 |
LnTrxV2EX 第 450865 号会员,加入于 2019-11-03 18:06:57 +08:00 |
LnTrx 最近回复了
9 小时 9 分钟前 回复了 dushixiang 创建的主题 › Next Terminal › 当飞牛遇到 0 day, WAF 算个屁 |
看下来感觉主要的挑战是:自身的漏洞,把正主关外面,以及复杂移动场景的体验
9 小时 20 分钟前 回复了 swiftg 创建的主题 › NAS › 不对公众提供网络服务的话,完全没必要对外暴露任何端口 |
@Aaron01 大陆地区 cf 被干扰的情况并不少见
9 小时 26 分钟前 回复了 swiftg 创建的主题 › NAS › 不对公众提供网络服务的话,完全没必要对外暴露任何端口 |
如果 cf 的网卡了,而人又在外面,怎么救急
17 小时 40 分钟前 回复了 wangdashuai 创建的主题 › NAS › 飞牛漏洞如何处理,我的一些看法。 |
@wangdashuai 那你的方案相当于高度绑定官方中继,如果要快速访问就要交钱,肯定不是人人都能接受的。
20 小时 22 分钟前 回复了 wangdashuai 创建的主题 › NAS › 飞牛漏洞如何处理,我的一些看法。 |
全 CNAME 到官方域名,那流量岂不是全都要官方要转发了?如果再跳转回一个解析了真实 IP 的域名,那这个跟 fn id 域名又有什么区别。
20 小时 25 分钟前 回复了 chhtdd 创建的主题 › NAS › 飞牛 os 0day 漏洞有能力感染同一个网络下的其他智能设备吗 |
一些人把 NAT 当成防火墙拒绝 IPv6 的时候我就提过,现在是零信任的时代了,还抱着 NAT 这套根本防不了横向移动
20 小时 31 分钟前 回复了 leang521 创建的主题 › NAS › 飞牛这次漏洞有没有搞头 |
@leang521 那不就是自建一个代理暴露在公网+本地运行一个代理软件+浏览器装一个代理插件的方案么。代理插件和软件用开源的就行。设置成不接管系统流量的模式,对其他应用也没影响。
20 小时 40 分钟前 回复了 LnTrx 创建的主题 › 信息安全 › 在路径穿越漏洞的基础上,可能通过 swapfile 泄露明文密码 |
@PTLin 这个我也测了一下,一些场景下 mem 读不出来,swapfile 读得出来
1 天前 回复了 LnTrx 创建的主题 › 信息安全 › 在路径穿越漏洞的基础上,可能通过 swapfile 泄露明文密码 |
@pingdog 我不知道你的具体配置是什么。试从原理上推断,如果单纯是 zram ,数据应该都在内存里。如果同时还在用 swapfile ,那 swapfile 中仍可能包含敏感信息。
1 天前 回复了 qiancheng 创建的主题 › NAS › 如果你是 fnOS 的运营经理,如何回应此次安全事故会更妥当? |
可以参考一下威联通,2024 年漏洞的处理流程是:2 月 27 日发新闻稿呼吁用户升级 myQNAPcloud Link ,2 月 29 日不再允许通过 App 连接,3 月 9 日发布安全通告。
https://www.qnap.com/zh-tw/news/2024/qnap-%E6%8F%90%E9%86%92%E7%94%A8%E6%88%B6%E6%9B%B4%E6%96%B0-myqnapcloud-link-%E8%87%B3-v2-4-52-%E4%BB%A5%E4%B8%8A%E7%89%88%E6%9C%AC
https://www.qnap.com/zh-tw/security-advisory/qsa-24-09
https://www.qnap.com/zh-tw/news/2024/qnap-%E6%8F%90%E9%86%92%E7%94%A8%E6%88%B6%E6%9B%B4%E6%96%B0-myqnapcloud-link-%E8%87%B3-v2-4-52-%E4%BB%A5%E4%B8%8A%E7%89%88%E6%9C%AC
https://www.qnap.com/zh-tw/security-advisory/qsa-24-09
Select Language