2015年11月24日 星期二

11/24 晨摘

  • 資訊安全:
1.新浪微博 CSRF & ClickJacking 蠕虫 by evi1m0

(1)CSRF Worm:

该漏洞出现在微博电影榜站点,用户可为每场电影进行点评分享到微博,发送分享的 API 的 Referer 防御体系可被绕过,导致攻击者可攻击受害者不断传播恶意微博。

当 Referer 为非 http://moive.weibo.com/test_path/ 时,后端正则会进行来源判断以防止攻击者进行 CSRF 等攻击,经测试发现该正则可被绕过。这样我们就能够通过构造一个四级域名来绕过 Referer 检测,从而使用 dom 自动提交表单的方式来发起蠕虫。

(2)ClickJacking:

问题出现在另外一个点评 API 处,未对 iframe 嵌入及 Referer 做判断验证,导致可被攻击这伪造页面发起 ClickJacking 攻击。

2.IBM加密工具平台Identity Mixer近日向开发者开放 by Freebuf

Identity Mixer,是一款能够在用户登录各类网站平台或apps时,提供平台所需用户身份认证信息(该信息是经过加密,且仅仅只是提供所需要信息,不会额外提供其他信息),且能确保用户个人数据安全的工具,目前已经对开发人员开放了。

该工具功能是通过IBM的云服务BlueMix实现的,目的是为了针对各网站平台或者apps的开发者,去降低、控制他们平台的用户数据可能因遭受黑客攻击而导致泄露的风险。

开发者可以通过将Identity Mixer嵌入到他们的apps中,去解决目前在应用安全方面面临的各种安全问题,如后台数据库遭拖库,这个应该算是屡见不鲜的。目前也迫切地需要一个系统能够对这些遭到窃取的数据进行有效保护,而Identity Mixer的目的就是在保护这些用户数据上。

3.Java反序列化漏洞批量检测 by Freebuf

Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。

问题在于,如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

所以这个问题的根源在于类ObjectInputStream在反序列化时,没有对生成的对象的类型做限制;假若反序列化可以设置Java类型的白名单,那么问题的影响就小了很多。

  • 自我成長:
1.顧客願意以較高價碼、購買份量較小的商品 by Pierre Chandon
  • 消費者需要小份量的包裝
  • 消費者有資金不足的問題,需要符合其預算的份量
  • 消費者希望更能控制消費,而又知道自己意志力不足
  • 消費者對價值的計算單位與生產者不同
  • 消費者覺得小包裝代表的是高品質、較稀有

2.接觸大自然,工作更有成效 by Nicole Torres

研究發現,看看綠色的東西,有助於改善注意力與工作表現──無論你是望向窗外、出外散步,或甚至看螢幕保護程式上的大自然都好。

3.21世紀人才「照過來」 by Claudio Fernández-Aráoz

為什麼現在對「潛力」的看重程度,勝過頭腦、經驗與「能力」?

因為環境的變化如此迅速,根本無法預測員工幾年後需要具備何種能力。因此,現在的問題並非員工是否擁有適當的技巧,而是「潛力」,他們是否具備適應日益複雜的角色與環境,並在其中成長茁壯的能力。

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言