نوشته‌شده در

تجزیه و تحلیل خطر – نمره ضربه و نمره بهره وری CVSS3.0

من برخی از مشکلات در محاسبه نمرات CVSS v3.0 در برخی از یافته های من مواجه شده است.

به طور خاص، یک یافته ساده افشای اطلاعات سرور از طریق صفحات خطا به طور پیش فرض است. این بسیار شبیه به موارد زیر است: https://nvd.nist.gov/vuln/detail/CVE-2017-4013

با استفاده از ماشین حساب CVSS v3.0، من نیز به همان همان CVSS بردار (AV : N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N) و امتیاز (5.3، متوسط)

به طور مستقیم این یافته نباید باشد یک رسانه از زمانیکه مهاجمان واقعا نمی توانند با افشای بنر کار کنند. من فکر می کنم این باید کم یا حتی اطلاعاتی باشد. IMHO، ماشین حساب CVSS v3.0 به اندازه کافی جزئیات در اجزای تاثیر C / I / A ارائه نمی دهد به درستی برای این حساب.

با این حال، من در لینک بالا متوجه شده است که همچنین یک نمره ضربه و "بهره برداری از نمره "، که در هر دو مورد مناسب هستند. هیچ اشاره ای به این نکته وجود ندارد که چگونه این ها در لینک و یا ماشین حساب CVSS در first.org استخراج می شوند. جستجوی سریع گوگل هیچ کاری هم نمی کند.

می توانم بدانم که چگونه این محاسبه می شود و آیا می توان آنها را برای تغییر رتبه بندی ریسک مورد استفاده قرار داد؟

نوشته‌شده در

سیستم عامل – خطر آلوده شدن به میزبان OS اگر OS مهمان از تاریخ است

من می خواهم بدانم چقدر خطر تغییر می کند اگر من نرمافزار را در سیستم عامل مهمان در VM (برنامه ها و سیستم عامل مهمان خود) به روزرسانی نکنم، در مقایسه با ریسک، تا به امروز

من این سوال را میپرسم زیرا متوجه شدم که این می تواند درد را برای نگه داشتن نرم افزار در VM تا به امروز، به ویژه هنگامی که شما چند VM، و یا زمانی که شما فقط می خواهید به استفاده از یکبار مصرف نمونه ها یا زمانی که شما نمی خواهید شبکه در VM در دسترس باشد یا زمانی که به تکیه بر عکس های فوری (که پس از آن بزرگتر خواهد شد و بنابراین از تاریخ). من می دانم که حفظ آن تا به امروز احتمالا خطر را افزایش می دهد، اما من نمی دانم چه مقدار، و برای همه من می دانم که تفاوت ممکن است حتی ناچیز باشد. این احتمالا احتمالا فرار از یک VM را با بهره برداری از یک آسیب پذیری در VM خود بدون وابستگی به آسیب پذیری های دیگر در سیستم مهمان بستگی دارد، در مقایسه با احتمال اینکه یک آسیب پذیری در سیستم مهمان برای فرار از VM مورد نیاز است . بنابراین ممکن است فقط کسی با تجربه کافی در مورد آسیب پذیری های VM بتواند احتمال احتمال این خطر را ارزیابی کند.

نوشته‌شده در

امنیت فیزیکی: آیا خطر دسترسی فیزیکی FOB کلون وجود دارد؟

من در ارتفاع زیاد زندگی می کنم که در آن ما دستگاه های کوچک FOB را صادر می کنیم که دسترسی به لابی ساختمان را می دهد و محدودیت هایی را که می توانیم با آسانسور به آن دسترسی پیدا کنیم.

این دستگاه ها شکننده هستند، تا حدودی گران هستند و جایگزین کردن و انجام دادن این کارها شامل گرفتن پرونده ها از طریق مدیر ساختمان است.

آنها به نظر نمی آیند، اما فقط به این دلیل متفاوت هستند شرکت ها آنها را می سازند – هیچ علامتی مشخص نیست که ساختمان FOB برای آن طراحی شده است.

اخیرا، من تبلیغاتی را ارائه کرده ام که آنها را به قیمت بسیار بهتر می توان آنها را کلون کرد.

برخی از مفروضات کار من (به راحتی برای اصلاح):

  • این FOBs یک سیگنال شناسایی / کد منحصر به فرد را منتشر می کند که سیستم امنیتی ساختمان در پایگاه داده اش نگاه می کند و سپس می گوید: "بله، FOB XYZ شناخته شده است و می تواند به آن دسترسی پیدا کند مانند و غیره "

  • حقوق دسترسی کد مشخص شده را می توان در سیستم ساختمان لغو کرد و کد FOB را می توان تغییر داد.

  • فردی که سرویس را انجام می دهد، کد FOB موجود خود را خوانده و آن را به یک FOB جدید اعمال می کند، که اساسا با 2 دستگاه با همان کد پایان می یابد.

آیا احتمال وجود دارد که آنها را به صورت کلونینگ خطر بزنند، شخص انجام کار که در آن من در واقع زندگی می کنند؟ آیا این شخص می تواند آدرس خود را به آن تعلق داشته باشد، شاید توسط آنها از جمله شناسه ساختمان در کد خود؟

در مقابل، آیا خطر وجود دارد که سیستم ساختمان قادر به شناسایی این است که یک دستگاه کلون شده است؟

خطر من شخصی من در این نسبت باقی می ماند کم کم، آپارتمان من هنوز از قفل نرمال استفاده می کند، اما من نگران دسترسی غیر مجاز به ساختمان هستم.

اساسا، با توجه به سعی و کوشش در مورد من، فقط من با قفل ساز برخورد می شود. با این حال قفل ساز تنظیم شده است که در آن من زندگی می کنند

نوشته‌شده در

TLS – آیا پسوند مرورگر یک خطر امنیتی بحرانی نیست؟

اخیرا تبلیغاتی زیادی به خطرات امنیتی عجیب و غریب مانند Spectre and Meltdown داده شده است که واکنش فوری واکنشهای پولوف از مایکروسافت، موزیلا و غیره است. اما اخیرا من متوجه شدم که واقعیت کنجکاو (به طور کلی شناخته شده) پسوند حزب برای دسترسی به همه چیز را در صفحاتی که به آنها دسترسی می کنید، از جمله داده هایی که در فرم های وب خود قرار می دهید، برای دسترسی به نیاز دارید.

با ذکر نام موزیلا:

"به ویژه یک مجوز وجود دارد" داده های خود را برای تمام وب سایت ها به دست آورید "، که از زمانی که این ویژگی راه اندازی شده است، بسیاری از سوالات را در مورد آن دریافت کردیم. دلیل آن این است که این کلمه به این دلیل است که یک صفحه وب می تواند تقریبا هر چیزی را داشته باشد و برخی از برنامه های افزودنی باید همه چیز را در آن بخوانند تا اقدام بر اساس آنچه که در صفحه وجود دارد، انجام دهید.
برای مثال، یک بلوک کننده آگهی نیاز به خواندن تمام محتوای صفحه وب برای شناسایی و حذف کد تبلیغاتی دارد. یک مدیر رمز عبور نیاز به شناسایی و نوشتن در فیلدهای نام کاربری و رمز عبور دارد. یک افزونه خرید ممکن است نیاز به خواندن جزئیات محصولات مورد جستجو را داشته باشد.
از آنجایی که این نوع extension ها نمی دانند که آیا یک صفحه وب خاص حاوی بیت است، تا زمانی که بارگذاری شود، باید تغییر کند، و نه فایرفاکس، به همه چیز در یک صفحه نیاز دارد تا بتواند قسمت های مناسب را جستجو و تغییر دهد. این بدان معنی است که در حقیقت، در حالی که نادر، یک توسعه دهنده مخرب می تواند به شما بگوید که توسعه دادن آن یک چیز است، در حالی که در واقع کاری دیگر انجام می دهد. »

اما این شامل حذف تمام رمزهای عبور شما، شماره کارت اعتباری و غیره می باشد. 19659002] این به نظر می رسد که فقط "خطر امنیتی" نیست، بلکه "خطر امنیت" است. این دیوانه است: رمزنگاری، به نظر من، اکنون چیزی نیست و کاربر، با برچسب سبز "Secure" در نوار URL مطمئن شده است. با خوشحالی شماره کارت اعتباری خود را وارد می کند تا بلافاصله به سرور دلخواهی ارسال شود که در ذهن او نیست ..

سوال من این است که چرا به نظر می رسد نسبتا کمی توجه به آنچه به نظر می رسد یک خطر امنیتی عظیم است؟ به عنوان مثال، انتظار دارم که به محض این که هر گونه پسوردهای مرورگر شخص ثالث با مجوز مشاهده «تمام اطلاعات خود» ، برچسب سبز «امن» برای سایتهای HTTPS با چیز دیگری جایگزین شود.

و نباید فرمت های مرورگر شخص ثالث را در آن ممنوع شود هر سازمانی که اطلاعات شخصی حساس را بررسی می کند؟

نوشته‌شده در

قیمت Bitcoin: خطر واژگونی محو به عنوان بازار Stabilizes نزدیک $7.000

بخش cryptocurrency دریای سرخ روز پنجشنبه با تمام رشته های ورزشی است بدون بار دیروز ادامه شیب است. رهبران تظاهرات اخیر تحت فشار، حدود 10 درصد نسبت به اوج نوسان از دست دادن بودند. Bitcoin پشت تحت $7000 هم کردم اما در حال حاضر، با ارزش ترین سکه و altcoins بزرگ همه بالا سطح حمایت اولیه برگزاری.

هفته پیش Ethereum و Litecoin نیز به دنبال بازار گسترده تر پایین تر و همچنان این هفته حرکت شبیه حرکت جریان به که روند کاهش گسترده تر دست نخورده باقی می ماند بنابراین معامله گران باید محتاط، به باقی می ماند. حتی به ما مدل روند فلش قرمز با توجه چشم انداز بلند مدت که با وجود قلاب چند سکه هنوز در سیگنال فروش هستند که چشم انداز کوتاه مدت در مخلوط هنوز هم گفت:.

BTC/دلار 4 ساعته نمودار تجزیه و تحلیل

Bitcoin افتاد پایین به عنوان $6800 در طول روز گذشته قلاب، اما در حال حاضر، سکه سطح 7000 دلار دوباره تست، و روند کوتاه مدت افزایش هنوز دست نخورده است. BTC است در سیگنال خرید کوتاه مدت با وجود شیب، اما سطوح مختلف قوی مقاومت پیش رو دارد و تصویر دراز مدت هنوز هم تنها خنثی است.

معامله گران می تواند موقعیت کوتاه مدت در اینجا جدید را وارد کنید، اما توجه به محیط زیست بی تربیت در بخش، خطرات بالا باقی می ماند. کلید پشتیبانی نزدیک 6750 دلار در بر داشت، در حالی که مقاومت پیش بین 7200 $ و $7300 و بین 7650 $ و $7800 با بیشتر که 6500 دلار و دلار 6275, سطح.

ETH/دلار 4 ساعته نمودار تجزیه و تحلیل

Ethereum منطقه $275-280 $ آزمایش در طول selloff و اگر چه آن به بالا قیمت کلیدی مدیریت, آن باقی مانده است laggard مهم ترین بخش. سکه به وضوح در روند گسترده تر با خط روند غالب بودن پدر بالاتر از سطح قیمت فعلی رو به کاهش است. کوتاه مدت باقی مانده سیگنال دست نخورده فروش و چشم انداز دراز مدت هنوز نزولی نیز است. پشتیبانی قوی نزدیک اخیر نوسان 260 دلار کم، با مقاومت پیش رو که $300, $335، یافت می شود و نزدیک به $360.

Altcoins نمایش امیدوار کننده نشانه

XMR/USDT، 4 ساعته نمودار تجزیه و تحلیل

در توجه مثبت رهبران تجمع همچنان قدرت میان شیب و Monero در حال حاضر اینجا نشان می دهد تجمع جدید بالا، در حالی که داش EOS و یوتا همچنین سرعت بازیابی هستند . که downtrends گسترده تر هم امروز حتی در صورت قوی ترین altcoins هستند و معامله گران فقط باید موقعیت های کوتاه مدت را در اینجا وارد کنید گفت:. در حالی که حمایت کلیدی در 100 $ و $80 یافت می شود XMR مقاومت آن 108 $ $120 و 125 $، مواجه است.

XRP/USDT، 4 ساعته نمودار تجزیه و تحلیل

موج دار شدن همچنان به تجارت بین 0.32 دلار و سطوح 0.35 $ به عنوان آن هنوز موفق به حفظ حرکت صعودی. سکه نسبتا ضعیف از دیدگاه کوتاه مدت است و در حالی که مدل روند ما در کوتاه مدت سیگنال خرید، موقعیت های جدید به خصوص با توجه به روند نزولی بلند مدت غالب خطرناک هستند. سطوح حمایت بیشتر یافت می شوند در حالی که $0.3130 $0.30 و $0.26، که کوتاه مدت مقاومت که 0.38 جلوتر است.

تصویر برجسته از Shutterstock

سلب مسئولیت: تحلیلگر صاحب cryptocurrencies. او دارای سرمایه گذاری در سکه ها موقعیت اما در کوتاه مدت و یا معامله در روز درگیر می کند و او را نگه ندارد موقعیت های کوتاه مدت را در هر یک از سکه ها.

فیلترشکن پرسرعت