Topik trending
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Crypto sejak 2017| ⭕rdinals|Inscription#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Lari n8n Bug lain dengan peringkat 10.0 penuh
N8n biasanya digunakan untuk perdagangan otomatis dan penempatan pesanan, pemantauan harga dan kondisi kliring, pemrosesan webhook dompet atau bursa, pemberitahuan perubahan aset, menghubungkan CEX/DEX API, menangani kunci pribadi atau kunci API, dan mengotomatiskan operasi dan alarm.
Kerentanan CVSS 10.0 ini tidak memengaruhi satu fungsi, tetapi seluruh lapisan kontrol.
Ambil alih n8n tanpa masuk, baca atau eksfiltrasi kunci API/kunci pribadi, ubah proses otomatis, masukkan transfer berbahaya atau logika transaksi, atau bahkan mengambil alih seluruh server di bawah penerapan hak istimewa tinggi.
Ini lebih kejam daripada apa yang saya posting kemarin,
Mungkin server Anda sudah berakhir.
-
Seseorang telah memenangkan lotre, jadi tingkatkan n8n dengan cepat dan kemudian ganti API kunci pribadi yang disebut untuk memastikan keamanan.
Kerentanan terkait di GitHub saya letakkan di bawah ini:
Ini adalah serangan lengkap yang terdiri dari CVE-2026-21858 dengan CVE-2025-68613 lama
630
Aplikasi yang tiba-tiba menjadi populer saat ini "Apakah sudah mati?"
Saya mencari versi internasional yang disebut "Demumu"
Peringkat telah datang ke tempat ketiga dalam kategori alat
Ternyata alasan utama popularitas adalah sisi permintaan, dan inovasi adalah sekunder
--
Artinya, aplikasi ini juga sangat berguna Sekarang kita telah memasuki masyarakat yang sangat tua, ada baiknya orang tua saya menggunakannya.
Saya harap mereka tidak lupa menggesek Alpha dan mengirimi saya 🤣 banyak teks seperti yang saya lakukan
431
Di pasar ini, lalu lintas ini menunjukkan bahwa semua orang masih sangat memperhatikan keamanan dana mereka!
VMware Workstation Pro sekarang gratis untuk digunakan dalam versi pribadi, dan sangat mudah untuk menggunakannya langsung di Windows dan Mac.
Mari kita bicara tentang sebelumnya "File IOS instalasi Windows, silakan unduh dari Microsoft, jika Anda menggunakan paket orang lain, itu setara dengan risiko lain."
Untuk Linux, unduh distribusi resmi Ubuntu, dan tidak ada masalah dengan paketnya.
Jika Anda tidak ingin bertaruh pada "membuka repositori akan menyebabkan kecelakaan", cara teraman adalah dengan membuka repositori dengan VMware alih-alih menggunakan mesin lokal untuk membukanya secara langsung.
Proses sederhananya adalah sebagai berikut.
- Langkah 1: Instal VMware atau Virtualbox
VMware Workstation Pro dapat diinstal secara lokal), selama dapat menjalankan VM.
- Langkah 2: Instal sistem di VM
Buat sistem operasi yang bersih (Windows / Linux baik-baik saja) di VMware,
VM ini hanya digunakan untuk "melihat kode ketidakpercayaan", jangan masuk ke akun pribadi.
- Langkah 3: Jangan menjembatani jaringan
Mode jaringan VM dengan NAT,
Jangan gunakan Bridged untuk mencegah VM memasuki intranet Anda secara langsung.
- Langkah 4: Jangan memasang hard drive lokal
Jangan lampirkan direktori Dokumen, Desktop, dan beranda lokal ke VM.
Jika tidak, ini setara dengan mengirim kunci pribadi dan kunci SSH secara langsung.
- Langkah 5: Instal alat pengembangan di VM
VS Code, Node, dan Git semuanya diinstal di VM,
Repo juga hanya kloning di VM.
- Terakhir, buka repositori dengan VM
Setelah itu, repositori yang tidak tepercaya selalu kloning, membuka IDE, dan membaca kode di VM.
Bahkan jika IDE melakukan sesuatu secara otomatis, dampaknya hanya akan tetap ada di VM.
--
Setelah menginstal lingkungan di langkah 5, Anda dapat menjalankan snapshot untuk mengambil snapshot, dan kemudian selama ada masalah dengan sistem, Anda juga dapat memulihkannya secara langsung.
Bagaimanapun, VM sangat sederhana, dan untuk Agen AI sebelumnya yang memotong seluruh direktori sistem, Anda juga dapat menggunakan VM untuk mengisolasinya dan membangun VM yang dikembangkan secara khusus.
Untuk referensi Anda.
9 Jan, 16.57
Perhatian semua orang yang berganti pekerjaan setelah tahun,
Baru-baru ini, saya melihat beberapa posting Threads,
Seseorang yang diwawancarai mengkloning repositori dari jarak jauh tanpa melakukannya secara manual
Gunakan IDE ( VS code / Cursor ..) untuk view kode sumber
Kunci pribadi di komputer bocor.
--
Untuk menambahkan prinsip serangan, banyak orang yang justru salah paham.
IDE saat ini (VS Code, Cursor, WebStorm) telah lama menjadi lebih dari sekadar alat untuk "membaca kode".
Segera setelah Anda membuka reposito, IDE akan secara otomatis menggunakan Node.js untuk memuat file konfigurasi dalam proyek untuk membantu Anda dengan analisis jenis ESLint, Prettier, TypeScript, dan deteksi kerangka kerja (Next.js / Vite / React).
Misalnya, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, ini terlihat seperti file konfigurasi, dan pada dasarnya semuanya adalah "JavaScript yang dapat dieksekusi".
Penyerang menyembunyikan kode berbahaya di profil ini.
Anda tidak memiliki npm run, Anda tidak memiliki node index.js,
Tetapi IDE telah melakukannya untuk Anda terlebih dahulu.
Setelah dieksekusi, Anda dapat melakukan banyak hal di bawah "izin pengguna", seperti membaca kunci pribadi, kunci SSH, dan file konfigurasi di komputer, dan kemudian mengirim data keluar, dan seluruh proses tidak akan melompati jendela apa pun atau membuat Anda menyadarinya.
Itu sebabnya situasi yang terdengar aneh ini terjadi:
Saya hanya repo klon
Saya hanya membuka IDE dan melihat kode sumber
Tapi kunci pribadi di komputer hilang
Bukan karena Anda licin, atau karena Anda tidak menyadari keamanan informasi.
Sebagai gantinya, rantai alat front-end modern itu sendiri "secara otomatis mengeksekusi kode proyek".
--
Pada dasarnya, jika Anda memberi saya kode sumber terbuka, saya biasanya lengah dan memindainya dengan AI setelah menariknya ke bawah, tetapi setelah membuka kode VS, saya masih akan memenangkan tawaran Q_Q
Saya akan menyiapkan lingkungan yang terisolasi untuk membuka "proyek yang tidak tepercaya"
Yang paling stabil adalah VM, diikuti oleh Docker + VS Code Remote.
Biarkan pemindaian Node.js, ESLint, Prettier, dan kerangka kerja semuanya berjalan di lingkungan yang terisolasi, bahkan jika ada masalah, dampaknya akan terkunci.
Sandbox bawaan di Windows juga merupakan lingkungan yang terisolasi, tetapi dihapus setelah dimatikan dan diinstal ulang setiap saat.
Menggunakan VM jauh lebih nyaman, dapat digunakan kembali dan sepenuhnya mengisolasi lingkungan, tetapi berhati-hatilah untuk tidak langsung menjembatani jaringan dan memasang hard drive lokal, yang setara dengan membuka pintu belakang Q_Q
535
Teratas
Peringkat
Favorit