해커늬우스

Douglas Crockford는 JSON을 만들면서 "악이 아닌 선"을 위해 사용해야 한다는 추가 조항이 포함된 MIT 라이선스를 사용했습니다. 어떤 사람들은 이 조항이 너무 모호하다고 불평했고, IBM과 같은 다른 기업들은 악이 아닌 목적으로 JSON을 사용할 수 있도록 특별 허가를 요청했습니다. 1년에 한 번씩 다른 회사의 변호사가 Crockford에게 연락하여 JSON을 사용할 수 있는 특별 허가를 요청합니다. 최근에는 IBM의 한 변호사가 고객과 파트너를 위해 JSON을 사용할 수 있는 권한을 요청하며 Crockford에 연락했습니다. 크록포드는 "IBM과 그 고객, 파트너, 하수인들이 악의적인 목적으로 JSLint를 사용할 수 있도록 허가"했습니다. IBM 변호사는 크록포드에게 감사의 답장을 ..

저자는 RIGOL 오실로스코프에 웹 인터페이스가 있다는 것을 발견하고 펌웨어를 분석하기로 결정했습니다. 펌웨어에서 파일을 추출하여 QEMU에서 오실로스코프의 소프트웨어를 에뮬레이션할 수 있었습니다. 웹 제어 애플리케이션을 분석하던 중, 저자는 changepwd.cgi 바이너리에서 명령 인젝션 취약점을 발견했습니다. 이 취약점을 통해 공격자는 pass0 필드를 비워두고 pass1 필드에 명령을 입력함으로써 임의의 명령을 실행할 수 있었습니다. 작성자는 인증할 필요 없이 간단한 curl 명령으로 이 취약점을 익스플로잇할 수 있었습니다. 작성자는 이 취약점을 RIGOL에 알렸지만 적시에 응답을 받지 못했습니다. 그 후 작성자는 취약점을 공개하기로 결정했습니다.원문: https://tortel.li/post/i..

Nginx는 웹사이트의 33% 이상에서 사용하는 인기 있는 오픈소스 웹 서버입니다. Nginx 구성의 위치 및 별칭 지시어가 잘못 구성되면 민감한 파일이 노출되는 취약점이 발생할 수 있습니다. 연구원들은 Bitwarden과 Google의 HPC 툴킷을 포함한 오픈 소스 프로젝트에서 이러한 취약점의 많은 사례를 발견했습니다. Bitwarden은 데이터베이스가 노출되었고, Google은 클라우드 자격 증명이 노출되었습니다. 이러한 실제 사례에서 알 수 있듯이 보안 위험을 피하려면 적절한 Nginx 구성이 중요합니다. Nginx의 견고함에도 불구하고 잘못된 구성은 연구자들이 적극적으로 찾고 있는 위험을 초래합니다.원문: https://labs.hakaioffsec.com/nginx-alias-traversal/

저자는 구성 파일을 사용하는 프로그램에는 구성 파일 위치를 보고할 수 있는 명확한 방법이 있어야 한다고 생각합니다. 시스템 관리자로서 저자는 다양한 구성 파일 위치를 가진 많은 프로그램을 다루는데, 항상 기억하지 못하는 경우가 많습니다. 이상적으로는 프로그램이 명령줄 옵션이나 도움말 출력을 통해 구성 파일 위치를 보고하는 것이 좋습니다. 위치를 보고할 때 프로그램은 환경 변수를 완전히 확장해야 합니다. 작성자는 $HOME 변수만 확장하는 프로그램에는 패스를 제공합니다. 환경 변수로 인해 구성 파일 위치를 완전히 보고하려면 프로그램에 별도의 옵션이 필요할 수 있습니다. 작성자는 위치를 보고하지만 도움말에서 세부 정보를 너무 깊숙이 숨기는 프로그램에 준우승을 부여합니다.원문: https://utcc.utor..

Swing VPN 앱은 대규모 사용자 기반을 이용해 사용자 기기에서 과도한 요청을 전송하여 웹사이트에 대한 디도스 공격을 수행하고 있습니다. 이 앱은 공격할 웹사이트에 대한 세부 정보가 포함된 구성 파일을 GitHub 및 Google 드라이브 계정에서 다운로드합니다. 이 앱의 네트워크 트래픽을 분석한 결과, 이 앱은 악의적인 의도를 나타내는 turkmenistanairlines.tm 웹 사이트에 빈번한 요청을 보내는 것으로 나타났습니다. 이 앱은 사용자가 개인정보 보호정책에 동의하기 전이라도 앱을 열자마자 데이터를 전송하고 디도스 공격을 수행하기 시작하기 때문에 실제로 사용자의 개인 정보를 존중하지 않습니다. 구성 파일에는 표적이 되는 웹사이트와 엔드포인트의 세부 정보가 포함된 인코딩된 문자열이 포함되어..

"macOS 내부" 웹 페이지는 거의 15년에 걸친 John Siracusa의 Mac OS X 리뷰 중 하이라이트 모음을 제공합니다. 주요 내용은 시간순으로 정리되어 있으며, 쿼츠 2D, 패키지 애플리케이션 및 프레임워크, 윈도우 서버, 메모리 관리, 랑데부, GPU 가속 디스플레이 합성, 스포트라이트, DTrace 및 인스트루먼트 등 다양한 주제를 다룹니다, 코어 애니메이션, 타임머신, LLVM, Clang 및 Objective-C 블록, GCD, 복구 파티션, 숨겨진 스크롤 막대 및 자연스러운 스크롤 방향, 자동 종료, 앱 샌드박싱 및 자격, ARC, FileVault 전체 디스크 암호화, iCloud, Gatekeeper, Objective-C 2. 0 구문, 파워냅, Finder 태그, 앱 냅 및..

이 문서에서는 추가 전용 컬럼형 스토리지 형식의 데이터베이스인 QuestDB에서 쓰기 전용 워크로드에서 예기치 않은 디스크 읽기가 발생하는 사례에 대해 설명합니다. 작성자는 Linux 유틸리티를 사용하여 문제를 조사한 결과 디스크 읽기가 열 파일에 해당한다는 사실을 발견했습니다. 그들은 커널이 페이지 캐시의 여러 페이지에 수정된 데이터를 쓰고 더티로 표시하는 mmap, 읽기 및 쓰기와 같은 버퍼링된 I/O로 인해 예기치 않은 읽기가 발생한다는 가설을 세웠습니다. 페이지 캐시는 Linux에서 디스크에서 최근에 읽은 데이터와 최근에 수정한 데이터를 디스크에 기록하기 위해 사용하는 특수한 투명 인메모리 캐시입니다. 캐시된 데이터는 대부분의 배포판과 CPU 아키텍처에서 4KB 크기의 페이지로 구성됩니다. 저자들..

해적 기상 API는 JSON API를 통해 GFS 및 HRRR 예보를 평가하기 위한 도구입니다. 이 도구는 다크 스카이 API의 드롭인 대체/대안으로 설계되었습니다. 이 API는 원시 예보 데이터에 세 가지 NOAA 모델을 사용합니다: HRRR, GFS, GEFS입니다. HRRR은 미국 대륙 전체와 캐나다 인구의 대부분에 대한 예보를 제공합니다. GFS 모델은 120시간 단위의 시간별 예보와 240시간 단위의 3시간 예보를 제공합니다. GEFS는 30인조 앙상블 버전의 GFS입니다. API는 강수 유형, 양, 확률을 얻기 위해 GEFS를 사용합니다. API는 커뮤니티 중심이며 사람들이 문제를 제기하여 예보를 개선하는 데 도움을 줍니다. API는 전 세계 어디에서나 분 단위 예보를 제공할 수 있지만, HR..

이 게시물의 작성자는 부분적인 파일 중복 제거를 위해 SQLite를 사용한 방법을 설명합니다. Apple 파일 시스템에는 데이터 중복 제거 기능이 일부 지원되므로 추가 디스크 공간을 사용하지 않고도 파일의 복사본 복제본을 만들 수 있다고 설명합니다. 저자는 동일한 게임 엔진을 사용하는 여러 게임이 공통적으로 많은 지원 파일을 가지고 있는 경우가 많기 때문에 이 기능을 게임 볼륨에 사용하고자 했습니다. 이를 추적하는 것은 어렵지 않다고 설명하지만 부분적으로 일치하는 경우는 어떨까요? 그런 다음 저자는 크기 및 콘텐츠 해시 열이 있는 파일 테이블과 각 파일의 각 할당 블록 해시가 있는 블록 테이블을 포함하는 데이터베이스의 최종 설계에 대해 설명합니다. 또한 해시 값이 64비트로 잘린 암호화 해시이며 정수로 ..

이 블로그 게시물의 작성자는 인기 있는 오픈 소스 녹화 및 스트리밍 프로그램인 오픈 브로드캐스터 소프트웨어의 프리미엄 버전을 제공한다고 주장하는 obspremium.com이라는 멀웨어 유포 사이트를 발견했습니다. 이 사이트는 합법적인 사이트의 랜딩 페이지를 몇 문장만 바꾼 채 그대로 옮겨 놓은 것입니다. 작성자가 rar 파일을 다운로드한 결과, 이 파일에 PyInstaller와 함께 패키징된 파이썬 스크립트가 포함되어 있는 것을 발견했습니다. 이 스크립트는 피해자로부터 정보를 훔쳐 Discord 웹훅을 통해 해당 스크립트를 배포한 사람에게 전송합니다. 작성자는 웹훅을 삭제하여 봇을 종료할 수 있었습니다. 그 후 작성자는 이 공격에 대한 정보를 검색한 결과, 이 봇이 github.io를 통해 사이트를 호스..