==== 資安雙週報 (240501) ====
初一十五除了呷菜喔外 也要關心一下安全圈的消息
- 雙週公司重大資訊專區
- 除了 HelloWorld 還有 RCE
- 想要當熱心的共同開發者嗎
- 你真的認識 JSON 嗎
## ==== 雙週公司重大資訊專區 ====
根據法規第四條之二十六:發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事[0]
我會定期從公開資訊觀測站[1] 直接整理這兩週發生的官方重訊
- 長榮航空證實資料外洩 不明人士存取3百多名旅客資料[2]
- 京鼎延遲發布重大訊息開罰[3]
## 除了 HelloWorld 還有 RCE
上回除了 netflix 有出現一個 helloworld 的網址之外
本回 MicroSoft 出現了一個可以執行任意指令的網頁
根據 X 上面的報告[4] code.microsoft.com (目前已經無法連線) 上有一個 systemcall.php 網頁
可以執行任意指令
## 想要當熱心的共同開發者嗎
根據分析[5] 一個惡意設計的 Github Repository 可能造成安全問題
當受害者 fork 一個包含設計精美的 security.md Github Repository 時
如果其中包含一個由攻擊者控制的回報連結 則所有回報都會轉給攻擊者
## 你真的認識 JSON 嗎
在不看 SPEC[6] 下 你知道 JSON 可以放多大的數字嗎
答案是 53-bits [-(2**53)+1, (2**53)-1]
在這個情況下 rust-analysis 修改了原本的設計 (u64) [7]
讓他可以正確判斷 JSON 是否合法
[0]: https://www.selaw.com.tw/SFIWebSeLaw/Chinese/RegulatoryInformationResult/Article?lawId=306619
[1]: https://mops.twse.com.tw/mops/web/index
[2]: https://mops.twse.com.tw/mops/web/ajax_t05sr01_1?firstin=true&stp=1&step=1&SEQ_NO=1&SPOKE_TIME=230403&SPOKE_DATE=20240425&COMPANY_ID=2618
[3]: https://www.ithome.com.tw/news/162574
[4]: https://twitter.com/h4x0r_dz/status/1783570619755294827
[5]: https://beyondmachines.net/event_details/forking-a-github-repository-may-expose-your-code-flaws-to-others-2-v-c-2-o/gD2P6Ple2L
[6]: https://datatracker.ietf.org/doc/html/rfc8259
[7]: https://github.com/rust-lang/rust-analyzer/pull/17063