Актуальні теми
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Крипто з 2017 року| ⭕rdinals|Inscription#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Втекти n8n Ще одна помилка з рейтингом 10.0 повний
N8n зазвичай використовується для автоматизованої торгівлі та розміщення ордерів, моніторингу цін і умов клірингу, обробки вебхуків на гаманці або біржі, сповіщення про зміну активів, підключення CEX/DEX API, обробки приватних або API-ключів, а також автоматизації операцій і сигналізації.
Ця вразливість CVSS 10.0 впливає не на одну функцію, а на весь рівень керування.
Захопити n8n без входу, зчитувати або виводити API-ключі/приватні ключі, модифікувати автоматизовані процеси, вставляти шкідливу логіку передачі чи транзакції, або навіть захоплювати цілі сервери під високою привілеями.
Це більш жорстоко, ніж те, що я опублікував учора,
Можливо, ваш сервер знаходиться на кінці.
-
Хтось уже виграв у лотерею, тому швидко оновіть n8n і замініть викликаний приватний ключ API для забезпечення безпеки.
Пов'язану вразливість на GitHub я навів нижче:
Це повна атака, що складається з CVE-2026-21858 зі старим CVE-2025-68613
679
Додаток, який раптово став популярним сьогодні, «Чи він мертвий?»
Я шукав міжнародну версію під назвою «Demumu»
Рейтинг піднявся на третє місце в категорії інструментів
Виявляється, головна причина популярності — це попит, а інновації — другорядні
--
Це означає, що цей додаток теж дуже корисний. Тепер, коли ми увійшли в суспільство з надстарілим віком, моїм батькам корисно ним користуватися.
Сподіваюся, вони не забудуть провести Alpha і надіслати 🤣 мені купу повідомлень, як я
520
На цьому ринку цей трафік показує, що всі досі дуже переймаються безпекою своїх коштів!
VMware Workstation Pro тепер безкоштовний у персональній версії, і дуже легко користуватися ним безпосередньо на Windows та Mac.
Давайте поговоримо про попередній варіант «Windows інсталяційні файли IOS, будь ласка, завантажте їх з Microsoft, якщо ви використовуєте чужий пакет, це еквівалентно іншому ризику.»
Для Linux завантажте офіційний дистрибутив Ubuntu — і з пакетом проблем немає.
Якщо не хочете ставити на те, що «відкриття репозиторії призведе до аварії», найбезпечніший спосіб — відкрити репозиторію через VMware, а не використовувати локальний репозитор.
Простий процес такий.
- Крок 1: Встановити VMware або Virtualbox
VMware Workstation Pro можна встановити локально), якщо він може запускати віртуальні машини.
- Крок 2: Встановити систему на віртуальну машину
Створити чисту операційну систему (Windows / Linux підійде) у VMware,
Ця віртуальна машина використовується лише для «перегляду коду недовіри», не входити в приватний акаунт.
- Крок 3: Не об'єднувати мережу
Віртуальний мережевий режим з NAT,
Не використовуйте Bridged, щоб запобігти прямому входу віртуальних машин у ваш інтранет.
- Крок 4: Не монтувати локальний жорсткий диск
Не прикріплюйте локальні каталоги Documents, Desktop та Home до віртуальної машини.
В іншому випадку це еквівалентно прямому надсилання приватного та SSH-ключа.
- Крок 5: Встановити інструменти розробки у віртуальній машині
VS Code, Node і Git встановлені у VM,
Репозиторій також є клоном лише у віртуальній машині.
- Нарешті, відкрийте репозиторію за допомогою віртуальної машини
Після цього недовірені репозиторії завжди клонуються, відкривають IDE і читають код у віртуальній машині.
Навіть якщо IDE робить щось автоматично, вплив залишиться лише у віртуальній машині.
--
Після встановлення середовища на кроці 5 ви можете запустити знімок для отримання знімка, а потім, якщо з системою є проблема, можна відновити його напряму.
У будь-якому разі, VM надзвичайно проста, і для попереднього AI Agent, який вирізав всю системну директорію, ви також можете використати VM для ізоляції та створення спеціально розробленої VM.
Для вашої довідки.
9 січ., 16:57
Увага всім, хто змінює роботу після року,
Нещодавно я побачив кілька постів у Threads,
Хтось на співбесіді віддалено клонував репозиторію, не роблячи цього вручну
Використовуйте IDE (VS код / курсор ..) для перегляду вихідного коду
Приватний ключ у комп'ютері був витік.
--
Додаючи до принципу атаки, багато людей насправді неправильно зрозуміли.
Сучасні IDE (VS Code, Cursor, WebStorm) давно є чимось більшим, ніж просто інструментами для «читання коду».
Як тільки ви відкриваєте репозиторій, IDE автоматично використовує Node.js для завантаження конфігураційних файлів у проєкті, які допоможуть вам з ESLint, Prettier, аналізом типів TypeScript і виявленням фреймворку (Next.js / Vite / React).
Наприклад, eslint.config.js, prettier.config.js, next.config.js, vite.config.js виглядають як конфігураційні файли, і по суті всі вони є «виконуваним JavaScript».
Зловмисники приховують шкідливий код у цих профілях.
У тебе немає npm run, немає вузла index.js,
Але IDE вже зробила це для вас спочатку.
Після виконання ви можете робити багато функцій у розділі «user permissions», наприклад, читати приватний ключ, SSH-ключ і файл конфігурації на комп'ютері, а потім надсилати дані, і весь процес не буде стрибати через жодне вікно і не дозволятиме вам це помітити.
Ось чому виникає така дивна ситуація:
Я просто клон-репозиторій
Я просто відкриваю IDE і дивлюся вихідний код
Але приватний ключ у комп'ютері зник.
Справа не в тому, що ви слизкі чи не знаєте про інформаційну безпеку.
Натомість сучасний фронтенд-інструментарій сам «автоматично виконує код проєкту».
--
В основному, якщо дати мені відкритий код, я зазвичай розслабляюся і сканую його за допомогою ШІ після того, як знімаю, але після відкриття VS-коду я все одно виграю тендер Q_Q
Я підготую ізольоване середовище для відкриття «недовірених проєктів»
Найстабільнішою є VM, за нею Docker + VS Code Remote.
Нехай Node.js, ESLint, Pretty і сканування фреймворків працюють у ізольованому середовищі, навіть якщо виникнуть проблеми, вплив буде зафіксованим.
Вбудована пісочниця у Windows також є ізольованим середовищем, але її очищають після вимкнення та повторної установки щоразу.
Використання віртуальної машини набагато зручніше, її можна повторно використовувати, і вона повністю ізолює середовище, але будьте обережні, щоб не з'єднувати мережу напряму і не монтувати локальні жорсткі диски, що еквівалентно відкриттю бекдорі Q_Q
589
Найкращі
Рейтинг
Вибране