 京鼎延遲發布重大訊息開罰[3] ## 除了 HelloWorld 還有 RCE 上回除了 netflix 有出現一個 helloworld 的網址之外 本回 MicroSoft 出現了一個可以執行任意指令的網頁 根據 X 上面的報告[4] code.microsoft.com (目前已經無法連線) 上有一個 systemcall.php 網頁 可以執行任意指令 ## 想要當熱心的共同開發者嗎 根據分析[5] 一個惡意設計的 Github Repository 可能造成安全問題 當受害者 fork 一個包含設計精美的 security.md Github Repository 時 如果其中包含一個由攻擊者控制的回報連結 則所有回報都會轉給攻擊者 ## 你真的認識 JSON 嗎 在不看 SPEC[6] 下 你知道 JSON 可以放多大的數字嗎 答案是 53-bits [-(2**53)+1, (2**53)-1] 在這個情況下 rust-analysis 修改了原本的設計 (u64) [7] 讓他可以正確判斷 JSON 是否合法 [0]: https://www.selaw.com.tw/SFIWebSeLaw/Chinese/RegulatoryInformationResult/Article?lawId=306619 [1]: https://mops.twse.com.tw/mops/web/index [2]: https://mops.twse.com.tw/mops/web/ajax_t05sr01_1?firstin=true&stp=1&step=1&SEQ_NO=1&SPOKE_TIME=230403&SPOKE_DATE=20240425&COMPANY_ID=2618 [3]: https://www.ithome.com.tw/news/162574 [4]: https://twitter.com/h4x0r_dz/status/1783570619755294827 [5]: https://beyondmachines.net/event_details/forking-a-github-repository-may-expose-your-code-flaws-to-others-2-v-c-2-o/gD2P6Ple2L [6]: https://datatracker.ietf.org/doc/html/rfc8259 [7]: https://github.com/rust-lang/rust-analyzer/pull/17063 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.211.230 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1714528368.A.EAD.html ※ 編輯: CMJ0121 (111.242.211.230 臺灣), 05/01/2024 10:18:00