欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

微软GitHub账号被黑,500GB数据被窃取

e6e9fdb1a932f3282020-05-0899资讯

近日,有一名为Shiny Hunters的黑客联系BleepingComputer称黑掉了微软的GitHub账号,并获得了其所有Private库的访问权限。

微软GitHub账号被黑,500GB数据被窃取  资讯 第1张

黑客证明有微软私有GitHub库的访问权限

Shiny Hunters称,本来想将这500GB的私有项目数据出售,但最终决定将其免费开放。

基于泄露的文件的文件时间戳,研究人员推断这期数据泄露的发生时间应该是2020年3月28日,至今已经过去1个多月。

微软GitHub账号被黑,500GB数据被窃取  资讯 第2张

表明泄露日期的泄露数据

Shiny Hunters称目前已经无法访问该账号。

Shiny Hunters在黑客论坛上提供了约1GB的泄露数据文件供注册用户下载,虽然不收取费用,但需要支付站点的积分。

其中泄露的文件中包含中文文本或引用了latelee.org或中文文本,有黑客在论坛上回复说数据可能并不是真的。

研究人员根据Shiny Hunters发给BleepingComputer的目录列表和样本数据分析,发现这些被窃的数据主要是代码样本、处于测试期的项目、电子书和其他通用内容。

其他一些有意思的项目包括'wssd cloud agent',是一个Rust/WinRT语言翻译的项目、和一个PowerShell项目——'PowerSweep'。

总的来看,泄露的数据中并没有Windows或office源码这样的重要数据。

 微软GitHub账号被黑,500GB数据被窃取  资讯 第3张

网络情报公司Under the Breach称可能是私有API密钥或口令意外保存在一些私有仓库中了,之前也有开发人员做过类似的事情。

但微软员工Sam Smith在发推称这起数据泄露事件可能是假的,因为微软有一个规则:GitHub仓库必须在30天内公开。

BleepingComputer也联系了微软来确认该事件的真实性,但截止目前还没有得到回复。


本文翻译自:https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/
2020 De1CTF & Animal Crossing

前言 五一的时候参与了一下De1CTF,里面有一道题让我印象很深刻:Animal Crossing。 题目分析 题干描述如下: 可能作者很喜欢玩动森),进去之后是一个如下页面: 我们随机输入一些字符串后,来到下一页: 此时我们的url: http://134.175.231.113:8848/passport?image=%2Fstatic%2Fhead.jpg&island=vwev&fruit=&name=ewvc&data=vcwevcw 我们随机更改,页面会相应变化,同时发现有admin report界面: 那么很明显了,这应该是一个xss打管理员cookie的题目。 尝试fuzz了一下各个参数,发现攻击点应该在data参数上,但其过滤了大量的字符,并且设有csp,导致常规的xss做法并不适用: Content-Security-Policy: default-src 'self' 'unsafe-inline' 'unsafe-eval';object-src 'none'; 原型链构造 发现我们的代