Share something | CTCGFW's Channel

祝大家 2023 元旦快乐！ Happy New Year 2023! 🎉🎉🎉

这是网易新闻的2022年度盘点，和那些妖艳贱货不一样

#科技资讯 #安全资讯 【重要安全提醒】LastPass公布数据泄露的最新调查：好消息是用户主密码仍然安全，坏消息是除了主密码其他全泄露了，包括用户账号、密码、电子邮件、账单地址、访问的IP、公司名称。同时存储的其他网站账号密码数据库也泄露了，不过数据库是AES256加密的应该不用担心。建议用户立即修改Lastpass账号密码最好连邮箱都换一个，后面肯定有钓鱼邮件：https://ourl.co/96674

Failed to send messages to tags #科技资讯, #安全资讯

v2board数据泄露漏洞复盘： 通过review问题代码发现，问题在于鉴权中间件。 1.6.1版本的token存储方式从session改成了cache，导致作者重写了鉴权代码 新的鉴权代码造成了严重的漏洞 众所周知v2board的管理员信息和用户信息都在user表，仅用is_admin字段区分是否管理员 管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样，只是多了个is_admin校验。 如图所示中间件首先会检查浏览器提交的token是否在服务器cache，也就是redis中。如果有，直接通过鉴权。 问题就在于这，普通用户在登录后生成的token已经在服务器redis表中，所以将普通用户的token直接提交到管理员相关API接口，即可通过鉴权，没有任何权限校验。 也就是普通用户的token，可以随意调用管理员的API，相当于拥有了完整的管理员后台权限。 https://twitter.com/AyagawaSeirin/status/1603385153480716288

速报：宝塔面板疑似出现全新高危漏洞，目前已出现大面积入侵 影响版本：7.9.6及以下且使用nginx用户 风险等级：极高 处置建议: 停止使用BT面板且更换阿帕奇 [宝塔官方建议暂停面板] 排查方式: /www / server/ nginx/ sbin 目录下文件 1. nginx 11.80 MB 2. nginxBak 4.55 MB[木马] 3. nginx 4.51M [木马] 特征: 1.大小4.51 2.时间近期 3.nginx＆nginxBAK双文件 入侵者通过该漏洞拥有root权限，受限于面板高权限运行，修改宝塔各种账号密码+SSH账号密码均为无效。 入侵者可以修改nginx配置文件+数据库文件+网站根目录文件 站点可能出现大量日志同时CPU异常占用，暂不清楚漏洞点，切勿随意点击清除日志按钮 注: 大量新装用户反馈出现挂马，目前BT官方源可能出现问题，建议暂停安装

【快讯】新华社：中国共产党中央委员会、中华人民共和国全国人民代表大会常务委员会、中华人民共和国国务院、中国人民政治协商会议全国委员会、中国共产党和中华人民共和国中央军事委员会，极其悲痛地向全党全军全国各族人民通告：我们敬爱的江泽民同志患白血病合并多脏器功能衰竭，抢救无效，于2022年11月30日12时13分在上海逝世，享年96岁。

#科技资讯 #行业资讯　人们决定当个鸵鸟：国际计量大会决定最迟在2035年取消闰秒，对计算机领域来说是个福音。每次出现闰秒时都有不少软件和网站挂掉，究其原因主要是60进制里秒不会60，最多到59，然后从NTP获取到60后直接异常。取消闰秒后会导致国际原子时与地球自转的世界时产生差异，但怎么解决有待后续10年慢慢讨论：https://ourl.co/96075

美国达拉斯飞机相撞坠毁事故造成6人死亡，地面无人员伤亡。目前相撞原因仍不清楚，调查人员试图确定为何两架飞机在相同空域同时飞行。调查预计将在4至6周内发布初步报告，最终报告或需长达18个月。 （美联社，新华社）