有別於其他的長文,這裡都是比較隨意寫的短文。原本是發在臉書粉專,但都藏在臉書裡面有點可惜,索性搬一份到部落格來,對不用臉書的人也更友善。
分享一個在推特上看到的,台灣工程師被詐騙結果 Metamask 裡的加密貨幣全都被偷走的血淋淋案例
攻擊者在 Linkedin 上主動發起社交攻擊,説已經有個 MVP 在找人繼續開發產品,提供了一個 repo,結果 repo 裡面有些隱藏的惡意程式碼,跑起來之後跳出要求權限的視窗。
雖然一開始按了拒絕,但因為一直跳,事主想說應該是其他現有的 App 在要的,就按了同意,接著過不久後發現自己 Metamask 錢包中的加密貨幣被洗劫一空,損失 4 萬美金。
留言裡的原文有詳細的攻擊手法、過程跟事後檢討,這種精心設計的社交工程在幣圈似乎也屢見不鮮了,不管你是工程師還是其他角色,都有可能被騙到,而且越來越精緻,看起來越來越像真的。
分享這些案例也是希望能引起大家的警覺心,之後碰到類似狀況時至少能突然想起這些案例,立刻就覺得這好像有點問題
年前其實本來就想分享一個很猛的影片,但不知不覺就拖到年後了 😆
強者我朋友最近開了一個講資安的 YouTube 頻道,今天要介紹的這一支影片叫做:「Hacking Discord for $5000 Bounty」
在影片中完整解釋了整串的攻擊鏈,包含了從 XSS 打進 Electron,而且是利用了舊版 Chromium 的 n-day,直接串成 RCE。雖然說這個漏洞有一陣子了(2021 年),但現在回顧還是很好看。
這部影片花了大量的篇幅與時間在介紹 V8 的機制跟 exploit,這是相當精彩的部分,之前我看文章也沒看到這麼詳細的解說,內容包括 ignition 跟 turbofan 是怎麼運作的,以及這個 n-day 的成因是什麼,patch 又是什麼。
最後則是講到 V8 的 memory layout、儲存東西的機制,並且從簡單的 OOB access 串到完整的任意讀寫,再串到最後的 RCE。
對於想了解 browser security 或是 V8 如何運作的人來說,絕對是個不可錯過的影片,真心推薦。