نوشته‌شده در

php – جمع آوری زباله و آسیب پذیری

شما باید حداقل 5 شهرت در پشته امنیت اطلاعات داشته باشید تا سوال مربوط به متا را بپرسید، اما شما ممکن است به طور خاص در مورد امنیت خود اطلاعات امنیتی پشته بپرسید.

لطفا سوال من را به متا منتقل کنید، متشکرم.

این ممکن است یک سوال بی اهمیت برای بسیاری باشد، اما متاسفانه نه برای من. بنابراین، اگر من از وانیل PHP (v 5.x) سبک رویه ای استفاده می کنم، آیا مجموعه های زباله وجود دارد؟ تا جایی که من GC را درک می کنم، مدیریت حافظه برای حذف شیء استفاده نشده است. این به من می گوید که با استفاده از روش رویه ای PHP (-> با کلاس ها و شیء کار نمی کند) GC غیر ضروری (یا بیشتر مانند: غیر موجود). من 2 سوال دارم:

  1. این فرض درست است
  2. از نظر امنیتی، آیا خطرناک است که یک برنامه کاربردی نوشته شده در PHP، بدون GC، یا بیشتر خطرناک باشد تا برنامه را در C # بگویم، با استفاده از کلاس ها، اشیاء (و بنابراین GC). آیا با داشتن GC آسیب پذیری ها را باز کرده یا کاملا مخالف، از آنها جلوگیری می کند؟

برای پاسخ ها متشکرم.

نوشته‌شده در

گذرواژهها – آیا میتوان به فای امن دسترسی پیدا کرد و با تورنت کمی از آدرس IP من دانلود کرد؟

من نیاز به یک پاسخ سریع دارم! با تشکر از شما

آیا می توانم به فای امن دسترسی پیدا کنم و با بیت تورنت از آدرس IP من دانلود کنم؟ من در دانمارک زندگی می کنم – اگر این تفاوت ها را ایجاد می کند.

ما چند سال قبل (مه 2015) یک سرویس جدید WIFI را تغییر دادیم. GF من بهتر از من می دانم که WIFI جدید با گذرواژه خود (کلید امنیتی) آمد. من با این شرکت به دنبال آن هستم

من نمی دانم چه نوع "حفاظت" WIFI من ارائه شد، با این حال: WPA، WEP، و یا هر چیز دیگر. من هم به دنبالش هستم در حال حاضر من می دانم در کنار هیچ چیز در مورد هر یک از این، من باید اضافه کنم. برای همه من می دانم که امنیت ارائه شده توسط شرکت اینترنتی اینترنتی دانمارکی (telenor) ممکن است بالاترین رتبه را داشته باشد.

با این حال به نظر می رسد که کسی این کار را انجام داده است … با استفاده از آدرس IP من به WIFI من را هک کرده و فیلم های متعددی، برنامه های تلویزیونی را دانلود کرده ام و فعالیت های دیگر در طول یک دوره 2 ساله بدون دانش من. این توسط تأمین کننده اینترنت تایید شده است.

من اکنون توسط یک شرکت حقوقی ادعا می شود. و نیاز به مقابله با این در دادگاه … در کوتاه مدت.

من باید بدانید که اگر ممکن است، برای اولین بار. چطور و همه چیز وجود دارد – چیزی که در همه چیز وجود دارد – شما می توانید به عنوان مدرک معتبر ارائه کنید که می توانم به دادگاه ارائه کنم؟

من نیاز به هر چیزی – هرچه و همه اطلاعات – که حداقل می تواند شکای معقول را فراهم کند. من احساس می کنم که من در حال راه آهن در اینجا هستم

من به کمک نیاز دارم و به سرعت نیاز دارم، ترجیح می دهم به اصطلاح ساده و ساده، به عنوان من یک تکنو دهقانان و انتظار یک قاضی خواهد بود بیش از حد

بسیار متشکرم در پیشبرد – و قدردانی صمیمانه من برای کمک به شما که می توانید ارائه دهید!

دانلود کرد؟
” alt=”

گذرواژهها - آیا میتوان به فای امن دسترسی پیدا کرد و با تورنت کمی از آدرس IP من دانلود کرد؟

">
نوشته‌شده در

آسیب پذیری – چرا نسخه 6.7 از magick تصویر می تواند قابل بهره برداری باشد، حتی نسخه آسیب پذیر است؟

من یک نسخه آسیب پذیر از تصویر Magick یعنی 6.7 نصب کرده ام و بر اساس این CVE-2016-3714 این نسخه آسیب پذیر است.

مشکل

در زیر کد فایل من برای test.png 

 push graphic-context

دیدگاه 0 640 480

URL را پر کنید (https://127.0.0.1/oops.jpg "&& mkdir" / hacked)

گرافیک پاپ پاپ

همانطور که من پنجره 10 کاربر هستم

اکنون وقتی که آن را از طریق ترمینال مانند این اجرا کنم، تبدیل test.png test2.jpg آنچه که در خطا مشاهده کردم 

 تبدیل است. exe: color unrecognized https://127.0.0.1/oops.jpg "&& mkdir" / hacked '@ warning / color.c / GetColorCompliance / 947.
convert.exe: نماینده رمزگشایی برای این فرمت تصویر `//127.0.0.1/oops.jpg '&& mkdir  / hacked' @ error / create.c / ReadImage / 532.
convert.exe: تعریف ابتدایی ترسیم غیرمجاز `fill '@ error / draw.c / DrawImage / 3146.

حالا من واقعا هیچ مشکلی در مورد مشکل ندارم، همه می دانم این است که من قطعا یک نسخه آسیب پذیر است، اما من نمی توانم از آن بهره برداری کنم.

هر گونه پاسخ را خواهد داد.

با تشکر

نوشته‌شده در

شبکه – NetSpectre چیست؟

یک حمله جدید در یک سند با عنوان NetSpectre منتشر شد: خواندن حافظه خودسرانه در شبکه (هشدار PDF). من چند نکته غیر فنی در رابطه با این واقعیت که این حمله بسیار آهسته است دیده ام:

بزرگترین [downside] سرعت عصبانیت بسیار کم حمله است که 15 بیت / ساعت برای حملات انجام شده از طریق اتصال به شبکه و هدف قرار دادن داده ها ذخیره شده در حافظه پنهان CPU

دانش آموزان به سرعت بالاتر فرایند انفیلتراسیون – تا 60 بیت / ساعت – با تغییرات از NetSpectre که داده ها پردازش شده از طریق یک ماژول AVX2 CPU پردازنده خاص به پردازنده های اینتل به دست آورد.

Computer Bleeping

به نظر میرسد با استفاده از یک نقص مشابه Spectre اصلی:

Dubbed "NetSpectre"، حمله جدید جانبی راه دور از راه دور، که مربوط به Spectre1 است، به نقض اعدام احتمالی برای انجام محدوده ها چک کردن بایت و می تواند مورد استفاده قرار گیرد برای شکست تصادفی طرح بندی آدرس فضایی در سیستم از راه دور.

The Hacker News

این چیست و چگونه کار می کند؟

نوشته‌شده در

اینترنت نمی تواند اعتماد شود – Beamsplitters، Backdoors، و وعده های شکسته


همه ما می دانیم که اینترنت یک مکان امن و پایدار نیست. با دستاوردهای فوق العاده در به اشتراک گذاری اطلاعات و راحتی که اینترنت به ارمغان می آورد، فرصت هایی برای بهره برداری فراهم می شود. تقلب، آزار و اذیت، نظارت، سانسور، دستکاری اجتماعی و سیاسی، جاسوسی صنعتی و سیاسی، سرقت اطلاعات و تبعیض در یکی از بزرگترین ابزارهایی که تا کنون بوسیله انسان ساخته شده است، نگه داشته شده است.

طراحی و چالش های پیش رو که مهندسان سراسر جهان باید تصور کنند راه خود را از دست می دهند. من به شدت بر تجهیزات شبکه تمرکز می کنم، اما این مشکل به مراتب فراتر از این افق است. رایانه های شخصی، دستگاه های موبایل، سیستم های صنعتی، ابر و پایگاه های داده در سراسر جهان با مسائل جدی مواجه هستند که فراتر از محدوده این نوشتار است.

تاریخچه کمی:

با توجه به رشد اینترنت در دهه های 80 و 90، برخی از شرکت ها به عنوان رهبران بازار در حوزه های خاص خود به سمت بالا رفته اند. سیستم های سیسکو پادشاه شبکه هستند، اگرچه رهبری آنها در شبکه های بی سیم، سوئیچینگ، مسیریابی و فایروال در طول زمان کاهش می یابد. Juniper، Arista، Huawei و تعدادی دیگر از رقبای کوچک و متوسط ​​به افزایش تسلط سیسکو بر عملکرد اصلی اینترنت کمک کرده است.

من در اینجا درباره سیسکو صحبت خواهم کرد زیرا آنها رهبران بازار هستند. این مسئله به هر یک از رقبای خود نیز بستگی دارد.

موقعیت سیسکو در بحث رمزگذاری:

سیسکو قابلیت های نظارت را مستقیما به سخت افزار آن، که آن را "Intercept قانونی" می نامد، طراحی می کند. ایده این است که یک شرکت با استفاده از تجهیزات سیسکو می تواند دسترسی به اجرای قانون را به انجام تحقیقات، احتمالا با برخی از فرایندهای قانونی و یک حکم دادگاه. در اینجا برخی از اسناد در مورد چگونگی راه اندازی Intercept قانونی در تجهیزات سیسکو شما ارائه شده است. اطلاعات بیشتر

و برخی از اطلاعات در مورد آنچه که Intercept حقوقی در واقع انجام می دهد:

شما متوجه خواهید شد که زبان در مستندات بارها و بارها با مشکل مواجه است. مصادره قانونی در نظر گرفته شده است که توسط اعضای قانون یا مقامات دولتی که دارای پایه قانونی برای انجام نظارت هستند استفاده شود. همانطور که با همه چیز در دنیای رایانه، ساختن مفروضات درباره اینکه چگونه کاربران به سیستم شما دسترسی پیدا می کنند، منجر به مشکالت می شود.

مشکل شماره 1: دسترسی محدود به هیچ شیوه ای معقول نیست

هر کسی که دسترسی داشته باشد می داند که چگونه راه حل قانونی می تواند مردم را در شبکه خود نگه دارد. هیچ کنترل، سیستم گواهی یا سایر محدودیت ها برای جلوگیری از دسترسی وجود ندارد.

مشکل 2: بیش از 150 خطای امنیتی که می توانند به هکرها دسترسی داشته باشند

در اینجا لیستی از مشکلات امنیتی برای IOS سیسکو است. نادیده گرفتن DoS به دلیل آنکه در واقع به کسی دسترسی ندارد، لیستی طولانی از مسائل جدی وجود دارد که شامل جواهرات مانند:

کاربران از راه دور می توانند با استفاده از نام کاربری و رمز عبور سخت افزاری به روتر با قدرت کامل مدیر وارد شوند. [19659002] کاربران از راه دور می توانند به روتر با دسترسی محدود با نام کاربری و رمز عبور سخت افزاری وارد شوند، اما پس از آن می تواند دسترسی به قدرت کامل مدیر را افزایش دهد.

کاربران از راه دور می توانند تمام ترافیک را از طریق SNMP گوش فرا دهند (توجه داشته باشید: SNMP چیزی است که مورد استفاده قرار می گیرد برای ارتباط همه اطلاعات مربوط به حقوقی قانونی)

در کل، 5 نکته مهم کنترل کامل در IOS سیسکو فقط در نیمه اول سال 2018 وجود دارد.

این چیزی است که اضافه می کند این است که آژانس های مخفی روز به روز دنده ای که اینترنت را قدرتمند می کند. شما همچنین مشکلی جدی با سایر مارک های اصلی تجهیزات شبکه خواهید داشت.

این مشکلات را چگونه مورد سوء استفاده قرار می گیرید؟

این بستگی به این دارد که مهاجم شما چه می خواهد. NSA (و احتمالا دیگران) به ترافیک BGP دست زده اند تا اطلاعات را دستکاری و دستکاری کنند. همچنین ایمن است که فرض کنیم که با این نوع معایب جدی در اختیار آنها قرار بگیرد، میتواند هر طرف دیگری را که میخواهند کنترل کند. ما همچنین می دانیم که NSA ذخیره ابرداده اهداف برای نظارت بر فعالیت های خود را ذخیره می کند و حتی داده های رمزگذاری شده را از وب سایت های https و سرویس های رمزگذاری شده به پایان رسانده با امید به وجود آمدن تکنولوژی برای شکستن رمزگذاری در یک بعد از آن

چی می توانیم انجام دهیم؟

این یک مسیر طولانی و بی روح است. سیستم عامل های روتر باید منبع باز باشند. این تنها راه است که شما می توانید بررسی مجدد کد را فعال کنید و اجازه دهید عمومی (و مشتریان شرکت) تأیید کند که نرم افزاری که تجهیزات خود را ایمن نگه می دارد و کاربر ناقص نمی تواند با دستگاه خود وارد شود [19459002[user:cisco
pass:

… و دسترسی مدیر به سیستم های اصلی شبکه خود را دریافت می کنند.

نور ارائه شده توسط نرم افزار باز کردن نرم افزار بلافاصله امکان از این نوع معایب را از بروز رسانی حذف می کند. این به اطمینان جهان اطمینان می دهد که این سیستم ها قابل اعتماد هستند.

حتی اگر ما مجبور به انتقال به رایانه های شخصی برای ارائه خدمات شبکه ای مانند تجهیزات سیسکو و جنرال موتورز باشیم، این رایانه های شخصی بر روی سیستم عامل بسته باقی می ماند که قابل اعتماد نیست. اینتل موتور مدیریت و پردازنده پردازشگر پلتفرم AMD هر دو جعبه سیاه با بالاترین سطح دسترسی امنیتی به یک کامپیوتر است و توانایی برقراری ارتباط در شبکه های بدون سیستم عامل حتی بر روی کامپیوتر نصب شده است. در مورد اینتل مدیریت موتور، حتی می تواند کار کند در حالی که کامپیوتر خاموش شده است اگر آن را وصل است. تحقیقات گسترده ای را که آیا آیا اینتل ME می تواند به طور کامل برداشته شده است، اما تا کنون ما تنها می توانید آن را غیر فعال کنید.

تا روزی می رسد که ما می توانیم یکبار دیگر به کامپیوترها و شبکه هایمان اعتماد کنیم، ما باید رمزگذاری رمزگذاری را رمزگذاری کنیم. استفاده از ارائه دهنده مجاز معتبر VPN صفحات وب که https نیستند را مشاهده نکنید (اجازه دهید رمزگذاری این کار را آسان کرده باشد و دیگر هیچ اتهام دیگری وجود ندارد). پیام ها و ایمیل هایتان را رمزگذاری کنید و به تجهیزاتی که بین شما و شخصی که با آن ارتباط برقرار می کنید اعتماد نکنید.

درباره Derek Zimmer

Derek رمزگشایی، متخصص امنیت و فعال در حریم خصوصی است. او دارای دوازده سال تجربه امنیتی و شش سال تجربه در طراحی و اجرای سیستم های حریم خصوصی است. وی تأسیس صندوق بهبود فناوری متن باز (OSTIF) را به منظور ایجاد و بهبود راه حل های امنیتی منبع باز از طریق حسابرسی، رفع مشکلات و جمع آوری و مدیریت منابع تأسیس کرد.

VPN Service "title =" VPN Service "/>    </div> <p><a href=