數位部提出一項去中心化專案 :數位皮夾(Taiwan Digital Identity Wallet) 中文翻譯取名不叫數位錢包,而叫數位皮夾,用意是要跟數位錢包(加密貨幣/NFT)做出區隔 主要目的是用在表達身份,藉由裡面的證件們,建構一個身份(皮本身),而不是裡面的個別卡片 個人與商家雙方都可以發行卡片,並非是集中式,比較接近 WEB3 跟中國式 RealDID 社交登入等同國家登入不同 可能洩漏數位足跡 前台匿名; 後台實名制 登入資料沒有回傳給特定 Server (TW FIDO) 草案階段,1~4年長期的公共建設計畫 不使用私有區塊鏈 保護隱私的分散式身分
身份驗證 指紋辨識: Touch ID 臉部辨識: Face ID Vision Pro : Optic ID (WWDC 2023) visionOS 紅外線掃瞄虹膜(3D scan),可識別同卵雙胞胎(identical twins),這一塊比Face ID強(會失敗) 虹膜資訊是加密的, 儲存在裝置上的「安全隔離區」(Secure Enclave cryptographic coprocessor) 內,無法使用 app 讀取 可用在 Unlock your Vision Pro headset Authorize purchases on the App Store Authorize Apple Pay purchases AutoFill saved passwords on websites and apps 整合 Passkeys / FIDO2 ? 對比WorldID World Coin WorldCoin 可能 產生盜用在黑市交易 舊文參考 WorldID, Worldcoin, Orb
Worldcoin 世界幣 緣起 : 2021 年 工智能開發公司 OpenAI 執行長 Sam Altman創立的一個加密貨幣項目「世界貨幣」Worldcoin 作法 : 用戶只要掃描眼睛虹膜以建利身份,便能換取免費的 Worldcoin 代幣(只要算法得到優化會刪除所有虹膜資料庫,但是否會真實消除數據難以監督) 目標 : 一個全球每個人都可以參與不斷發展的數字經濟,規劃 2023 年達到全球 10 億用戶 葡萄牙已經超過 1% 的人口完成了註冊 Worldcoin 是一個運行在以太坊上的 Layer 2 ,Token 供應上限為 100 億枚(多數提供給早期用戶和運營商) WorldAPP:在全球進行支付、購買和轉帳的錢包 史諾登(Edward Snowden),在他的官方推特發文表示「人體不是票證」: This looks like it produces a global (hash) database of people’s iris scans (for “fairness”), and waves away the implications by saying “we deleted the scans!” Yeah, but you save the hashes produced by the scans....
CVE-2023-24998 Commons FileUpload Security Vulnerabilities 為什麼 Tomcat 會被影響 ? Apache Tomcat 實作了 Jakarta EE (原名為 Java EE) 規範的 Jakarta Servlet, Jakarta Standard Tag Library(JSTL), Jakarta WebSocket, Jakarta Authentication 4塊規範。其中 Tomcat Servlet container為了讓 Jakarta Servlet 原生有檔案上傳的功能,所以 Copy & Rename “Apache Commons FileUpload” 套件程式碼在 Tomcat 中 package 要 javax.* 改到 jakarta.* ? 因為 Oracle 開源授權問題讓 Eclipse 自立 “Jakarta EE” , package name 從 javax.* 改到 jakarta.* 的轉換是漸進式。 在 Jakarta EE 8 時, 命名空間 javax....
官方預期到 2023Q1 設備的支援矩陣表
看到 Virtual-FIDO 。這個專案的目標是 : Virtual FIDO is a virtual USB device that implements the FIDO2/U2F protocol (like a YubiKey) to support 2FA and WebAuthN. Features Support for both Windows and Linux through USB/IP (Mac support coming later) Connect using both U2F and FIDO2 protocols for both normal 2FA and WebAuthN Store credentials in an encrypted format with a passphrase Store credential data anywhere (example provided: a local file) Generic approval mechanism for credential creation and login (example provided: terminal-based) 這個專案利用 USB/IP Server 連接 USB ,模擬 USB/CTAP protocols 來提供 U2F/FIDO2 服務 看起來打算用 encrypted file(因為要跨 OS) 來保護機密 (是一個缺點) 看 Issues 是有針對這一點與 export credentials 的方便性做討論...
PKCE (Proof Key for Code Exchange) 是 OAuth2.0 擴充規範RFC7636。 其主要目的是: 預防 CSRF 跟 Authorization Code(state) 被惡意攔截,補強了 OAuth2 的缺點。 並在 OAuth 2.0 Authorization Code Grant 明確建議了所有 Client 都要使用 PKCE。 Line 開發手冊中有圖說明了比較了 PKCE 的優缺點 - Benefits of implementing PKCE for LINE Login
漏洞資料庫暴力搜集資訊 從 Client 暴力蒐集 server 端的資訊,再一點一滴拼湊出可能用到的技術(如 framework|libs|database|ui-js|ui-css) 或是 input parameters 漏洞,在累積一段時間過後再一次搭配 shell 破解。 對應方案 時常注意 CVE 時常注意 dependency check(PATCH) 最好是整合 CI 裝 WAF(Web Application Firewall) 網站應用程式防火牆 如果上述什麼都沒做的話可以仿造以下的做法,稍稍抵擋一下延遲被情蒐的機率(第一時間中斷情蒐), 然後通報資安團隊封鎖該 IP。 以 java server 為例 如果 server 端是以 java 技術撰寫,可以寫一小filter 偵測是否有異常的關鍵字存取,如果有立即通知資安系統管理者,立即封鎖該 IP。 import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.http.HttpStatus; import org.springframework.util.StringUtils; import org.springframework.web.filter.OncePerRequestFilter; public class Yes26Filter extends OncePerRequestFilter { private static final String[] words = new String[] { "/WEB-INF/", "....
木馬攻擊的發展 shell file web Shell (無檔案文件) memory shell (僅存在在記憶體) 只要能繞過認證權限那塊就可以在 Server 端產生惡意的程式碼, 以 java web 為例,client 可以 往 server 動態註冊惡意的 filter 與 filter chain listener servlet jsp spring controller 其中 memory shell 形式的木馬通常都是搭配反序列化的漏洞才能植入。 所以看到能防守的第一關,就是快更新反序列化的漏洞。
Apache Shiro 是一個强大易用的 Java 安全框架,執行身份認證/授權/密碼管理/Session 管理。 這兩年曾經有過的漏洞 CVE-2020-17523 (Apache Shiro < 1.7.1) 特殊字元造成可以繞過身份認證取得權限的漏洞 空白字元(%20) 例如 : 127.0.0.1:8080/admin/%20 或 127.0.0.1:8080/admin/%20/ . 字元(%2E) 假如在 path matching config 時打開全路徑 setAlwaysUseFullPath(true),則 127.0.0.1:8080/admin/%2e 或 127.0.0.1:8080/admin/%2e/ 可以繞過 CVE-2016-4437 (任意版本) 可當作 RCE(Remote Code Execution)的基礎。只要 rememberMe 的 AES KEY 外洩,無論 shiro 任何版本都会有反序列化漏洞,可上傳惡意 Class(WebShell)。 所以不要使用內建的 AES Key,並刪除預設 AES Key。直接使用官方網站提供的 Key Generation Apache Shiro Authentication Bypass Vulnerability CVE-2020-13933 (Apache Shiro < 1.6.0) CVE-2020-1957 (Apache Shiro < 1.5.2) CVE-2020-11989 (Apache Shiro < 1....