华硕路由器容易受到虚假更新和XSS的攻击(CVE-2020-15498和CVE-2020-15499)
最近,华硕修复了我在RT-AC1900P路由器固件更新功能中发现的两个问题。这些漏洞可能允许路由器和遍历该路由器的所有流量受到完全破坏。
发现1:更新接受伪造的服务器证书(CVE-2020-15498)
第一个漏洞是关于路由器使用的wget程序接受不受信任(伪造)的证书,以从ASUS服务器获取更新的。如果您碰巧拥有使用旧固件的ASUS RT-AC1900P,则可以通过SSH和grep通过文件系统登录以获取字符串:
--no-check-certificate
这将产生一些Shell脚本,这些脚本从ASUS更新服务器执行下载。恶意攻击者可能会利用这种缺乏证书检查的方式来强制安装恶意文件。尽管攻击者必须明智地与易受攻击的路由器相邻网络以执行中间攻击(MITM)中的任务,但成功的攻击可能会导致路由器的全面破坏,从而允许完全访问通过它的所有流量。最新的固件不再使用此wget选项,因此不再可能发生MITM攻击。
发现2:XSS(CVE-2020-15499)
华硕修复的第二个错误是Web管理界面中与固件更新有关的跨站点脚本(XSS)漏洞:发行说明页面在呈现给用户之前未正确转义页面的内容。这意味着,使用第一个MITM查找结果并将其与任意JavaScript代码执行链接起来,恶意攻击者就可以攻击合法管理员。该攻击的虚假发行说明页面的示例:
</textarea>
<script>alert(document.cookie);</script>
<textarea>
华硕在最新固件中对此进行了修复,因此发行说明页不再逐字呈现任意内容。
由于这样的路由器通常会定义整个网络的边界,因此针对它们的攻击可能会影响进出网络的所有流量。华硕在固件版本3.0.0.4.385_20253中修补了此问题,因此请尽快进行修补。
#网络安全 #漏洞 #路由器
信息安全技术频道🔎
@tg_InternetSecurity
最近,华硕修复了我在RT-AC1900P路由器固件更新功能中发现的两个问题。这些漏洞可能允许路由器和遍历该路由器的所有流量受到完全破坏。
发现1:更新接受伪造的服务器证书(CVE-2020-15498)
第一个漏洞是关于路由器使用的wget程序接受不受信任(伪造)的证书,以从ASUS服务器获取更新的。如果您碰巧拥有使用旧固件的ASUS RT-AC1900P,则可以通过SSH和grep通过文件系统登录以获取字符串:
--no-check-certificate
这将产生一些Shell脚本,这些脚本从ASUS更新服务器执行下载。恶意攻击者可能会利用这种缺乏证书检查的方式来强制安装恶意文件。尽管攻击者必须明智地与易受攻击的路由器相邻网络以执行中间攻击(MITM)中的任务,但成功的攻击可能会导致路由器的全面破坏,从而允许完全访问通过它的所有流量。最新的固件不再使用此wget选项,因此不再可能发生MITM攻击。
发现2:XSS(CVE-2020-15499)
华硕修复的第二个错误是Web管理界面中与固件更新有关的跨站点脚本(XSS)漏洞:发行说明页面在呈现给用户之前未正确转义页面的内容。这意味着,使用第一个MITM查找结果并将其与任意JavaScript代码执行链接起来,恶意攻击者就可以攻击合法管理员。该攻击的虚假发行说明页面的示例:
</textarea>
<script>alert(document.cookie);</script>
<textarea>
华硕在最新固件中对此进行了修复,因此发行说明页不再逐字呈现任意内容。
由于这样的路由器通常会定义整个网络的边界,因此针对它们的攻击可能会影响进出网络的所有流量。华硕在固件版本3.0.0.4.385_20253中修补了此问题,因此请尽快进行修补。
#网络安全 #漏洞 #路由器
信息安全技术频道🔎
@tg_InternetSecurity
ChromeGo.7z
53.2 MB
ChromeGo 2020年7月9日版
翻墙代理合集,内含13款Windows翻墙代理(Brook、clash、DAZE、Etgo、Golfway、Lantern、Nativeproxy、psiphon、SS、SSR、trojan-go、v2ray、v2rayB)。
更新公告:
⭐️新增翻墙通道,分别是clash翻墙、SS翻墙、Naiveproxy翻墙、Trojan-go翻墙和Etgo翻墙;
⭐️去掉不好用的翻墙通道,包括trojan、lightsocks、SSROT、xx-net。
注意,clash翻墙通道的服务器收集自互联网免费分享,不是本库直接提供!!!
#ChromeGo #代理 #翻墙 #Windows #中国禁闻网 #Brook #clash #DAZE #Etgo #Golfway #Lantern #Nativeproxy #trojan #v2ray #Shadowsocks #赛风
信息安全技术频道🔎
@tg_InternetSecurity
翻墙代理合集,内含13款Windows翻墙代理(Brook、clash、DAZE、Etgo、Golfway、Lantern、Nativeproxy、psiphon、SS、SSR、trojan-go、v2ray、v2rayB)。
更新公告:
⭐️新增翻墙通道,分别是clash翻墙、SS翻墙、Naiveproxy翻墙、Trojan-go翻墙和Etgo翻墙;
⭐️去掉不好用的翻墙通道,包括trojan、lightsocks、SSROT、xx-net。
注意,clash翻墙通道的服务器收集自互联网免费分享,不是本库直接提供!!!
#ChromeGo #代理 #翻墙 #Windows #中国禁闻网 #Brook #clash #DAZE #Etgo #Golfway #Lantern #Nativeproxy #trojan #v2ray #Shadowsocks #赛风
信息安全技术频道🔎
@tg_InternetSecurity
FirefoxFQ-master.zip
196.2 MB
Telegram 2.2版新功能
🎯Windows版客户端支持多账号登录
🎯上传文件最大支持2 GB
🎯编辑您的预定消息
🎯使用“自动夜间”模式使应用程序主题与系统的“黑暗模式”设置匹配
🎯添加了在Windows和Linux上切换到系统窗口框架的选项
有关此更新的更多信息:
https://telegram.org/blog/profile-videos-people-nearby-and-more
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
🎯Windows版客户端支持多账号登录
🎯上传文件最大支持2 GB
🎯编辑您的预定消息
🎯使用“自动夜间”模式使应用程序主题与系统的“黑暗模式”设置匹配
🎯添加了在Windows和Linux上切换到系统窗口框架的选项
有关此更新的更多信息:
https://telegram.org/blog/profile-videos-people-nearby-and-more
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
Telegram
Profile Videos, 2 GB File Sharing, Group Stats, Improved People Nearby and More
Today's update brings Profile Videos along with improved People Nearby features, unlimited file sharing with up to 2 Gigabytes per file, mini-thumbnails for your chat list and notifications, group stats, and much more.
Telegram安全使用指引
基础安全设置:
一、如果想设置空白名称,可以复制引号内的空白粘贴到名称处:“ㅤ ㅤ”
二、手机号码换用虚拟号,没有虚拟号的使用textnow注册一个
三、设置 -> 隐私与安全里面,手机号码、最后上线&在线、引用转发来源、语音通话、被邀请权限五项全部设置为“不允许任何人”或“我的联系人”
四、设置 -> 隐私与安全 -> 已登录的设备里面,查看是否有可疑的设备登录,并查看自己的IP是否泄露(如果泄露会显示地理位置为自己所在城市)
五、设置 -> 隐私与安全 -> 设置两步验证里面,设置一个密码,并将密码记下来,新设备登录时会用到
基础安全防范:
一、定期删除聊天记录,当你的账号被非法入侵或者被警方劫持,没有聊天记录也就没有证据
二、不要保存任何联系人,避免身份关联
三、不要在任何地方透露自己的任何个人信息
四、不要相信任何询问你个人信息的人,哪怕他们看起来再善良
高级别安全防范:
一、用于登录telegram的设备中不要存储任何与个人信息有关联的数据
二、telegram账号名、用于登录telegram的设备中的账号名不要与日常用的账号名有任何关联
三、使用匿名流量上网
四、禁用设备的声卡、封住设备的摄像头等
五、等待补充......
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
基础安全设置:
一、如果想设置空白名称,可以复制引号内的空白粘贴到名称处:“ㅤ ㅤ”
二、手机号码换用虚拟号,没有虚拟号的使用textnow注册一个
三、设置 -> 隐私与安全里面,手机号码、最后上线&在线、引用转发来源、语音通话、被邀请权限五项全部设置为“不允许任何人”或“我的联系人”
四、设置 -> 隐私与安全 -> 已登录的设备里面,查看是否有可疑的设备登录,并查看自己的IP是否泄露(如果泄露会显示地理位置为自己所在城市)
五、设置 -> 隐私与安全 -> 设置两步验证里面,设置一个密码,并将密码记下来,新设备登录时会用到
基础安全防范:
一、定期删除聊天记录,当你的账号被非法入侵或者被警方劫持,没有聊天记录也就没有证据
二、不要保存任何联系人,避免身份关联
三、不要在任何地方透露自己的任何个人信息
四、不要相信任何询问你个人信息的人,哪怕他们看起来再善良
高级别安全防范:
一、用于登录telegram的设备中不要存储任何与个人信息有关联的数据
二、telegram账号名、用于登录telegram的设备中的账号名不要与日常用的账号名有任何关联
三、使用匿名流量上网
四、禁用设备的声卡、封住设备的摄像头等
五、等待补充......
#telegram
信息安全技术频道🔎
@tg_InternetSecurity
信息安全技术频道🔎
Telegram安全使用指引 基础安全设置: 一、如果想设置空白名称,可以复制引号内的空白粘贴到名称处:“ㅤ ㅤ” 二、手机号码换用虚拟号,没有虚拟号的使用textnow注册一个 三、设置 -> 隐私与安全里面,手机号码、最后上线&在线、引用转发来源、语音通话、被邀请权限五项全部设置为“不允许任何人”或“我的联系人” 四、设置 -> 隐私与安全 -> 已登录的设备里面,查看是否有可疑的设备登录,并查看自己的IP是否泄露(如果泄露会显示地理位置为自己所在城市)…
===== 评论区 =====
ㅤ ㅤ ysd: debug可以自动屏蔽摄像头
dayin sz: (➤ㅤ ㅤ ysd) ip泄漏了该如何处理呢?
ㅤ ㅤ ysd: debug可以自动屏蔽摄像头
dayin sz: (➤ㅤ ㅤ ysd) ip泄漏了该如何处理呢?
❤1
【快讯】台湾前总统李登辉辞世 享年98岁
台北荣民总医院周三(7月30日)表示,前总统李登辉于当晚7点24分辞世,享年98岁。
李登辉辞世前住院已近半年。今年2月8日晚间,他在家中接受护理师量测血压、血糖后,喝牛奶补给时不慎呛到,咳个不停。紧急送往北荣医院就医后,发现有肺部浸润现象。
李登辉出生于1923年,被誉为台湾民主开创人。他是美国康乃尔大学博士,1984年当选为中华民国第7任副总统,1988年1月前总统蒋经国过世后继任为第7任总统;1990年3月,经国民大会选举为第8任总统。
1996年3月举行中华民国首次总统直接选举,李登辉当选第9任总统,2000年5月19日任期届满。
#台湾 #时事
信息安全技术频道🔎
@tg_InternetSecurity
台北荣民总医院周三(7月30日)表示,前总统李登辉于当晚7点24分辞世,享年98岁。
李登辉辞世前住院已近半年。今年2月8日晚间,他在家中接受护理师量测血压、血糖后,喝牛奶补给时不慎呛到,咳个不停。紧急送往北荣医院就医后,发现有肺部浸润现象。
李登辉出生于1923年,被誉为台湾民主开创人。他是美国康乃尔大学博士,1984年当选为中华民国第7任副总统,1988年1月前总统蒋经国过世后继任为第7任总统;1990年3月,经国民大会选举为第8任总统。
1996年3月举行中华民国首次总统直接选举,李登辉当选第9任总统,2000年5月19日任期届满。
#台湾 #时事
信息安全技术频道🔎
@tg_InternetSecurity
Office 2010于2020年10月后停止支持的对策
Office软件是微软公司出品的一套包含Word等组件的办公软件,有2003、2007、2010、2013、2016、2019、365等不同的版本。其中,Office 2003和2007早已经停止提供补丁更新,2020年10月之后,微软公司也不再继续提供Office2010的安全补丁,上网的电脑系统中装有Office 2010(以及Office 2007或2003)软件、或不是本教程推荐的office版本(office2016、2019、365,其它版本的office2013),存在一定的安全风险,请大家卸载掉。
如果是在始终不联网(物理断网,或禁用网卡)的系统(含虚拟机系统)中使用Office软件的,这样的系统中已安装的Office软件可以不卸载。
#微软 #Windows
信息安全技术频道🔎
@tg_InternetSecurity
Office软件是微软公司出品的一套包含Word等组件的办公软件,有2003、2007、2010、2013、2016、2019、365等不同的版本。其中,Office 2003和2007早已经停止提供补丁更新,2020年10月之后,微软公司也不再继续提供Office2010的安全补丁,上网的电脑系统中装有Office 2010(以及Office 2007或2003)软件、或不是本教程推荐的office版本(office2016、2019、365,其它版本的office2013),存在一定的安全风险,请大家卸载掉。
如果是在始终不联网(物理断网,或禁用网卡)的系统(含虚拟机系统)中使用Office软件的,这样的系统中已安装的Office软件可以不卸载。
#微软 #Windows
信息安全技术频道🔎
@tg_InternetSecurity
日本也考虑禁止 TikTok 等中国应用
在印度和美国之后,日本政府也考虑禁止 TikTok 等中国应用。日本自民党“规则形成战略议员联盟”基本决定,将向政府建议限制使用中国企业推出的 APP。这是担心收集到的个人信息流向中国政府并被利用而采取的应对。会长甘利明表示:“信息如何被收集和利用,已经进入了必须从不同于以往的广阔视角看待信息相关器材和信息软件的时代。”他还解释称这是基于美国要求的应对。建议拟要求在《电气通信事业法》等基础设施相关法令中加入对安全保障方面担忧的顾及。此举或是顺应高科技领域和供应链(零部件的采购及供应网)的美中经济脱钩动向。
#抖音 #日本 #中国
信息安全技术频道🔎
@tg_InternetSecurity
在印度和美国之后,日本政府也考虑禁止 TikTok 等中国应用。日本自民党“规则形成战略议员联盟”基本决定,将向政府建议限制使用中国企业推出的 APP。这是担心收集到的个人信息流向中国政府并被利用而采取的应对。会长甘利明表示:“信息如何被收集和利用,已经进入了必须从不同于以往的广阔视角看待信息相关器材和信息软件的时代。”他还解释称这是基于美国要求的应对。建议拟要求在《电气通信事业法》等基础设施相关法令中加入对安全保障方面担忧的顾及。此举或是顺应高科技领域和供应链(零部件的采购及供应网)的美中经济脱钩动向。
#抖音 #日本 #中国
信息安全技术频道🔎
@tg_InternetSecurity
Google Chrome_v84.0.4147.105_美博纯净绿色版
Chrome浏览器以速度和安全著称,美博翻墙纯净绿色版根据最新的稳定版制作的绿色纯净版本,目的是打造一个安全可靠的绿色版浏览器,重点放在安全、实用、干净、快速方便,進行了必要的安全设置,增强安全性,增加必要的扩展,方便网友翻墙时设置代理等;本绿色版适合于安全翻墙和安全性要求高的朋友使用,当然也适合其他朋友作为常用的浏览器。
特别说明:
有网友反映,chrome浏览器扩展会不显示。据说这是chrome增加的保护机制所致。如何唤醒扩展?
打开浏览器后,在书签栏有一个【*已安装扩展】的书签夹,里面有本浏览器中已经安装扩展的“Chrome 网上应用店”的下载链接,请“重新”安装一遍扩展。安装后不需要重新设置,美博对扩展已经做好的设置,如代理等等,已经在浏览器中保存,重新安装一遍扩展后这些设置会自动唤起生效。
下载链接
MD5: 32C4DAC0DED4598426FC33CEFD885872
SHA1: F53B32F0352B1B30A33A070A47D25DB12B312412
#美博园 #Chrome
信息安全技术频道🔎
@tg_InternetSecurity
Chrome浏览器以速度和安全著称,美博翻墙纯净绿色版根据最新的稳定版制作的绿色纯净版本,目的是打造一个安全可靠的绿色版浏览器,重点放在安全、实用、干净、快速方便,進行了必要的安全设置,增强安全性,增加必要的扩展,方便网友翻墙时设置代理等;本绿色版适合于安全翻墙和安全性要求高的朋友使用,当然也适合其他朋友作为常用的浏览器。
特别说明:
有网友反映,chrome浏览器扩展会不显示。据说这是chrome增加的保护机制所致。如何唤醒扩展?
打开浏览器后,在书签栏有一个【*已安装扩展】的书签夹,里面有本浏览器中已经安装扩展的“Chrome 网上应用店”的下载链接,请“重新”安装一遍扩展。安装后不需要重新设置,美博对扩展已经做好的设置,如代理等等,已经在浏览器中保存,重新安装一遍扩展后这些设置会自动唤起生效。
下载链接
MD5: 32C4DAC0DED4598426FC33CEFD885872
SHA1: F53B32F0352B1B30A33A070A47D25DB12B312412
#美博园 #Chrome
信息安全技术频道🔎
@tg_InternetSecurity
谷歌镜像代理网站
https://guge9.978789.xyz/
https://vvp0.499994.xyz/googlebak.html
https://gg.i-research.edu.eu.org/
https://gogoo.ml/
https://g.wangcb.com/
https://go.judd.workers.dev/
https://g.menss.me/
https://so.niostack.com/
https://goo.gle.workers.dev/
https://shy-dew-5123.uuccaassjjtt.workers.dev/
http://www.fcczp.com
https://googlehnzyc.azurewebsites.net/
https://readmorejoy.com/search/
https://metager.de
https://search.mysearch.com/
https://www.yippy.com
https://www.discretesearch.com
https://busca.uol.com.br
https://peekier.com
https://goobe.io
https://fireball.com
https://www.enow.com
https://www.aolsearch.com
https://www.startpage.com/
https://mengso.com/
谷歌学术
https://xue.glgoo.org/
https://f.glgoo.top/
https://scholar.glgoo.org/
https://xues.glgoo.com/
https://xs.glgoo.top/scholar/
如果镜像都失效了可以看
https://go.zerousd.com/a-proxy-website
#Google #代理 #翻墙
信息安全技术频道🔎
@tg_InternetSecurity
https://guge9.978789.xyz/
https://vvp0.499994.xyz/googlebak.html
https://gg.i-research.edu.eu.org/
https://gogoo.ml/
https://g.wangcb.com/
https://go.judd.workers.dev/
https://g.menss.me/
https://so.niostack.com/
https://goo.gle.workers.dev/
https://shy-dew-5123.uuccaassjjtt.workers.dev/
http://www.fcczp.com
https://googlehnzyc.azurewebsites.net/
https://readmorejoy.com/search/
https://metager.de
https://search.mysearch.com/
https://www.yippy.com
https://www.discretesearch.com
https://busca.uol.com.br
https://peekier.com
https://goobe.io
https://fireball.com
https://www.enow.com
https://www.aolsearch.com
https://www.startpage.com/
https://mengso.com/
谷歌学术
https://xue.glgoo.org/
https://f.glgoo.top/
https://scholar.glgoo.org/
https://xues.glgoo.com/
https://xs.glgoo.top/scholar/
如果镜像都失效了可以看
https://go.zerousd.com/a-proxy-website
#Google #代理 #翻墙
信息安全技术频道🔎
@tg_InternetSecurity
你最喜欢用的翻墙代理是?
Anonymous Poll
35%
SS/SSR
49%
v2ray/trojan
2%
Lantern/psiphon
19%
clash
8%
自由门/无界浏览
12%
Tor/I2P
13%
tg代理
8%
其他在评论区留言