雖然這篇Iterm alias鄉民發文沒有被收入到精華區:在Iterm alias這個話題中,我們另外找到其它相關的精選爆讚文章
在 iterm產品中有9篇Facebook貼文,粉絲數超過2,850的網紅矽谷牛的耕田筆記,也在其Facebook貼文中提到, 本篇文章探討的也是資安系列問題,而這次的目標主角則是 MAC 系統上廣為流傳的 Homebrew 系統。 結論: 作者透過觀察 Homebrew 的 Github Action 流程,成功得上傳一個會列印一行的程式碼到 iterm2 套件中,讓所有安裝的使用者都會於 Terminal 上看到一行作...
同時也有1部Youtube影片,追蹤數超過4,130的網紅Phương Mèo,也在其Youtube影片中提到,Mix & Match là nơi Mèo sẽ cùng chia sẻ với các bạn các mẹo, cách phối trang phục, hay là nơi mình cùng nhau làm mới tủ đồ của bạn gái chúng mình. Cùng...
iterm 在 ???????甜心娜美♡ ? Instagram 的精選貼文
2020-05-03 16:42:45
第一張&第二張都想放封面😆❤️ 巴黎迪士尼真的非常值得來💕 園區內、園區外不管哪裡拍都好看🌸 我們還在迪士尼外面吃貴貴的漢堡🍔 Annettes Diner -Google評價3.9🌟 起士漢堡很好吃~魚排更好吃😋 兩個漢堡就要1200多台幣🙈 #娜美愛迪士尼 #娜美愛旅遊 #娜美在歐洲 #娜美在...
-
iterm 在 Phương Mèo Youtube 的精選貼文
2019-05-28 12:15:49Mix & Match là nơi Mèo sẽ cùng chia sẻ với các bạn các mẹo, cách phối trang phục, hay là nơi mình cùng nhau làm mới tủ đồ của bạn gái chúng mình. Cùng đón xem Mèo nhé!
Đón xem video của Mèo trên kênh Phương Mèo TV vào mỗi thứ 3,6, chủ nhật hàng tuần nhé!!!!
CONTACT WITH MÈO
Fanpage:www.facebook.com/phuongmeotv
Instagram: phuongmeo2710
Email: phanthaophuong2710@gmail.com
#phươngmèotv #phươngmèovlog #mix&match![post-title]()
iterm 在 矽谷牛的耕田筆記 Facebook 的精選貼文
本篇文章探討的也是資安系列問題,而這次的目標主角則是 MAC 系統上廣為流傳的 Homebrew 系統。
結論:
作者透過觀察 Homebrew 的 Github Action 流程,成功得上傳一個會列印一行的程式碼到 iterm2 套件中,讓所有安裝的使用者都會於 Terminal 上看到一行作者客製化的訊息。
本次的漏洞是作者刻意從 Homebrew 的 Vulnerability Disclosure Program 專案中去嘗試尋找可能的問題,所有的操作都有跟官方專案的人探討過流程,並且一切的 PoC 都是單純證明該攻擊的可行性,所以有興趣研究的人請遵循一樣的想法去做,不要認真的想攻擊。
原因:
1. Homebrew 透過 Github Action 執行 CI/CD 動作
2. Homebrew 撰寫了一個自動合併 Pull Request 的 Action
3. CI 內會透過一個Ruby的 Git Diff 第三方函式庫來驗證,只要符合下列條件就可以自動合併
- Modifying only 1 file
- Not moving/creating/deleting file
- Target filepath matches \ACasks/[^/]+\.rb\Z
- Line count of deletions/additions are same
- All deletions/additions matches /\A[+-]\s*version "([^"]+)"\Z/ or - -\A[+-]\s*sha256 "[0-9a-f]{64}"\Z
- No changes to format of versions (e.g. 1.2.3 => 2.3.4)
作者一開始想要從該規則下手,找尋有沒有可能塞入惡意攻擊並且騙過系統讓其自動合併,然而這些規則看起來沒有什麼太多問題,於是作者轉往其他領域去找尋問題,其中一個想法就是到底該 Ruby 的 Git Diff 是如何實作,也許從實作下手更有辦法去欺騙這一切。
很順利的是,作者真的於該函式庫中找到問題,對於一個 Git Diff 的結果來說,該函式庫會透過 +++ "?b/(.*) 這樣的正規表達式來判別檔案路徑的資訊而並非程式修改內容,譬如下列 diff
```
diff --git a/source file path b/destination file path
index parent commit hash..current commit hash filemode
--- a/source file path
+++ b/destination file path
@@ line information @@
Details of changes (e.g.: `+asdf`,`-zxcv`)
```
作者就開始思考,如果讓程式碼可以符合 +++ "?b/(.*) 的規則,是否有辦法讓程式碼不被視為一個檔案的修改,因此就可以修改多行程式碼但是讓 CI 系統認為只有一行程式碼於是進行自動合併
作者最初的想法如下,第一行用來放惡意程式碼,第二行用來偽裝檔案路徑,經過一番嘗試後作者真的成功塞入了類似 PRINTF 的程式碼到環境中並觸發自動合併。接者各地使用者透過 brew 安裝 iterm 版本都會看到使用者塞入的程式碼。
```
++ "b/#{Arbitrary codes here}"
++ b/Casks/cask.rb
```
原文還有更多作者的思路過程,有興趣的不要錯過
原文:
https://blog.ryotak.me/post/homebrew-security-incident-en/#fn:7
測試用PR:
https://github.com/Homebrew/homebrew-cask/pull/104191
iterm 在 Bảo Anh - Shop 35k Facebook 的最佳解答
🆘🆘🆘 Đầm maxi hoa 2s
Nghe có mùi biển gọi rồi ý
Bỏ qua iterm xinh, tiểu thư này là tiếc lắm nha
Chất vải lụa mát
Sỉ 195-200k
iterm 在 Bảo Anh - Shop 35k Facebook 的最佳解答
❤❤❤Đầm maxi vàng phối cut hở lưng
Iterm làm ce mê mẩn , thề luôn lên form xinh nhất ngây
Màu vàng lại hợp tone lên màu siêu ảo
Sỉ 195-200k