==== 资安双周报 (240501) ====
初一十五除了呷菜喔外 也要关心一下安全圈的消息
- 双周公司重大资讯专区
- 除了 HelloWorld 还有 RCE
- 想要当热心的共同开发者吗
- 你真的认识 JSON 吗
## ==== 双周公司重大资讯专区 ====
根据法规第四条之二十六:发生灾难、集体抗议、罢工、环境污染、资通安全事件或其他重大情事[0]
我会定期从公开资讯观测站[1] 直接整理这两周发生的官方重讯
- 长荣航空证实资料外泄 不明人士存取3百多名旅客资料[2]
- 京鼎延迟发布重大讯息开罚[3]
## 除了 HelloWorld 还有 RCE
上回除了 netflix 有出现一个 helloworld 的网址之外
本回 MicroSoft 出现了一个可以执行任意指令的网页
根据 X 上面的报告[4] code.microsoft.com (目前已经无法连线) 上有一个 systemcall.php 网页
可以执行任意指令
## 想要当热心的共同开发者吗
根据分析[5] 一个恶意设计的 Github Repository 可能造成安全问题
当受害者 fork 一个包含设计精美的 security.md Github Repository 时
如果其中包含一个由攻击者控制的回报连结 则所有回报都会转给攻击者
## 你真的认识 JSON 吗
在不看 SPEC[6] 下 你知道 JSON 可以放多大的数字吗
答案是 53-bits [-(2**53)+1, (2**53)-1]
在这个情况下 rust-analysis 修改了原本的设计 (u64) [7]
让他可以正确判断 JSON 是否合法
[0]: https://www.selaw.com.tw/SFIWebSeLaw/Chinese/RegulatoryInformationResult/Article?lawId=306619
[1]: https://mops.twse.com.tw/mops/web/index
[2]: https://mops.twse.com.tw/mops/web/ajax_t05sr01_1?firstin=true&stp=1&step=1&SEQ_NO=1&SPOKE_TIME=230403&SPOKE_DATE=20240425&COMPANY_ID=2618
[3]: https://www.ithome.com.tw/news/162574
[4]: https://twitter.com/h4x0r_dz/status/1783570619755294827
[5]: https://beyondmachines.net/event_details/forking-a-github-repository-may-expose-your-code-flaws-to-others-2-v-c-2-o/gD2P6Ple2L
[6]: https://datatracker.ietf.org/doc/html/rfc8259
[7]: https://github.com/rust-lang/rust-analyzer/pull/17063