egor homakov(twitter: @homakov 個人**: egorhomakov.com)是乙個web安全的布道士,他這兩天把github給黑了,並給github報了5個安全方面的bug,他在他的這篇blog——《how i hacked github again》(牆)說明了這5個安全bug以及他把github黑掉的思路。egor的這篇文章講得比較簡單,很多地方一筆帶過,所以,我在這裡用我的語言給大家闡述一下黑掉github的思路以及原文中所提到的那5個bug。希望這篇文章能讓從事web開發的同學們警惕。關於web開發中的安全事項,大家可以看看這篇文章《web開發中的你需要了解的東西》
oauth簡介
首先,這個故事要從github oauth講起。所以,我們需要先知道什麼是oauth。所謂oauth就是說,第三方的應用可以通過你的授權而不用知道你的帳號密碼能夠訪問你在某**的你自己的資料或功能。像google, facebook, twitter等**都提供了oauth服務,提供oauth服務的**一般都有很多開放的api,第三方應用會呼叫這些api來開發他們的應用以讓使用者擁有更多的功能,但是,當使用者在使用這些第三方應用的時候,這些第三方的應用會來訪問使用者的帳戶內的功能和資料,所以,當第三應用要幹這些事的時候,我們不能讓第三方應用彈出乙個對話方塊來問使用者要他的帳號密碼,不然第三方的應用就把使用者的密碼給獲取了,所以,oauth協議會跳轉到乙個頁面,讓使用者授權給這個第三方應用以某些許可權,然後,這個許可權授權的記錄儲存在google/facebook/twitter上,並向第三方應用返回乙個授權token,於是第三方的應用通過這個token來操作某使用者帳號的功能和資料時,就暢通無阻了。下圖簡單地說明了twitter的oauth的授權過程。
不安全!黑客現在可以通過VSAT系統黑掉船隻
大型船隻和飛機通常配備有vsat系統,允許機組人員在航行期間傳送和接收資訊並訪問網際網路。事實證明,這些vsat系統中的一些是非常不安全的,並且可能允許攻擊者獲得訪問許可權並且中斷通訊。安全研究員x0rz發現,許多vsat系統可以從公共網際網路進入。這不僅意味著黑客可以通過諸如shodan這樣的服務...
安全專家手把手教你輕鬆黑掉多款智慧型手環
故事要從幾個月前開始。我買了一款很火的健身智慧型手環。因為它是一款可穿戴裝置,所以我就安裝了專為可穿戴裝置開發的android wear app。它輕鬆連線到了智慧型手環上。然而,一件奇怪的事情發生了 這個程式會連線到nike fuel band se,但是我的手環牌子不是這個啊!後來我想到我同事有...
阿里安全資深專家謝君 如何黑掉無人機
2017年11月18日,看雪安全開發者峰會在北京舉行。阿里安全資深專家謝君做了題為 如何黑掉無人機 的演講,並現場演示如何遠端劫持一台無人機,引發現場熱烈的掌聲。以下為謝君的現場演講內容。如何黑掉無人機 今天我分享的議題是如何黑掉某品牌的無人機。我在研究無人機的過程中從物理接觸和非物理接觸兩個方面對...