Subiecte populare
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Crypto since 2017| ⭕rdinals|Inscription#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Fugi de acasă n8n Încă un bug cu un rating de 10.0 complet
N8n este folosit frecvent pentru tranzacționare automată și plasare a comenzilor, monitorizarea prețurilor și condițiilor de compensare, procesarea webhook-urilor portofelului sau bursei, notificarea modificărilor activelor, conectarea API CEX/DEX, gestionarea cheilor private sau a cheilor API și automatizarea operațiunilor și alarmelor.
Această vulnerabilitate CVSS 10.0 nu afectează nicio funcție, ci întregul strat de control.
Preia controlul asupra n8n fără a te loga, citește sau exfiltrează cheile API/cheile private, modifică procese automate, introduce logică malițioasă de transfer sau tranzacții sau chiar preia controlul întregilor servere sub implementări cu privilegii ridicate.
Este mai nemilos decât ce am postat ieri,
Este posibil ca serverul tău să fie la capăt.
-
Cineva a câștigat deja la loterie, așa că actualizează rapid n8n și apoi înlocuiește API-ul cu cheie privată numit pentru a asigura securitatea.
Vulnerabilitatea conexă de pe GitHub am menționat-o mai jos:
Acesta este un atac complet format din CVE-2026-21858 cu vechiul CVE-2025-68613
641
Aplicația care a devenit brusc populară astăzi "E moartă?"
Am căutat versiunea internațională numită "Demumu"
Clasamentul a ajuns pe locul trei la categoria unelte
Se pare că principalul motiv al popularității este partea de cerere, iar inovația este secundară
--
Asta înseamnă că această aplicație este și foarte utilă. Acum că am intrat într-o societate super-vârstă, este bine pentru părinții mei să o folosească.
Sper să nu uite să dea swipe pe Alpha și să-mi 🤣 trimită o grămadă de mesaje, așa cum fac eu
453
Pe această piață, acest trafic arată că toată lumea este încă foarte preocupată de siguranța fondurilor sale!
VMware Workstation Pro este acum gratuit de folosit în versiunea personală și este foarte ușor de folosit direct pe Windows și Mac.
Să vorbim despre precedentul "fișiere iOS de instalare Windows, vă rugăm să le descărcați de la Microsoft, dacă folosiți pachetul altcuiva, este echivalent cu un alt risc."
Pentru Linux, descarcă distribuția oficială Ubuntu și nu există nicio problemă cu pachetul.
Dacă nu vrei să pariezi pe "deschiderea repository-ului va cauza un accident", cea mai sigură metodă este să deschizi repository-ul cu VMware în loc să folosești calculatorul local pentru a-l deschide direct.
Procesul simplu este următorul.
- Pasul 1 Instalarea VMware sau Virtualbox
VMware Workstation Pro poate fi instalat local), atâta timp cât poate rula mașini virtuale.
- Pasul 2 Instalează sistemul pe mașină virtuală
Creează un sistem de operare curat (Windows / Linux este în regulă) în VMware,
Această mașină virtuală este folosită doar pentru a "vedea codul de neîncredere", nu te conecta la un cont privat.
- Pasul 3 Nu conecta rețeaua
Modul de rețea VM cu NAT,
Nu folosi Bridged pentru a împiedica VM-urile să intre direct în intranet.
- Pasul 4 Nu montați hard disk-ul local
Nu atașa directoarele locale de Documente, Desktop și home la VM.
În rest, este echivalent cu trimiterea direct a cheii private și a cheii SSH.
- Pasul 5 Instalarea uneltelor de dezvoltare în mașină virtuală
VS Code, Node și Git sunt toate instalate în mașină virtuală,
Repository-ul este, de asemenea, doar o clonă în VM.
- În final, deschide depozitul cu VM-ul
După aceea, repo-urile neîncredințate sunt întotdeauna clonate, deschid IDE-uri și citesc cod în mașină virtuală.
Chiar dacă IDE-ul face ceva automat, impactul va rămâne doar în mașină virtuală.
--
După instalarea mediului în pasul 5, poți rula un snapshot pentru a face un snapshot, iar atâta timp cât există o problemă cu sistemul, îl poți restaura direct.
Oricum, VM-ul este extrem de simplu, iar pentru agentul AI anterior care tăia întregul director de sistem, poți folosi VM-ul pentru a o izola și a construi o VM special dezvoltată.
Pentru referința ta.
9 ian., 16:57
Atenție tuturor celor care își schimbă locul de muncă după un an,
Recent, am văzut câteva postări pe Threads,
Cineva intervievat a clonat de la distanță un repository fără să o facă manual
Folosește IDE-ul (VS code / Cursor ..) pentru a vizualiza codul sursă
Cheia privată din calculator a fost scursă.
--
Ca să adaug principiul atacului, mulți oameni chiar au înțeles greșit.
IDE-urile de astăzi (VS Code, Cursor, WebStorm) au fost mult timp mai mult decât simple instrumente pentru "citirea codului".
De îndată ce deschizi depozitul, IDE-ul va folosi automat Node.js pentru a încărca fișierele de configurare din proiect, pentru a te ajuta cu ESLint, Prettier, analiza tipurilor TypeScript și detectarea cadrului (Next.js / Vite / React).
De exemplu, eslint.config.js, prettier.config.js, next.config.js, vite.config.js, acestea par fișiere de configurare și sunt practic toate "JavaScript executabil".
Atacatorii ascund cod malițios în aceste profiluri.
Nu ai NPM în funcțiune, nu ai index.js nodului,
Dar IDE-ul deja a făcut-o pentru tine mai întâi.
Odată executat, poți face multe lucruri sub "permisiuni de utilizator", cum ar fi să citești cheia privată, cheia SSH și fișierul de configurare în calculator, apoi să trimiți datele, iar întregul proces nu va sări peste nicio fereastră și nu te va lăsa să observi.
De aceea apare această situație care sună bizar:
Sunt doar un depozit clonă
Pur și simplu deschid IDE-ul și mă uit la codul sursă
Dar cheia privată din calculator a dispărut
Nu este vorba că ești alunecos sau că nu ești conștient de securitatea informațiilor.
În schimb, lanțul modern de unelte front-end "execută automat codul proiectului".
--
Practic, dacă îmi dai un cod open source, de obicei îmi las garda jos și îl scanez cu AI după ce îl scot jos, dar după ce deschid VS code, tot câștig oferta Q_Q
Voi pregăti un mediu izolat pentru deschiderea "proiectelor neîncrezătoare"
Cel mai stabil este VM, urmat de Docker + VS Code Remote.
Lasă scanarea Node.js, ESLint, Prettier și framework să ruleze într-un mediu izolat, chiar dacă apar probleme, impactul va fi blocat.
Sandbox-ul încorporat în Windows este, de asemenea, un mediu izolat, dar este eliminat după ce este oprit și reinstalat de fiecare dată.
Folosirea unei mașini virtuale este mult mai convenabilă, poate fi reutilizată și izolează complet mediul, dar ai grijă să nu faci legătura direct între rețeaua și să montezi hard disk-uri locale, ceea ce echivalează cu deschiderea unei uși din spate Q_Q
545
Limită superioară
Clasament
Favorite