Posts

漏洞資料庫暴力搜集資訊 從 Client 暴力蒐集 server 端的資訊，再一點一滴拼湊出可能用到的技術(如 framework｜libs｜database｜ui-js｜ui-css) 或是 input parameters 漏洞，在累積一段時間過後再一次搭配 shell 破解。 對應方案 時常注意 CVE 時常注意 dependency check(PATCH) 最好是整合 CI 裝 WAF(Web Application Firewall) 網站應用程式防火牆 如果上述什麼都沒做的話可以仿造以下的做法，稍稍抵擋一下延遲被情蒐的機率(第一時間中斷情蒐)， 然後通報資安團隊封鎖該 IP。 以 java server 為例 如果 server 端是以 java 技術撰寫，可以寫一小filter 偵測是否有異常的關鍵字存取，如果有立即通知資安系統管理者，立即封鎖該 IP。 import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.http.HttpStatus; import org.springframework.util.StringUtils; import org.springframework.web.filter.OncePerRequestFilter; public class Yes26Filter extends OncePerRequestFilter { private static final String[] words = new String[] { "/WEB-INF/", "....

預計 DRAM 在 2022上半年去庫存化，在 2022 下半年業績不悲觀開始恢復， 以台股的記憶體模組廠-威剛，領先市場1~2季反應，大概可以在 2022年 2~3 月觀察後可進場。 暫時清空朋程，畢竟 季EPS : 比強茂差 營收成長率/ROE/毛利率/月每股營收: 比強茂/台半差 預計 11~12月份沒意外的話，持股如下 多單：台半、東聯、強茂、鴻準、大成鋼、勝一、技嘉、晟德、美時、中纖、東鹼、世紀鋼、南僑、千附 新買 航運股-長榮/生技股-寶齡/記憶體-威剛, 晶豪科 空單：在前陣子，MCU-盛群大概在103左右回補。記憶體華邦電在24.x回補。 留意中美晶集團 電動車的車殼在全車佔比大概 5%~10%，台股的鴻準值得留意，目前適合左側交易法 雖然朋程是未來想像空間最大的，帶動未來成長性，目前適合右側交易法 重點觀察 記憶體 : 留意晶豪科、華邦電、威剛 5G/低軌衛星全球佈建 : 留意智易、台揚、明泰、同欣電、啟碁、昇達科、中磊 面板: 友達、群創、富采、榮創 被動元件 : 立隆電、凱美、富致、光頡、華新科、興勤、國巨、大毅

木馬攻擊的發展 shell file web Shell (無檔案文件) memory shell (僅存在在記憶體) 只要能繞過認證權限那塊就可以在 Server 端產生惡意的程式碼， 以 java web 為例，client 可以 往 server 動態註冊惡意的 filter 與 filter chain listener servlet jsp spring controller 其中 memory shell 形式的木馬通常都是搭配反序列化的漏洞才能植入。 所以看到能防守的第一關，就是快更新反序列化的漏洞。

Apache Shiro 是一個强大易用的 Java 安全框架，執行身份認證/授權/密碼管理/Session 管理。 這兩年曾經有過的漏洞 CVE-2020-17523 (Apache Shiro < 1.7.1) 特殊字元造成可以繞過身份認證取得權限的漏洞 空白字元(%20) 例如 : 127.0.0.1:8080/admin/%20 或 127.0.0.1:8080/admin/%20/ . 字元(%2E) 假如在 path matching config 時打開全路徑 setAlwaysUseFullPath(true)，則 127.0.0.1:8080/admin/%2e 或 127.0.0.1:8080/admin/%2e/ 可以繞過 CVE-2016-4437 (任意版本) 可當作 RCE(Remote Code Execution)的基礎。只要 rememberMe 的 AES KEY 外洩，無論 shiro 任何版本都会有反序列化漏洞，可上傳惡意 Class(WebShell)。 所以不要使用內建的 AES Key，並刪除預設 AES Key。直接使用官方網站提供的 Key Generation Apache Shiro Authentication Bypass Vulnerability CVE-2020-13933 (Apache Shiro < 1.6.0) CVE-2020-1957 (Apache Shiro < 1.5.2) CVE-2020-11989 (Apache Shiro < 1....

最近看了一些 NFT（Non-fungible tokens，非同質化代幣）相關資料 從標準看 : 以太坊開發者根據ERC721標準所發出的代幣，其特性為不可分割、不可替代、獨一無二 從價格波動看 : NFT 比較像是品味估值相當類似現實生活裡的藝術品收藏，只是在現實生活裡的藝術品拍賣，一般人根本無法進入，但是在 crypto 世界裡，任何人都可以進入買賣數位藝術品這一個領域。 有形資產 vs 無形資產 在 Lootex 官網看到這一張象限表示與說明，把意境說明的非常平易近人，它是這麼解釋的 (節錄一段出來): 有形 (Tangible)：日常生活中的有形資產，例：石油、黃金、美金，這些同質化資產都可以被分割成更小的計量單位，且可被換算成價值可互相取代。而藝術品、房產這些有形資產，擁有其獨特性、不可被分割且也無法被取代，則隸屬於非同質化資產。 無形 (Intangible)：看不見也摸不著的無形資產，除了為人熟知的比特幣、以太幣這些加密貨幣以外，碳信用也是個沒有形體且能夠交易的金融資產的有趣例子。而copyright和謎戀貓自然就是最典型的非同質化資產。 擁有者的身份地位 但只有藝術品鑑價這個角度還不夠，它會吸引特定群眾主因是因為代表某個程度的身份(是不是個咖)，比方說手上戴著幾十萬的錶跟卡通電子錶比起來， 這個人就會給出一種 哎呦! 等級不一樣喔 的大腦反射，如果要再比喻的話，像社群臉書上的藍勾勾，也是這個意思，代表獲得一定程度以上的粉絲認同， 有這個標誌信用應該比較高。所以在數位世界裡，只要看到對方有某個 NFT(可能就只是圖檔，對! 還可以自由下載)， 未來就代表在別人眼中他大概是不是一個咖，就是一種身份認同。 當然這個 NFT 的價格堆疊目前理解起來，漲跌真的就是龐氏的味道很重，看到很扯的，一個可以自由下載的計算紙(空白圖檔)就數十萬， 畫的醜醜的動物頭要價百萬？ 12歲的小孩畫了幾個圖一個暑假就賺進千萬( 12歲的他靠自製NFT，放完一個暑假賺進千萬元！)， 比台北市房子還貴的(一張jpg圖檔，拍賣出天價19億，加密藝術正在崛起？>) 但是仔細想想這世界哪個東西沒有龐氏騙局的味道，房地產? 股市? 加密貨幣? 每一樣大家都在玩堆疊的遊戲，人性的存在，龐氏就在，看誰最後跑 ！？ 安全性 動輒數十萬的NFT，除泡沫外，安全性與也是備受質疑，如 (砸大錢買的「頭像」，怎會 1 小時內被偷走？) 結論 所以，傳統世界的錢是不是都會往 crypto 的世界跑 ？ 我覺得看起來 … 會 !...

原本預期9月份開始崩跌，所以當時多單只保留一些在市場裡， 2021.9月 車用/鋁每一檔減碼保留一些 多單：台半/朋程/鴻準/強茂/大成鋼 空單：航運-陽明/MCU-盛群 直到 10月份，即使市場變數如: 成本型通膨問題 房地產問題 Taper 中國缺電 COVID-19 疫情 但是看起來沒有崩盤，所以陸續加買把持股部位買回 多單：台半、朋程、鴻準、強茂、大成鋼、勝一，加買技嘉、晟德、美時、世紀鋼、南僑、千附 空單：航運-陽明、MCU-盛群 新增：東聯/中纖/東鹼

[吃] 大麵章 宜蘭縣宜蘭市新民路24號(週二至六15：30～凌晨00：00) [吃] 文昌炸醬麵 宜蘭縣宜蘭市文昌路37號(06：00～14：00) 橘之鄉蜜餞形象館 宜蘭巿梅洲路二段33號 火生麵 景德炸醬麵 宜蘭痴社群 宜蘭在地文化，分享宜蘭食衣住行娛樂 礁溪 淡江大學蘭陽校園 宜蘭縣礁溪鄉林尾路180號 以證件換臨時停車證就能進入校園觀看百萬夜景 校園佔地40公頃，有觀景平台可以遠眺太平洋，俯瞰龜山島及蘭陽平原，宿舍大樓有咖啡廳及食堂 [九號溫泉魚釣蝦] 宜蘭縣礁溪鄉玉石村溫泉路85號1F 山泉水混合溫泉水，水質清透環境好，很適合孩子們的釣蝦場，現釣現烤直接吃 [大塭觀光休閒養殖區] 輕親魚朵生態園區 免門票、撈蝦活動和奇妙的搭船體驗 一秒飛峇里島 👏 不限時的釣魚、撈蝦、搭船、玩沙、餵魚， 超好吃的烤魚、滿滿小捲的義大利麵， 空ㄟ農場 礁溪山區的這間餐廳, 夜景不輸日本知名百萬夜景，黃昏時刻為最佳時間邊吃飯邊欣賞景色變化 潭酵天地觀光工廠...

住 [住] 悅樂 OLAH Hotel 花蓮縣花蓮市中福路122號 吉安 夏洛克Villa民宿 吉安黃昏市場 花蓮縣吉安鄉中山路三段2號 壽豐鄉 野猴子探險森林 花蓮縣壽豐鄉月眉3段10-1號 峇里布達雅 秀林鄉 崇德瑩農場 花蓮縣秀林鄉崇德村下台地立霧溪旁 郭巴風味餐廳 花蓮縣秀林鄉材下台地霧溪旁（崇德瑩農場內） 老時光燒肉酒肴 地址：花蓮縣花蓮市民國路88-1號 花蓮太魯閣住宿》煙波花時間花蓮館

住 [住] 悅樂 OLAH Hotel 花蓮縣花蓮市中福路122號 富源觀景台 台東海岸山脈上, 有木棧平台和涼亭眺望台東平原市區及太平洋東海岸景色，360度的視野 台東森林公園 琵琶湖是潮汐形成的天然湖泊 [住] [The GAYA Hotel 潮度假酒店] [住] [澤行館 The Suites Taitung] 南京路綠園道 [住] [趣淘漫旅] 凱撒連鎖旗下第三家HOTEL CHAM CHAM，位於台東火車站右前方 [住] [台東海Villa胆曼會館] 鐵花村 晚上現場音樂演出、或是逛逛市集 [住] [邊境牧海・長濱] 台東長濱情人沙灘秘境 初鹿牧場 芙瀨實驗廚房...

筆記 MCU(微控制器)，不像CPU/GPU需要追求製程與效能，MCU 不追求效能，家用冰箱/微波爐/車子，注重在穩定性、高可靠性， MCU 大廠，產值約 175 億美元，大廠像英飛凌、德儀、瑞薩電子、恩智浦 … 有點寡占。 其中日本的瑞薩電子 Renesas 在 MCU 方面是最大的(恩智浦NXP是第二名, 集中在歐美日比較強)，消費性佔比非常低，集中在車用跟工業用。 消費性市場只有佔MCU的市場 3 成多 ，以非消費性市場為主，像智慧卡、車用、工業用、醫療用。 MCU 營收佔比對這些巨頭並不高，瑞薩電子是最高的。消費性大多委外代工。車用MCU可靠性要求非常高且客製化大概都自己設計自己做，單價跟毛利率高。 對車用來講，電動車對MCU的影響只影響一些百分比(15%~25%)，但是對功率半導體卻是倍數影響，成長曲度會比較陡峭。 市場的領先指標像也跟記憶體市場一樣指標在台股，台廠的 盛群(6202)、松翰(5471) 等消費性MCU會營運景氣會領先英飛凌、德儀等公司。 超豐也有接MCU委外封裝的訂單，自然封裝業者也是領先歐美景氣約 2 季。 電動車不是 MCU 缺貨主因，MCU 的缺貨主要是因為是因為7成車用 MCU 委外給台積電，但是台積電產能太滿很難回頭再接， 且這些巨頭的天災人禍不斷讓產能停工中斷，加劇了車用MCU的供給面爆發性大缺貨，供不應求。 目前這些歐美日大廠已陸續克服停工問題，一旦把過去欠的產能訂單回補，在2022年第2季 很可能會就會達成供需平衡， 相對的，車用 MCU 一但恢復產能，而消費性MCU的落後產能就會回補不缺。 參考 MCU何時不缺貨？看三大美股巨頭的訊號就知道[財報狗 podcast S2E56] MCU接單滿載 4檔概念股旺到明年 MCU 大爆發，相關台廠搶搭缺貨熱潮！微處理器產業為何突然變熱？從一份外資報告看端倪 結盟國際大咖 新唐MCU布局跨大步 MCU 產業 簡介、概念股、市場現況與展望 台廠的 MCU 公司 營收規模很小，比較代表性的有三家，都是偏向消費性市場(緩慢成長型)。 在台灣規模最大的是新唐(4919)，華邦電的子公司(超過5成)，營收大概80億台幣，比較特別的是自己設計自己製造， 相對其他廠商而言，相對其他兩家，工控車用較強。...