==== 资安双周报 (240501) ==== 初一十五除了呷菜喔外 也要关心一下安全圈的消息 - 双周公司重大资讯专区 - 除了 HelloWorld 还有 RCE - 想要当热心的共同开发者吗 - 你真的认识 JSON 吗 ## ==== 双周公司重大资讯专区 ==== 根据法规第四条之二十六：发生灾难、集体抗议、罢工、环境污染、资通安全事件或其他重大情事[0] 我会定期从公开资讯观测站[1] 直接整理这两周发生的官方重讯 - 长荣航空证实资料外泄 不明人士存取3百多名旅客资料[2] - 京鼎延迟发布重大讯息开罚[3] ## 除了 HelloWorld 还有 RCE 上回除了 netflix 有出现一个 helloworld 的网址之外 本回 MicroSoft 出现了一个可以执行任意指令的网页 根据 X 上面的报告[4] code.microsoft.com (目前已经无法连线) 上有一个 systemcall.php 网页 可以执行任意指令 ## 想要当热心的共同开发者吗 根据分析[5] 一个恶意设计的 Github Repository 可能造成安全问题 当受害者 fork 一个包含设计精美的 security.md Github Repository 时 如果其中包含一个由攻击者控制的回报连结 则所有回报都会转给攻击者 ## 你真的认识 JSON 吗 在不看 SPEC[6] 下 你知道 JSON 可以放多大的数字吗 答案是 53-bits [-(2**53)+1, (2**53)-1] 在这个情况下 rust-analysis 修改了原本的设计 (u64) [7] 让他可以正确判断 JSON 是否合法 [0]: https://www.selaw.com.tw/SFIWebSeLaw/Chinese/RegulatoryInformationResult/Article?lawId=306619 [1]: https://mops.twse.com.tw/mops/web/index [2]: https://mops.twse.com.tw/mops/web/ajax_t05sr01_1?firstin=true&stp=1&step=1&SEQ_NO=1&SPOKE_TIME=230403&SPOKE_DATE=20240425&COMPANY_ID=2618 [3]: https://www.ithome.com.tw/news/162574 [4]: https://twitter.com/h4x0r_dz/status/1783570619755294827 [5]: https://beyondmachines.net/event_details/forking-a-github-repository-may-expose-your-code-flaws-to-others-2-v-c-2-o/gD2P6Ple2L [6]: https://datatracker.ietf.org/doc/html/rfc8259 [7]: https://github.com/rust-lang/rust-analyzer/pull/17063 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.211.230 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1714528368.A.EAD.html ※ 编辑: CMJ0121 (111.242.211.230 台湾), 05/01/2024 10:18:00