yanqiyu 最近的时间轴更新 yanqiyu 最近的时间轴更新 |
yanqiyuV2EX 第 127736 号会员,加入于 2015-07-18 00:20:26 +08:00今日活跃度排名 10618 |
yanqiyu.info/
karuboniru
学物理的,懂个锤子的计算机
| 求助:四川电信 SK-D849 光猫怎么进管理页面 宽带症候群 • yanqiyu • 1 月 29 日 • 最后回复来自 A1188 | 9 |
| 跨越动态库的时候就算借助 lazy init 的 static 对象也不能简单的假设析构顺序 C++ • yanqiyu • 2023 年 12 月 30 日 • 最后回复来自 yanqiyu | 14 |
| CloudFlare 发放 $10 的 yubikey 优惠券 YubiKey • yanqiyu • 2022 年 11 月 11 日 • 最后回复来自 malu2335 | 80 |
| CentOS 项目开发重点将转向 CentOS Stream Linux • yanqiyu • 2020 年 12 月 12 日 • 最后回复来自 salmon5 | 95 |
| grub2 被报道安全问题,可致安全启动被绕过
2 Linux • yanqiyu • 2020 年 9 月 10 日 • 最后回复来自 ungrown
|
38 |
| Trojan 即将在 Fedora 官方源以及 EPEL 可用 Fedora • yanqiyu • 2020 年 6 月 25 日 |
| leancloud 国际版有域名证书过期了 全球工单系统 • yanqiyu • 2020 年 5 月 16 日 • 最后回复来自 lanternxx | 2 |
| 我也是 00 后, 我也来分享一下我的博客 程序员 • yanqiyu • 2020 年 4 月 8 日 • 最后回复来自 bboysoulcn | 17 |
| 你的 Android 机的 IMEI 可能处于不设防的状态
6 Chamber • yanqiyu • 2022 年 8 月 25 日 • 最后回复来自 ALights
|
106 |
yanqiyu 最近回复了
11 天前 回复了 pc10201 创建的主题 › Linux › Linux 服务器上有多个 ip,程序本身不能指定接口,有第三方程序可以强制让程序使用指定接口吗? |
1. 写几条规则路由,针对包的 tag 路由到不同网卡
2. 写一个 nft 规则,针对连接的不同 tag 给所有包打 tag ,并且对于某个 cgroups/uid 等等的所有 outbound 连接打连接 tag 。
3. 用 systemd-run/systemd.unit + NFTSet (系统服务)或者手动切换个用户执行相应的命令
2. 写一个 nft 规则,针对连接的不同 tag 给所有包打 tag ,并且对于某个 cgroups/uid 等等的所有 outbound 连接打连接 tag 。
3. 用 systemd-run/systemd.unit + NFTSet (系统服务)或者手动切换个用户执行相应的命令
2 月 28 日 回复了 longzhiwuing 创建的主题 › 程序员 › 有谁知道这种风格的内容总结汇报图是怎么生成的 |
@pulengba imgur ,可能你也被屏蔽了。我这 100%是 content not viewable in your location.🫠
2 月 18 日 回复了 shadowmeld 创建的主题 › Linux › 在 2026 年选择 Fedora 前,你应该看看 universal-blue |
2 月 4 日 回复了 hqt1021 创建的主题 › NAS › 理性讨论 没有绝对安全的系统 |
telnet 这个年久失修的远程协议对公网暴露就是作死;而 Web UI,尤其是 nas 的 Web UI 本身就是为了对公网暴露的。安全要求一开始就不一样。
并且 fnos 这一开始就存在一系列漏洞,路径穿越(对于 NAS 而言已经很糟糕了)+关键 token 明文存储在日志/认证过程的私钥明文存储+一个 websocket 的 RCE ;至少路径穿越和 RCE 都可以单独拿一个 CVE 了。
并且这里出问题的是 Web UI ,作为设计上需要对外暴露的环节,最应该严防死守的地方。
并且 fnos 这一开始就存在一系列漏洞,路径穿越(对于 NAS 而言已经很糟糕了)+关键 token 明文存储在日志/认证过程的私钥明文存储+一个 websocket 的 RCE ;至少路径穿越和 RCE 都可以单独拿一个 CVE 了。
并且这里出问题的是 Web UI ,作为设计上需要对外暴露的环节,最应该严防死守的地方。
2 月 3 日 回复了 LnTrx 创建的主题 › 信息安全 › 在路径穿越漏洞的基础上,可能通过 swapfile 泄露明文密码 |
针对开发者:建议把存储敏感内容的页面 mlock 起来,免得换出去了
1 月 30 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@lyz2754509784 #29 那更不可能是中间人攻击了,这么大规模 MITM 除了运营商等掌握基础设施的人没什么人能做到。有不是人人都随便连接奇怪的 WiFi ,恰好还用飞牛的
1 月 30 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@pingdog 我理解是怀疑中间人拿到了密码,或者关键用户 token ,导致攻击者获得 webui 的管理员权限。然后进行的渗透。
但是说实话,正常情况下真的有这么多公网上的 MITM 吗?我其实更怀疑楼主的机器设置了弱密码被暴破了。
但是说实话,正常情况下真的有这么多公网上的 MITM 吗?我其实更怀疑楼主的机器设置了弱密码被暴破了。
1 月 29 日 回复了 yanqiyu 创建的主题 › 宽带症候群 › 求助:四川电信 SK-D849 光猫怎么进管理页面 |
@A1188 #7 还真可以,找客服就搞定了,我记得很早之前在四川电信的网站直接就能切换,然后之后不知道局方做了什么,拨号一直不成功,装维上门就给我切换了猫拨号,并且告诉我路由器拨号行不通
现在找客服切换了就能正确拨号了,奇妙。
现在找客服切换了就能正确拨号了,奇妙。
1 月 28 日 回复了 yanqiyu 创建的主题 › 宽带症候群 › 求助:四川电信 SK-D849 光猫怎么进管理页面 |
@birdvdsk 这类地址直接 404
Select Language