玩轉資安*Gunicorn

玩轉資安*Gunicorn 喬立成資安提供「專業的」資安顧問服務
、資安檢測、滲透測試、紅隊演練、資安教育訓練、SSDLC 安全軟體開發規劃...

「別人也是做檢測,你也是做檢測,那有什麼不一樣」

是我們從業以來最常被詢問的問題。

就像是每個人做菜用一樣的食材一樣的調味,為什麼總是有的特別好吃

因為除了工具之外,我們添加了

- 經驗_每一天的實力累積,研究最新弱點情資
- 專業_對於流程的規劃、工具的熟悉掌握、淺顯易懂的弱點說明與企業影響評估
- 用心_投入全團隊的心力瞭解客戶的需求與深切盼望
- 團隊_資訊安全從來不是憑藉一己之力,情資的搜集、弱點的修補、對外的防護至於重要資產的保護...即使是客戶,也是我們團隊的一員!

在安全和平的世界中,防護不是首要考量
現如今侵略者從四面八方而來,唯有堅強自身才能守護心目中珍視且重要的東西

14/07/2023

NEWS!新消息!Zeroday:CVE-2023-36884
發布日期:20230711 嚴重性:Critical

這兩天最大的弱點就是 微軟(Microsoft)的 CVE-2023-36884 了,截至目前為止尚未有任何更新可以修補。
而這個漏洞成功的很大的前提,使用者*必須*打開客製的惡意文件,

目前 微軟已有觀察到網路上使用特製的 Microsoft Office 檔案在積極利用此漏洞。

*像是駭客組織Storm-0978 濫用 CVE-2023-36884 發起的網路釣魚活動,目標是歐洲和北美的國防和政府實體。其中包括在通過 Word 文件向 Microsoft 披露之前利用與烏克蘭世界大會相關的誘餌的遠端程式執行漏洞。

微軟釋出更新前,可依靠各家 EDR 對應的規則和建議暫時緩解
那沒有 EDR 的單位該如何行動呢⁉️

微軟目前建議
No1. 阻止 Office 應用程序創建子進程或設置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION註冊表項以避免被利用。
(可以參閱MS的安全更新頁面)

No2. 使用阻止所有 Office 應用程序創建子進程攻擊面減少規則可防止漏洞被利用

重新強調‼這個漏洞成功的很大的前提,使用者*必須*打開客製的惡意文件,
所以,還是老話一句,安全的漏洞永遠是人排第一。
社交工程還是要用心演練~


・瞭解 CVE-2023-36884 & No1. MS的安全更新頁面
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
・Storm-0978 的攻擊利用
https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
・No2. 阻止所有 Office 應用程序創建子進程攻擊面減少規則
https://learn.microsoft.com/zh-tw/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide -all-office-applications-from-creating-child-processes

#微軟弱點
#社交工程
#資訊安全 #喬立成資安 #資安顧問

📣📣注意‼️新的OWASP API Top 10 2023 公佈了📣📣上個版本發佈大約是4年前在 API 隨處可見的現在,API 安全在這幾年越來越被重視。讓我們看看 2023 與 2019 有什麼差異呢🤓🤓2023的API Top 10 ...
29/06/2023

📣📣注意‼️新的OWASP API Top 10 2023 公佈了📣📣
上個版本發佈大約是4年前
在 API 隨處可見的現在,API 安全在這幾年越來越被重視。

讓我們看看 2023 與 2019 有什麼差異呢🤓🤓

2023的API Top 10 新進榜3筆,重新定義4筆。
🆕 API6:2023 - Unrestricted Access to Sensitive Business Flows(不受限存取敏感商務流程)
🆕 API7:2023 - Server Side Request Forgery(SSRF) (伺服器端請求偽造)
🆕 API10:2023 - Unsafe Consumption of APIs (API的不安全使用)

🔄 API2:2023 - Broken Authentication (無效身分認證)
🔄 API3:2023 - Broken Object Property Level Authorization (物件屬性級別授權失效)
🔄 API4:2023 - Unrestricted Resource Consumption (不受限的資源消耗)
🔄 API9:2023 - Improper Inventory Management (庫存管理不當)

對於 API 的資源使用、相關授權與驗證仍然是佔大宗。
比較特別的是在新進榜的 A7 Server Side Request Forgery 這項同樣存在 OWASP Top 10:2021中,排名A10。

透過這幾次的 OWASP 更新可以看到 SSRF 越來越被重視,畢竟 SSRF 對於內部資源的攻擊,可能導致嚴重的安全和商業風險。
期待之後再重點討論一下 SSRF 的安全防禦🤔🤔


・OWASP Top 10 API Security Risks – 2023:
https://owasp.org/API-Security/editions/2023/en/0x11-t10/
・INDUSFACE
https://www.indusface.com/blog/whats-new-in-owasp-api-top-10-2023/


#資訊安全 #喬立成資安 #資安顧問

你有在寫程式嗎?你知道第三方套件(Open Source)嗎?你有在用第三方套件(Open Source)嗎?第三方套件用愈多,軟體開發是不是愈輕鬆但,如此方便,是方便了開發者還是駭客?最近 Checkmarx 的研究員們,發現了有組織的軟...
13/10/2022

你有在寫程式嗎?
你知道第三方套件(Open Source)嗎?
你有在用第三方套件(Open Source)嗎?

第三方套件用愈多,軟體開發是不是愈輕鬆
但,如此方便,是方便了開發者還是駭客?

最近 Checkmarx 的研究員們,發現了有組織的軟體供應鏈攻擊。
這個攻擊組織撰寫了一系列開源軟體,組成“LofyGang”的攻擊組合。
利用 Github 等平台散佈,目標是竊取信用卡資訊、串流平台的帳號等等。

攻擊鏈觸角不斷延伸、攻擊產業化與組織化越趨完整,
我們在開發過程中,只專注自身開發程式的安全,早已不足夠。
單打獨鬥的鎖國政策要如何抵抗強敵環伺的聯軍大隊?
程式碼的世界是不是正在模仿木馬屠城?

你說,要如何進行安全程式撰寫(你已經在做了嗎)
A. 安全程式教育訓練
B. 定期的程式碼安全檢測

其實還有在開發過程管理上的制度規劃!
我們建議:

1.制定安全程式的撰寫規範
2.將主要的核心元件或是通用元件重新規劃檢視
3.將 Security by design / Security by default 的觀念導入
4.建立檢視的安全設定/設計清單
5.全面盤點目前使用的第三方套件清單,並定期持續執行
6.建立軟體清單(SBOM)
7.建立公司自己的 SSDLC
8.導入 OpenChain 合規

我們的建議或許很繁雜,不容易執行,
但沒有紮實的根基,只會有到處破洞的產品。
重視軟體安全的你,需要耐心來一步步實踐的。

希望了解更多?歡迎與我們聯絡 😄😄



・開源碼合規標準 OpenChain ISO/IEC 5230:https://www.openchainproject.org/

・已知的惡意攻擊開源攻擊套件(約200個) by 研究員Jossef Harush的Github:https://gist.github.com/jossef/aaa9e45c062d973f18bd87c43b9c4fc7

・LofyGang 追蹤網站 by Checkmarx:https://lofygang.info/

《新唐書·魏徵傳》:「以銅為鑒,可正衣寇;以古為鑒,可知興替;以人為鑒,可明得失。」

#OpenChain
#SSDLC
#SBOM
#LofyGang
#Opensource

#資訊安全 #開源碼 #第三方套件 #程式碼 #惡意程式 #惡意攻擊
#喬立成資安 #資安顧問

As part of this we maintain OpenChain ISO/IEC 5230, the International Standard for open source license compliance. This is a simple, effective standard suitable for companies of all sizes in all markets. It is developed openly by a vibrant user community and freely available to all. It is supported....

中秋人團圓😊大家一同賞月圓🎑 一起烤肉 一起玩喬立成祝福 大家中秋佳節快樂 #喬立成資安    #中秋節快樂 #中秋不要有駭客
10/09/2022

中秋人團圓😊
大家一同賞月圓🎑 一起烤肉 一起玩
喬立成祝福 大家中秋佳節快樂

#喬立成資安
#中秋節快樂
#中秋不要有駭客

01/08/2022

今天開闢一個新的觀念申論題
「當網站像是免洗筷,是否還需要在乎他的安全?」

15/07/2022

今天來說說資安檢測執行時間的重要性
大家是不是會認為報告上所顯示的時間就是一個「日期」
對,他就是一個日期(==尬聊)

但他其實是一個「重要的」日期
也是平常不被注意的微小細節
弱點的發現與釋出是一個動態改變的情況
在時間的過渡與資安研究人員挖掘下,新弱點隨時會被發現
Q1 沒有發現的弱點
Q2 可能就會有手法可以測試
這也是 資安檢測時時在進行的原因

那,報告上的時間可以被證明嗎?
其實是可以的
從資安設備上、防火牆連線紀錄都可以知道報告上所標註的日期
是不是「真的」有實際執行
連線紀錄無法造假
就跟情侶報備一樣,有沒有發生 查紀錄就知道
當下沒有說,想補救也沒有辦法

那,日期對不上被發現了會有影響嗎?
因為一個日期不對,即使整份報告都是真實的也不被相信嗎?
當然,當日期不可信的時候 要如何證明其他發現是真實的呢
進而會延伸到這個開發廠商不老實
找的資安廠商也不老實

我們做安全生意,更是相信誠信與商譽很重要
因為合作就是一種信賴
如何對得起這份報告的真實目的,是為了真實的加強自我防護能力
不會因為一時的投機,造成企業的危機
你們知道嗎,全球每間機構每週平均遭受925次網路攻擊
網路攻擊可不是手工藝
皆是有自動指令沒日沒夜的進行探測然後再一舉成功
進而勒索與竊取機敏資料

雖然,我們也理解現實生活中種種的不得已
但還是希望我們都清楚明白的了解每個當下所做的決定
其中包含的風險與可能的危害
不輕視自己的決定會造成的影響,如此才能更游刃有餘的安排工作與避免風險

《今日重點》
1. 日期都是玩真的
2. 日期是可以被交叉驗證的
3. 弱點一直存在只是被發現的時間點不同
4. 明知道有日期限制請儘早安排
5. 全球每間機構每週平均遭受925次網路攻擊

#資訊安全 #網路攻擊 #弱點發覺 #時間管理大師 #愛惜羽毛 #注重誠信 #資安稽核

27/05/2022

【弱點驗證時時小心】
每每當新的弱點公佈,
資安研究人員往往是最忙碌的一群人

從閱讀相關弱點資訊、釐清弱點成因到驗證弱點,真是一點都不能少。

但,往往在驗證弱點的時候,容易踏入惡意陷阱😵‍💫。

弱點 POC 的攻擊驗證程式滿天飛,要補又要快又要確認不影響正常運作以及效能,
不只是資安研究人員,連一般IT/資安人員,都容易陷入攻擊目標。

由於工作的特性,越來越多的惡意攻擊,開始瞄準資安研究人員,

也讓資安研究人員,面臨前所未有的陷阱迴圈。

避免被上當
弱點正確修補步驟 123
1. 確保在隔離環境測試,並對隔離環境監控
2.釐清原始程式再使用(例如:是否為專業資安公司發表、來源是否可信..)
3.保持好奇心,不單單是對弱點好奇,對 POC 的驗證程式也要好奇
了解該程式的程式碼及運作方式。

謹慎能捕千秋蟬,小心駛得萬年船。


iThome News:駭客釋出惡意Windows概念性驗證攻擊程式,企圖感染資安社群
https://www.ithome.com.tw/news/151093?fbclid=IwAR0XmY5cGmIRTVzkgf-NVZ8VmsP87BwkMJC-4HkNmHWQ3rmpwdevN2UOmng

#資訊安全 #社交工程 #惡意程式 #愈補愈大洞 #資安研究人員 #弱點修補 #弱點驗證

每個人心中【公司】的樣子適逢 51 勞動節連假,是勞工的日子編編很幸運的在今年同時是勞工也是腦闆(就是校長兼撞鐘)想說來聊聊,我們公司的樣子分享三篇文章(應該不會侵權吧!) #1 謝絕B咖!Netflix不把員工當家人,只要成功的企業文化有...
29/04/2022

每個人心中【公司】的樣子

適逢 51 勞動節連假,是勞工的日子
編編很幸運的在今年同時是勞工也是腦闆(就是校長兼撞鐘)
想說來聊聊,我們公司的樣子

分享三篇文章(應該不會侵權吧!)

#1 謝絕B咖!Netflix不把員工當家人,只要成功的企業文化有多瘋狂?
https://www.bnext.com.tw/article/68294/silicon-valley-netflix-culture

#2 亞馬遜重務實、Google鼓勵嘗試!前員工曝:從「面試題」看出文化差異
https://www.bnext.com.tw/article/65421/the-interview-questiones-show-difference

#3 令人羨慕的新創公司福利大觀
https://www.bnext.com.tw/article/23361/BN-ARTICLE-23361

在公司的初創時期,制度與福利規劃都是需要思考並且建立的
在福利情報滿天飛的時代,這時候,就是天使與惡魔的戰爭
編編有位夥伴T,就是天使的代表(或許他心裡有個善人魂但編編覺得他更像盤子人)
夥伴T提出了很多福利,生日假、生理假、生病假、補班不補、WFH、情人節約會補助....
官人你看看,那員工什麼時候上班
又還要工時短短的、薪水高高的,是養員工還是養祖宗
編編:不行,太多了。大家是要來工作的
夥伴T:這樣還好吧...Gxx怎樣 Fxx 怎樣
編編:我們又不是 Gxx/Fxx

現在好了!出現了 Nxx
編編立馬把文章甩到夥伴T臉上
但其實,種種的討論與參考,只是想要走出「我們的」公司的樣子
福利與制度,其實就是信念的呈現
對我們來說
*專業是重要的
*努力是必須的
*人生五感:共情感、歸屬感、特別感、安心感、成就感
*人生比工作重要,命賣了 就沒了
*永遠都要知道自己在做什麼
*公司創造環境,快樂是自己的責任
*為什麼公司重要,因為工作時間就佔了人生的 1/3
*人生是一種選則,幸運也是
*公司的好,是對好人的好

雖然這麼說,但編編在福利與假期上還是有妥協的
但更是因為,夥伴是值得信賴的

順帶一說
夥伴T說遠距上班很好,沒有交通時間、自主管理、事情一樣做得好、不用面對面(完全理工人)
編編不喜歡遠距上班,雖然沒有交通時間真的是很棒!但生活變得很小。上班,不只是做事而已...還有茶水間的 Tea Time,、還有擦身而過的關心(是不是又胖了)、處在同一個環境的人氣與不同能量靠近產生的火花,特別是沒有打扮美美的動力!

勞動節快樂

#工作環境 #員工福利 #公司的樣子 #領薪水就是要工作 #我不要養祖宗 #勞動節 #勞工 #信念 #新創公司 #成長期 #還我漂漂拳 #數位時代文章 #文章轉發

【賭你千遍也不厭倦】密碼來,密碼去為什麼「ji32k7au4a83」這組密碼超級熱門?你知道全世界多少人用一樣的密碼?我都不記得密碼怎麼駭客記得!因為人腦有限電腦無限強密碼是真的安全還是感受安全想破頭的密碼如何一秒被破解或許該考慮的是如何能...
21/04/2022

【賭你千遍也不厭倦】
密碼來,密碼去
為什麼「ji32k7au4a83」這組密碼超級熱門?
你知道全世界多少人用一樣的密碼?
我都不記得密碼怎麼駭客記得!

因為人腦有限電腦無限
強密碼是真的安全還是感受安全
想破頭的密碼如何一秒被破解
或許該考慮的是如何能夠丟掉密碼丟掉煩惱
歡迎來到 無密碼登入時代


NordPass 專有密碼管理器統計出了 2021 大家常用密碼
*找找看你是不是榜上有名?
https://nordpass.com/most-common-passwords-list/
*想看看自己的密碼有多少人一起使用?
https://haveibeenpwned.com/Passwords

#資訊安全 #密碼 #無密碼登入 #多因認證
#我的密碼

Many people use the same weak passwords year after year. Check our 2021 list of top 200 most common passwords used around the world.

今夜晚安曲「左右為難」資安專家:因為Log4j2 漏洞,請升級到JDK 8u191以上版本客戶:馬上升級到JDK 9+資安專家:JDK 9+上的Spring core有RCE漏洞,建議降版JDK版本客戶:.....................
31/03/2022

今夜晚安曲「左右為難」
資安專家:因為Log4j2 漏洞,請升級到JDK 8u191以上版本
客戶:馬上升級到JDK 9+
資安專家:JDK 9+上的Spring core有RCE漏洞,建議降版JDK版本
客戶:...........................

資安專家們的青年節大禮(還是提早先過愚人節)
請專家們動動年輕的腦袋,想想如何建議客戶

詳細內容請看各大資安專家分享,他們好多人整夜沒睡~

相關漏洞資訊與建議處理方式,請參考
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html?fbclid=IwAR1AXLTuKBLH0h7xEYyQJbXKYpbqmwYHfne-FjlwGYnb6Qy-67gCWf0safM

漏洞的利用條件如下
* JDK 9 +
* Apache Tomcat as the Servlet container
* spring-webmvc or spring-webflux dependency
* Spring Framework versions 5.3.0 to 5.3.17, 5.2.0 to 5.2.19, and older versions
* Packaged as a traditional WAR (in contrast to a Spring Boot executable jar)

手上有 WAF 設備想要知道可以怎麼加強防護,歡迎聯繫我們!

#資訊安全
#愚人節 #左右為難 #小孩子才做選擇

Spring4Shell: Spring core RCE vulnerability

Address

Taipei

Alerts

Be the first to know and let us send you an email when 玩轉資安*Gunicorn posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Business

Send a message to 玩轉資安*Gunicorn:

Share