雖然這篇檔案路徑鄉民發文沒有被收入到精華區:在檔案路徑這個話題中,我們另外找到其它相關的精選爆讚文章
在 檔案路徑產品中有11篇Facebook貼文,粉絲數超過2萬的網紅iThome Security,也在其Facebook貼文中提到, 資安業者Qualys揭露Linux核心檔案系統層漏洞CVE-2021-33909,當中提及只要檔案路徑長度超過「1GB」,就能觸發該記憶體溢位漏洞。但這個1GB究竟是多長的檔案路徑?相當於近11億個英數字元(2的30次方)!而若是全換成中文字元,1個中文字會使用2個位元組(Byte),1GB相當於逾...
同時也有8部Youtube影片,追蹤數超過2萬的網紅股魚-不看盤投資,也在其Youtube影片中提到,如何自動取得上櫃公司股價 (利用Google試算表) 原始的Google試算表的函數僅能抓取上市公司的股價資料 透過函數的引入,讓試算表也能抓到上櫃公司的股價資料 ---------------------------------------------------- 🔥🔥🔥點此前往加入股魚秘密...
「檔案路徑」的推薦目錄
- 關於檔案路徑 在 旅行熱炒店PODCAST Instagram 的最佳貼文
- 關於檔案路徑 在 陳曉謙 Jack Chen, PT, MSc, CSCS Instagram 的最讚貼文
- 關於檔案路徑 在 Tjukadr裘卡爾 | Zumba推廣大使 Instagram 的精選貼文
- 關於檔案路徑 在 iThome Security Facebook 的精選貼文
- 關於檔案路徑 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
- 關於檔案路徑 在 XFastest Media HK Facebook 的精選貼文
- 關於檔案路徑 在 股魚-不看盤投資 Youtube 的最讚貼文
- 關於檔案路徑 在 股魚-不看盤投資 Youtube 的最讚貼文
- 關於檔案路徑 在 股魚-不看盤投資 Youtube 的最讚貼文
檔案路徑 在 旅行熱炒店PODCAST Instagram 的最佳貼文
2021-09-10 22:12:19
【EP67搭配服用地圖:四國八十八箇所,與延伸景點和美食】 不知道是不是因為來賓講得太精彩、又是台灣人最愛的日本旅行題材,EP67的迴響頗為熱烈!但這個以「日本版朝聖之路」為主題的集數,怎麼可以沒有地圖呢? 話說回來,作為全世界數一數二會畫地圖的國家,日本人早就做了一大堆四國遍路的網路地圖(身為...
檔案路徑 在 陳曉謙 Jack Chen, PT, MSc, CSCS Instagram 的最讚貼文
2021-08-18 12:36:17
【書籍分享:情緒按鈕】 「當我們被一些外在的人、事、物刺激時,情緒會像開關的按鈕一樣,被觸動、啟動」 💡「『觸發點、刺激』出現後,我們如何『反應、回應』,並怎麼透過自己的『內在資源』,辨識、釐清這些過程對我們的影響,或者思考為什麼會有這樣的情緒反應。」 整本書即在探討「觸發點-反應-內在資源」...
檔案路徑 在 Tjukadr裘卡爾 | Zumba推廣大使 Instagram 的精選貼文
2021-09-17 17:21:54
· Me, Myself and I 每個階段都會有一個總回顧 逐一抽絲剝繭也好、迅速瀏覽也ok 雲端裡的檔案、硬碟裡的回憶 深刻的像是泥土上車輪壓過的痕跡 儘管風吹掩埋了路徑 回頭時仍知道曾經站在那裡 生命的圓圈繞呀繞 這裡兜了個誰,哪裡又空了位置 不曾停止的循環著 圈圈像是個有機體那樣呼吸著 ...
-
檔案路徑 在 股魚-不看盤投資 Youtube 的最讚貼文
2019-06-18 09:57:57如何自動取得上櫃公司股價 (利用Google試算表)
原始的Google試算表的函數僅能抓取上市公司的股價資料
透過函數的引入,讓試算表也能抓到上櫃公司的股價資料
----------------------------------------------------
🔥🔥🔥點此前往加入股魚秘密社團:
http://bit.ly/2LKPxtu
---------------------------------------------------
影片示範檔案路徑:
http://bit.ly/2M7vRQS![post-title]()
-
檔案路徑 在 股魚-不看盤投資 Youtube 的最讚貼文
2019-06-04 10:52:16利用Google試算表自動取得股價歷史資料並建立趨勢圖表
----------------------------------------------------
🔥🔥🔥點此前往加入股魚秘密社團:
http://bit.ly/2LKPxtu
---------------------------------------------------
影片示範檔案路徑:
http://bit.ly/2M7vRQS![post-title]()
-
檔案路徑 在 股魚-不看盤投資 Youtube 的最讚貼文
2019-05-31 10:16:51投資人可以利用Google試算表建立大盤指數的自動更新,搭配個股股價的自動更新。投資人可以隨時隨地檢查投資狀況
----------------------------------------------------
🔥🔥🔥點此前往加入股魚秘密社團:
http://bit.ly/2LKPxtu
---------------------------------------------------
影片示範檔案路徑:
http://bit.ly/2M7vRQS![post-title]()
檔案路徑 在 iThome Security Facebook 的精選貼文
資安業者Qualys揭露Linux核心檔案系統層漏洞CVE-2021-33909,當中提及只要檔案路徑長度超過「1GB」,就能觸發該記憶體溢位漏洞。但這個1GB究竟是多長的檔案路徑?相當於近11億個英數字元(2的30次方)!而若是全換成中文字元,1個中文字會使用2個位元組(Byte),1GB相當於逾5億個(2的29次方)中文字。附帶一提的是,Windows預設允許的路徑長度僅為260個英數字元,而Linux則為4,096個。
假如以Linux檔案名稱上限最長為255個字元來看,要達到1GB的檔案路徑長度,至少會有超過421萬(4,210,752)層的目錄結構。
https://www.ithome.com.tw/news/145779
檔案路徑 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
本篇文章探討的也是資安系列問題,而這次的目標主角則是 MAC 系統上廣為流傳的 Homebrew 系統。
結論:
作者透過觀察 Homebrew 的 Github Action 流程,成功得上傳一個會列印一行的程式碼到 iterm2 套件中,讓所有安裝的使用者都會於 Terminal 上看到一行作者客製化的訊息。
本次的漏洞是作者刻意從 Homebrew 的 Vulnerability Disclosure Program 專案中去嘗試尋找可能的問題,所有的操作都有跟官方專案的人探討過流程,並且一切的 PoC 都是單純證明該攻擊的可行性,所以有興趣研究的人請遵循一樣的想法去做,不要認真的想攻擊。
原因:
1. Homebrew 透過 Github Action 執行 CI/CD 動作
2. Homebrew 撰寫了一個自動合併 Pull Request 的 Action
3. CI 內會透過一個Ruby的 Git Diff 第三方函式庫來驗證,只要符合下列條件就可以自動合併
- Modifying only 1 file
- Not moving/creating/deleting file
- Target filepath matches \ACasks/[^/]+\.rb\Z
- Line count of deletions/additions are same
- All deletions/additions matches /\A[+-]\s*version "([^"]+)"\Z/ or - -\A[+-]\s*sha256 "[0-9a-f]{64}"\Z
- No changes to format of versions (e.g. 1.2.3 => 2.3.4)
作者一開始想要從該規則下手,找尋有沒有可能塞入惡意攻擊並且騙過系統讓其自動合併,然而這些規則看起來沒有什麼太多問題,於是作者轉往其他領域去找尋問題,其中一個想法就是到底該 Ruby 的 Git Diff 是如何實作,也許從實作下手更有辦法去欺騙這一切。
很順利的是,作者真的於該函式庫中找到問題,對於一個 Git Diff 的結果來說,該函式庫會透過 +++ "?b/(.*) 這樣的正規表達式來判別檔案路徑的資訊而並非程式修改內容,譬如下列 diff
```
diff --git a/source file path b/destination file path
index parent commit hash..current commit hash filemode
--- a/source file path
+++ b/destination file path
@@ line information @@
Details of changes (e.g.: `+asdf`,`-zxcv`)
```
作者就開始思考,如果讓程式碼可以符合 +++ "?b/(.*) 的規則,是否有辦法讓程式碼不被視為一個檔案的修改,因此就可以修改多行程式碼但是讓 CI 系統認為只有一行程式碼於是進行自動合併
作者最初的想法如下,第一行用來放惡意程式碼,第二行用來偽裝檔案路徑,經過一番嘗試後作者真的成功塞入了類似 PRINTF 的程式碼到環境中並觸發自動合併。接者各地使用者透過 brew 安裝 iterm 版本都會看到使用者塞入的程式碼。
```
++ "b/#{Arbitrary codes here}"
++ b/Casks/cask.rb
```
原文還有更多作者的思路過程,有興趣的不要錯過
原文:
https://blog.ryotak.me/post/homebrew-security-incident-en/#fn:7
測試用PR:
https://github.com/Homebrew/homebrew-cask/pull/104191
檔案路徑 在 XFastest Media HK Facebook 的精選貼文
今次呢個堅恐怖 😱😱
https://hk.xfastest.com/92648/