yanqiyu 最近的时间轴更新 yanqiyu 最近的时间轴更新
yanqiyu.info/
karuboniru
| 求助:四川电信 SK-D849 光猫怎么进管理页面 宽带症候群 • yanqiyu • 1 月 29 日 • 最后回复来自 A1188 | 9 |
| 跨越动态库的时候就算借助 lazy init 的 static 对象也不能简单的假设析构顺序 C++ • yanqiyu • 2023 年 12 月 30 日 • 最后回复来自 yanqiyu | 14 |
| CloudFlare 发放 $10 的 yubikey 优惠券 YubiKey • yanqiyu • 2022 年 11 月 11 日 • 最后回复来自 malu2335 | 80 |
| CentOS 项目开发重点将转向 CentOS Stream Linux • yanqiyu • 2020 年 12 月 12 日 • 最后回复来自 salmon5 | 95 |
| grub2 被报道安全问题,可致安全启动被绕过
2 Linux • yanqiyu • 2020 年 9 月 10 日 • 最后回复来自 ungrown
|
38 |
| Trojan 即将在 Fedora 官方源以及 EPEL 可用 Fedora • yanqiyu • 2020 年 6 月 25 日 |
| leancloud 国际版有域名证书过期了 全球工单系统 • yanqiyu • 2020 年 5 月 16 日 • 最后回复来自 lanternxx | 2 |
| 我也是 00 后, 我也来分享一下我的博客 程序员 • yanqiyu • 2020 年 4 月 8 日 • 最后回复来自 bboysoulcn | 17 |
| 你的 Android 机的 IMEI 可能处于不设防的状态
6 Chamber • yanqiyu • 2022 年 8 月 25 日 • 最后回复来自 ALights
|
106 |
yanqiyu 最近回复了
11 天前 回复了 hqt1021 创建的主题 › NAS › 理性讨论 没有绝对安全的系统 |
telnet 这个年久失修的远程协议对公网暴露就是作死;而 Web UI,尤其是 nas 的 Web UI 本身就是为了对公网暴露的。安全要求一开始就不一样。
并且 fnos 这一开始就存在一系列漏洞,路径穿越(对于 NAS 而言已经很糟糕了)+关键 token 明文存储在日志/认证过程的私钥明文存储+一个 websocket 的 RCE ;至少路径穿越和 RCE 都可以单独拿一个 CVE 了。
并且这里出问题的是 Web UI ,作为设计上需要对外暴露的环节,最应该严防死守的地方。
并且 fnos 这一开始就存在一系列漏洞,路径穿越(对于 NAS 而言已经很糟糕了)+关键 token 明文存储在日志/认证过程的私钥明文存储+一个 websocket 的 RCE ;至少路径穿越和 RCE 都可以单独拿一个 CVE 了。
并且这里出问题的是 Web UI ,作为设计上需要对外暴露的环节,最应该严防死守的地方。
13 天前 回复了 LnTrx 创建的主题 › 信息安全 › 在路径穿越漏洞的基础上,可能通过 swapfile 泄露明文密码 |
针对开发者:建议把存储敏感内容的页面 mlock 起来,免得换出去了
1 月 30 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@lyz2754509784 #29 那更不可能是中间人攻击了,这么大规模 MITM 除了运营商等掌握基础设施的人没什么人能做到。有不是人人都随便连接奇怪的 WiFi ,恰好还用飞牛的
1 月 30 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@pingdog 我理解是怀疑中间人拿到了密码,或者关键用户 token ,导致攻击者获得 webui 的管理员权限。然后进行的渗透。
但是说实话,正常情况下真的有这么多公网上的 MITM 吗?我其实更怀疑楼主的机器设置了弱密码被暴破了。
但是说实话,正常情况下真的有这么多公网上的 MITM 吗?我其实更怀疑楼主的机器设置了弱密码被暴破了。
1 月 29 日 回复了 yanqiyu 创建的主题 › 宽带症候群 › 求助:四川电信 SK-D849 光猫怎么进管理页面 |
@A1188 #7 还真可以,找客服就搞定了,我记得很早之前在四川电信的网站直接就能切换,然后之后不知道局方做了什么,拨号一直不成功,装维上门就给我切换了猫拨号,并且告诉我路由器拨号行不通
现在找客服切换了就能正确拨号了,奇妙。
现在找客服切换了就能正确拨号了,奇妙。
1 月 28 日 回复了 yanqiyu 创建的主题 › 宽带症候群 › 求助:四川电信 SK-D849 光猫怎么进管理页面 |
@birdvdsk 这类地址直接 404
1 月 13 日 回复了 mikewang 创建的主题 › 程序员 › 防御性关机:某 OCR 库中内置关机代码 |
这原爆料者是被公关了?不过能理解,个人遇到公司耍流氓在法律层面因素很浪费时间和精力,也捞不到好处。
> 如果继续使用该缺陷版本到 2026 年 8 月 30 日,则触发关机命令 shutdown 。
怎么看都是恶意行为。
> 关机指令是为了防止破坏本程序导致进一步的可能损失, 防御性关机。
直接 exit 还差不多,软件拒绝启动、功能降级、弹出警告都是合理的 DRM 行为。
shutdown 就是在恶意破坏用户计算机系统,还在回应耍小聪明,既没文档记载的行为也超出软件功能也有破坏性,这种行为在中国和多个国家就是妥妥的违法行为。
> 如果继续使用该缺陷版本到 2026 年 8 月 30 日,则触发关机命令 shutdown 。
怎么看都是恶意行为。
> 关机指令是为了防止破坏本程序导致进一步的可能损失, 防御性关机。
直接 exit 还差不多,软件拒绝启动、功能降级、弹出警告都是合理的 DRM 行为。
shutdown 就是在恶意破坏用户计算机系统,还在回应耍小聪明,既没文档记载的行为也超出软件功能也有破坏性,这种行为在中国和多个国家就是妥妥的违法行为。
1 月 7 日 回复了 sh537612856486 创建的主题 › 程序员 › 获取境外家庭 IP 方法 |
虽然不建议整这种活
但是真的想要扫描这类有配置错误的服务器的话建议直接用 censys 之类的服务
但是真的想要扫描这类有配置错误的服务器的话建议直接用 censys 之类的服务
1 月 5 日 回复了 yitwotre 创建的主题 › Android › 华为手机禁止隐私截图怎么破? |
usb-c 接口要是支持视频输出的话接一个采集卡,大多数手机 flag_secured 不影响这种视频输出
2025 年 12 月 28 日 回复了 iorilu 创建的主题 › Windows › 我看有人说 win11 正常安装得系统, 其实都是运行在虚拟机上的 |
不太熟悉 Windows ,但是我记得虽然技术上讲 hyper-V 之后 host 是一个虚拟机( Root Partition ),但是这个虚拟机是高度轻量化的。SLAT 应该就是简单的线性映射,然后中断这些也是直接注入 host 的,按理说性能损失在几个百分点之内(出非开了虚拟化安全,那个有开销)
要是你能感知到的操作上的延迟/卡顿,怪不得虚拟化,是为微软的毛病。
要是你能感知到的操作上的延迟/卡顿,怪不得虚拟化,是为微软的毛病。
Select Language