TDOHConf 為國內資安社群TDOH所舉辦的大型學生資安研討會
旨在促進更多學生駭客間的交流與引導新手更快的踏路資安的領域
有鑑於許多非常棒的研討會都只辦在北部,對於中南部欲參加的學生來說路途相當遙遠
因此, TDOH 為了提升中南部學生的資安學習機會與意願
TDOH Conf 2018 將於 2018 年 9 月 29 日於高雄舉辦。
因應詭異多變的資安威脅及攻擊,TDOH總召在某天的晚上,作出了重大的決定.
舉辦一個精采的研討會需要集合眾人之力,因此 TDOH 真誠的期望您願意成為與我們共同舉辦精彩研討會的夥伴!
TDOH Conf 2018 Call for paper
# Underground Hacking——駭客地下城 TDOH Conf 2018 Call for paper
年度主題 —— 駭客地下城(Underground Hacking),舉凡機器學習、資訊安全相關技術或研究、CTF 競賽經驗、社群參與或資訊安全相關經驗等各式題材皆歡迎您與我們一同分享;除上述所提及之類型外,其他資訊安全相關題材亦均可自由投稿。
內容須基於資訊安全技術,可以是 Coding 技巧、工具使用對資安推廣與資安人才培育等等。
年度主題 —— 駭客地下城(Underground Hacking),舉凡機器學習、資訊安全相關技術或研究、CTF 競賽經驗、社群參與或資訊安全相關經驗等各式題材皆歡迎您與我們一同分享;除上述所提及之類型外,其他資訊安全相關題材亦均可自由投稿。
內容須基於資訊安全技術,可以是 Coding 技巧、工具使用對資安推廣與資安人才培育等等。
TDOH Conf 2018 Call for paper
Underground Hacking -- TDOH Conf 2018 Call for Papers
Date: 2018/09/29
Location: Lotus Lake International Garden Villa (高雄蓮潭國際會館)
Address: No.801, Chongde Rd., Zuoying Dist., Kaohsiung City 813, Taiwan
Date: 2018/09/29
Location: Lotus Lake International Garden Villa (高雄蓮潭國際會館)
Address: No.801, Chongde Rd., Zuoying Dist., Kaohsiung City 813, Taiwan
資安新聞及事件週報 2018/5/21 ~ 2018/5/25
1.重大弱點漏洞
AppScan檢測CAS,tomcat SSL版本漏洞
http://kabike.iteye.com/blog/2423143
Mozilla Thunderbird 多個漏洞
https://www.mozilla.org/en-US/security/advisories/mfsa2018-13/
D-Link DIR-550A和DIR-604M 安全漏洞 CVE-2018-10968
https://nvd.nist.gov/vuln/detail/CVE-2018-10968
寶馬多款車型被曝通用安全漏洞,可被黑客遠程攻擊
http://hackernews.cc/archives/23084
科恩安全實驗室發現多款寶馬車型存在安全漏洞
https://bit.ly/2s8fwOg
價值$36k的Google App Engine RCE漏洞詳情
https://xz.aliyun.com/t/2350
大學生找出Google App Engine重大遠程漏洞,贏得3.6萬美元獎金
http://life.soundofhope.org/technology/p-193442.html
AppScan檢測CAS,tomcat SSL版本漏洞
http://kabike.iteye.com/blog/2423143
Mozilla Thunderbird 多個漏洞
https://www.mozilla.org/en-US/security/advisories/mfsa2018-13/
D-Link DIR-550A和DIR-604M 安全漏洞 CVE-2018-10968
https://nvd.nist.gov/vuln/detail/CVE-2018-10968
寶馬多款車型被曝通用安全漏洞,可被黑客遠程攻擊
http://hackernews.cc/archives/23084
科恩安全實驗室發現多款寶馬車型存在安全漏洞
https://bit.ly/2s8fwOg
價值$36k的Google App Engine RCE漏洞詳情
https://xz.aliyun.com/t/2350
大學生找出Google App Engine重大遠程漏洞,贏得3.6萬美元獎金
http://life.soundofhope.org/technology/p-193442.html
資安新聞及事件週報 2018/5/14 ~ 2018/5/18
1.重大弱點漏洞
Zimbra Collaboration Suite mailboxd 安全漏洞 CVE-2018-10951
https://nvd.nist.gov/vuln/detail/CVE-2018-10951
多款Advantech產品安全漏洞 CVE-2018-7497
https://nvd.nist.gov/vuln/detail/CVE-2018-7497
亞馬遜旗下智能門鎖曝漏洞:兩次改密碼也擋不住窺視
http://www.fjii.com/sy/qysy/2018/0512/152825.shtml
思科發布安全公告披露高危漏洞,Cisco DNA Center 軟件受到影響
http://hackernews.cc/archives/22987
Cisco Digital Network Architecture Center(DNA) 多個漏洞
http://blog.nsfocus.net/cisco-dna-vul/
關於Windows遠程代碼執行漏洞及Microsoft Excel遠程代碼執行漏洞的通報
https://read01.com/kEPx0j2.html
首屆XPwn大會上小米索尼和極路由漏洞被曝光
http://www.btc112.com/246/26924.html
美政府漏洞程序洩露:Windows攻擊氾濫成災
http://tech.163.com/18/0513/16/DHMUQ66200097U7T.html
GPON事件研究綜整
GPON事件研究綜整
0X0 說明
鑒於近期發生家用型光纖路由器因存在漏洞,遭利用為挖掘虛擬貨幣設備,或成為殭屍網路節點,並且有社群版友分享遭攻擊事件,以下綜整及粗略研析,有關GPON事件相關資料。
0X1 背景
GPON,Gigabit Passive Optical Network縮寫,基於ITU-TG.984.x標準的最新一代寬頻無源光綜合接入標準,GPON技術主要是將光纖技術、光纖分配技術、光纖網路技術三個部分共同組合,它是通過採用點到多點的拓撲結構將光纖接入到其中,從而引進GEM技術的現代化格式,這種技術的應用能有效的滿足眾多用戶的新要求,對整個語音功能、使用功能和傳輸功能的普及提出了新的標準。[1][2]
與銅線電纜相比,GPON可以減少維護費用,並徹底避免掉雜訊干擾,在眾多解決接取網路瓶頸技術中,GPON是唯一可在單一波長下提供2.5Gbps頻寬的技術,對於接取層來說,其更能適應未來的FTTx寬頻市場。[3]安全公司指出,GPON是一種常見的被動光纖網路,通常此類家用路由器是由ISP提供,估計全球有1,054,692台GPON路由器曝險,墨西哥及哈薩克為最主要集中地,其他地區包括越南等。[4]
0X0 說明
鑒於近期發生家用型光纖路由器因存在漏洞,遭利用為挖掘虛擬貨幣設備,或成為殭屍網路節點,並且有社群版友分享遭攻擊事件,以下綜整及粗略研析,有關GPON事件相關資料。
0X1 背景
GPON,Gigabit Passive Optical Network縮寫,基於ITU-TG.984.x標準的最新一代寬頻無源光綜合接入標準,GPON技術主要是將光纖技術、光纖分配技術、光纖網路技術三個部分共同組合,它是通過採用點到多點的拓撲結構將光纖接入到其中,從而引進GEM技術的現代化格式,這種技術的應用能有效的滿足眾多用戶的新要求,對整個語音功能、使用功能和傳輸功能的普及提出了新的標準。[1][2]
與銅線電纜相比,GPON可以減少維護費用,並徹底避免掉雜訊干擾,在眾多解決接取網路瓶頸技術中,GPON是唯一可在單一波長下提供2.5Gbps頻寬的技術,對於接取層來說,其更能適應未來的FTTx寬頻市場。[3]安全公司指出,GPON是一種常見的被動光纖網路,通常此類家用路由器是由ISP提供,估計全球有1,054,692台GPON路由器曝險,墨西哥及哈薩克為最主要集中地,其他地區包括越南等。[4]
資安新聞及事件週報 2018/5/7 ~ 2018/5/11
1.重大弱點漏洞
OpenFlow交換機協議曝身份驗證漏洞,難修復
https://www.easyaq.com/news/573388844.shtml
100萬家用“光貓”中發現嚴重的RCE漏洞
http://www.4hou.com/vulnerable/11293.html
Dasan GPON家庭路由器安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10561
https://nvd.nist.gov/vuln/detail/CVE-2018-10562
上百萬台光纖路由器爆漏洞,變更網址即可避開認證機制
https://blog.trendmicro.com.tw/?p=55484
D-Link DIR-601 安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10641
D-Link DSL-3782 安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10713
阿根廷一黑客發現能輕易攻破監控攝像頭的漏洞
https://bit.ly/2KcE0xh
研究人員:監控攝像頭存在漏洞,使用默認密碼時容易遭到黑客攻擊
http://www.lezhiot.com/LeZhIOTArtView.aspx/FFA6AE0741CAF56D
高危漏洞可致海康威視攝像頭、DVR及賬戶被遠程劫持
http://www.aqniu.com/threat-alert/33702.html
日本數十台同品牌網路攝影機遭針對式入侵
https://twcert.org.tw/subpages/securityInfo/hackevent_details.aspx?id=825
多款KONGTOP DVR產品安全漏洞
https://nvd.nist.gov/vuln/detail/CVE-2018-10734
TDOH-PIPE 北區聚 & 業界職涯分享講座 | 201805
TDOH-PIPE 北區聚 & 業界職涯分享講座 | 201805
關於 TDOH
TDOH 成立於 2013 年中,是當時一群對資安極具熱情的學生們所創立,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模全國性校園資安社群。TDOH 近年來已有數十場講座舉辦經歷,也協助過多個社群單位與教育單位舉辦講座、課程,並發展多個資安教育平台的專案。平常則舉辦許多小型活動熱絡資安社群間的交流,而從 2016 年開始舉辦如 TDOH - PIPE、Conf 等大型活動,致力於打造更完善的資訊安全學習環境。
TDOH - PIPE 是什麼?
TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。PIPE 在 Linux 指令中為兩指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。
有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 / 社團,協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。
專案目標:
- 輔導學生們成立與經營資安讀書會 / 社團
- 提供其每月一次的資安技術教學
- 安排導師指導資安讀書會 / 社團
- 促進學生學習資安與互相交流技術
TDOH - PIPE 課程方向
資訊安全的面向很廣,大方向可以分為 攻擊、防禦、鑑識 三大部份,而這三大部份下的分支又十分地廣。
這學期主要先透過大家生活平常最相關的 WEB ,帶給大家相關的攻擊、防禦議題,
並會在本學期末舉辦小型的 CTF競賽,聽講之外也能有實作的部份。
關於駭客引路人 - 業師諮詢
為了提供參與學生們更多學習與解惑的機會,每月活動都將邀請 2~5 位 優秀的業界前輩 / 資安圈內優秀的學生 們擔任活動業師參與下午的交流活動上,針對學生在資安學習路上遇到的任何困難提供諮詢喔 !不知道從何開始嗎?學習路上不知如何抉擇嗎?學習上遇到困難嗎?
那請務必要好好把握下午業師諮詢的時間好好問垮業師喔 !
本月內容
- 公部門資安工作分享 - 宏碁 Jack 雲端商業應用顧問
- 「Hack Your Life」落實駭客精神 - 安創資訊 Ethen
- 私人企業資安工作經驗分享 - 果核數位 陳昱崇資安經理
- 誰說只有駭客才可以搞資安 - ForceShield, Inc. Danny
- 業師諮詢與學生分享
交流活動資訊
- 日期:107/05/19 (六)
- 時間:13:00 ~ 17:00
- 地點:Doers Work 實踐空間
- 地址:台北市松山區八德路四段70號
- 餐飲:活動將提供 精緻茶點、飲料
票種說明
- PIPE 票 : PIPE 票: 費用免費(限 TDOH PIPE 計畫合作學校)
- 普通票 : 100 元: 供所有對資安有興趣的非學生朋友購買參加。
TDOH - PIPE 合作學校:
北商大、北科 NPC、大安高工、松山高中、文化大學、台中科大、中央大學、興大附中、逢甲黑客社、台北城市科大、竹女資研讀書會、淡大資安讀書會、中興大學資訊社、台大網路安全局
[報名購票請點我]
[TDOH-PIPE 合作聯繫]
資安新聞及事件週報 2018/4/30 ~ 2018/5/4
**1.重大弱點漏洞**
上百萬台光纖路由器爆認證旁路漏洞,可被遠程訪問攻擊
http://hackernews.cc/archives/22781
上百萬台光纖路由器爆認證旁路漏洞,任何人可遠程訪問攻擊
https://bit.ly/2rjBTzS
光纖路由器爆RCE漏洞,上百萬台家用路由器門戶洞開
https://www.ithome.com.tw/news/122791
百萬餘臺韓國Dasan路由器曝遠程劫持漏洞,墨西哥、越南等受影響嚴重
https://www.secrss.com/articles/2385
GitHub發現以明文紀錄用戶密碼的內部臭蟲
https://www.ithome.com.tw/news/122827
Apache Strusts2漏洞一年未修復企業Web服務器遭黑客批量入侵
http://tech.china.com/article/20180427/kejiyuan0326130787.html
企業未修復Apache Struts 2漏洞,致Web服務器被批量入侵
https://www.secrss.com/articles/2346
NetApp OnCommand Unified Manager for Linux 安全漏洞 CVE-2018-5486
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5486
Switch破解工具NXLoader釋出,透過Android即可啟動Fusée Gelée
https://bit.ly/2Ky8c70
任天堂Switch漏洞已可運行Windows95 老任再遇危機
https://bit.ly/2JQEYPB
訂閱:
文章 (Atom)
2024年 12 月份資安、社群活動分享
2024年 12 月份資安、社群活動分享 Self-Taught Coding Tuesdays - Study, Code, Design, Build, Network 2024/12/3 https://www.meetup.com/taiwan-code-camp/e...
-
2024年 3月份資安、社群活動分享 線上資安人力需求對談-網路通信產業 2024/3/2 https://isipevent.kktix.cc/events/ff6f2146 2024H1資安實戰演練大會AI爆發時代的企業資安聯合軍演 2024/3/6 https://b...
-
2024年 2月份資安、社群活動分享 Taipei All About API Meetup Group - Meet and Greet, 01 Feb 2024, 07:00 PM 2024/2/1 https://www.meetup.com/taipei-all-a...
-
2024年 5 月份資安、社群活動分享 資安五四三 2024/5/2 https://csa.kktix.cc/events/202405-543 HackingThursday 黑客星期四 - Week meetup Tamsui 固定聚會 淡水 2024/5/2 http...