Populární témata
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Krypto od roku 2017| ⭕rdinals|Nápis#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Uteč n8n Další chyba s hodnocením 10.0 full
N8n se běžně používá pro automatizované obchodování a zadávání objednávek, sledování cen a podmínek clearingu, zpracování webhooků peněženek nebo burz, oznámení o změnách aktiv, připojení CEX/DEX API, správu soukromých klíčů nebo API klíčů a automatizaci operací a alarmů.
Tato zranitelnost CVSS 10.0 neovlivňuje jednu funkci, ale celou řídicí vrstvu.
Převzít N8n bez přihlášení, číst nebo exfiltrovat API klíče/soukromé klíče, upravovat automatizované procesy, vkládat škodlivou logiku přenosu nebo transakcí, nebo dokonce převzít celé servery při nasazení s vysokými oprávněními.
Je to nemilosrdnější než to, co jsem psal včera,
Může to být tím, že váš server je na konci.
-
Někdo už v loterii vyhrál, takže rychle upgradujte n8n a pak nahraďte volané API s privátním klíčem, abyste zajistili bezpečnost.
Související zranitelnost na GitHubu uvádím níže:
Jedná se o kompletní útok složený z CVE-2026-21858 se starým CVE-2025-68613
631
Aplikace, která se dnes najednou stala populární: "Je mrtvá?"
Hledal jsem mezinárodní verzi nazvanou "Demumu"
Žebříček se dostal na třetí místo v kategorii nářadí
Ukazuje se, že hlavním důvodem popularity je poptávka a inovace jsou až druhotné
--
Znamená to, že tato aplikace je také velmi užitečná. Teď, když jsme vstoupili do společnosti super-starých lidí, je dobře, že ji moji rodiče používají.
Doufám, že nezapomenou přejet Alfou a 🤣 poslat mi spoustu zpráv jako já
442
Na tomto trhu tato návštěvnost ukazuje, že všichni jsou stále velmi znepokojeni bezpečností svých finančních prostředků!
VMware Workstation Pro je nyní zdarma použitelný v osobní verzi a je velmi snadné jej používat přímo na Windows a Macu.
Pojďme si povědět o předchozím "Instalační iOS soubory Windows, stáhněte si je od Microsoftu, pokud používáte balíček někoho jiného, je to ekvivalent dalšího rizika."
Pro Linux si stáhněte oficiální distribuci Ubuntu a balíček není problém.
Pokud nechcete sázet na to, že "otevření repozitáře způsobí nehodu", nejbezpečnější je otevřít repozitář pomocí VMware místo toho, abyste ho přímo otevřeli lokálním počítačem.
Jednoduchý postup je následující.
- Krok 1 Instalace VMware nebo VirtualBox
VMware Workstation Pro lze nainstalovat lokálně), pokud dokáže spustit VM.
- Krok 2: Nainstalovat systém na VM
Vytvořte čistý operační systém (Windows / Linux je v pořádku) ve VMware,
Tento VM slouží pouze k "zobrazení kódu nedůvěry", nepřihlašujte se do soukromého účtu.
- Krok 3: Nepřemostujte síť
Síťový režim VM s NATem,
Nepoužívej Bridged, abys zabránil VM v přímém vstupu do intranetu.
- Krok 4 Nepřipojovat lokální pevný disk
Nepřipojujte k VM lokální adresáře Dokumenty, Desktop a domovské adresáře.
Jinak je to ekvivalentní zasílání soukromého a SSH klíče přímo dovnitř.
- Krok 5 Instalace vývojových nástrojů do VM
VS Code, Node a Git jsou všechny nainstalované ve VM,
Repozitář je také pouze klon ve VM.
- Nakonec repozitář otevřete pomocí VM
Poté jsou nedůvěryhodné repozitáře vždy klonovány, otevřené IDE a čtení kódu ve VM.
I když IDE něco udělá automaticky, dopad zůstane jen ve VM.
--
Po instalaci prostředí v kroku 5 můžete spustit snapshot pro pořízení snímku, a pokud je problém se systémem, můžete ho také obnovit přímo.
Každopádně VM je extrémně jednoduchý a u předchozího AI Agenta, který rozděloval celý systémový adresář, můžete VM také použít k jeho izolaci a vytvoření speciálně vyvinutého VM.
Pro vaši informaci.
9. 1. 16:57
Pozor všem, kdo po roce mění práci,
Nedávno jsem viděl několik příspěvků na Threads,
Někdo na pohovoru vzdáleně naklonoval repozitář bez ručního použití
Použijte IDE (VS kód / kurzor ...) pro zobrazení zdrojového kódu
Soukromý klíč v počítači byl uniklý.
--
K principu útoku mnoho lidí skutečně špatně pochopilo.
Dnešní IDE (VS Code, Cursor, WebStorm) už dlouho nejsou jen nástroji pro "čtení kódu".
Jakmile otevřete repozitář, IDE Node.js automaticky použije k načtení konfiguračních souborů v projektu, které vám pomohou s ESLint, Prettier, analýzou typů TypeScript a detekcí frameworku (Next.js / Vite / React).
Například eslint.config.js, prettier.config.js, next.config.js vite.config.js vypadají jako konfigurační soubory a v podstatě jsou všechny "spustitelný JavaScript".
Útočníci skrývají škodlivý kód v těchto profilech.
Nemáš NPM spuštěný, nemáš node index.js,
Ale IDE to už za vás udělalo jako první.
Po spuštění můžete pod "uživatelskými oprávněními" dělat mnoho věcí, například číst soukromý klíč, SSH klíč a konfigurační soubor v počítači, a pak data odesílat, a celý proces vám nepřeskočí žádná okna ani vám nedovolí si toho všimnout.
Proto se tato podivně znějící situace děje:
Jsem jen klonovaný repozitář
Prostě otevřu IDE a podívám se na zdrojový kód
Ale soukromý klíč v počítači zmizel
Není to tak, že byste byli mazaní nebo že byste nevěděli o informační bezpečnosti.
Místo toho moderní front-end toolchain sám "automaticky vykonává projektový kód".
--
V podstatě, když mi dáte open source kód, obvykle si ulevím a po stažení ho naskenuji AI, ale po otevření VS kódu stejně vyhraji Q_Q
Připravím izolované prostředí pro otevírání "nedůvěryhodných projektů"
Nejstabilnější je VM, následovaná Dockerem + VS Code Remote.
Nechte Node.js, ESLint, Prettier a skenovat framework v izolovaném prostředí, i kdyby nastaly problémy, dopad zůstane pevně daný.
Vestavěný sandbox ve Windows je také izolované prostředí, ale po každém vypnutí a opětovné instalaci se vymaže.
Použití VM je mnohem pohodlnější, lze jej znovu použít a zcela izoluje prostředí, ale buďte opatrní, abyste přímo nepřemostili síť a nepřipojili lokální pevné disky, což je ekvivalent otevření zadních vrátek Q_Q
537
Top
Hodnocení
Oblíbené