通过 SQL 注入绕过机场安检
Sam Curry 和 Ian Carroll 发现了 FlyCASS 中的一个严重漏洞,FlyCASS 是一个基于网络的系统,小型航空公司使用它来管理已知机组人员 (KCM) 和驾驶舱访问安全系统 (CASS) 的访问权限。
他们在 FlyCASS 登录页面上发现一个 SQL 注入漏洞,该漏洞允许他们绕过身份验证并获得航空公司账户的管理员访问权限。
作为管理员,他们可以将新员工添加到 KCM 和 CASS,而无需进一步验证。这意味着任何具有基本 SQL 注入知识的人都可以将自己或他人添加到这些程序中,从而绕过机场安检并获得进入驾驶舱的权限。
他们于 2024 年 4 月 23 日负责任地向国土安全部 (DHS) 披露了此漏洞。国土安全部承认了此问题并确认他们正在努力解决问题。随后,FlyCASS 被 KCM/CASS 禁用。
尽管 TSA 新闻办公室试图协调进一步披露,但他们还是发布了误导性声明,淡化了漏洞的严重性。他们声称需要 KCM 条形码才能访问,而忽略了 TSA 代理可以手动输入员工 ID 的事实。
研究人员指出了这种不准确性,但 TSA 从其网站上删除了相关信息,并停止回应进一步的沟通尝试。
一个开关售价 1697 美元
利用 Advantage Air 专有的平板电脑协议进行逆向工程,实现开源兼容性
- • **问题:**原装 AA 平板电脑坏了,更换的平板电脑价格过高。
- • **逆向工程:**作者使用 apktool 和 JAXE 反编译了 AA 应用(“aaservice”和“eZone”)。他们发现这些应用包含基于平板电脑型号的设备特定检查。
- • 修改应用程序:
- • 作者编辑了“aaservice”应用程序中的 smali 代码(Java 字节码的低级表示)以绕过设备检查。
- • 他们使用与原始 AA 应用程序相同的密钥库对修改后的“aaservice”APK 进行了签名。
- • **测试成功:**安装修改后的“aaservice”后,作者可以将平板电脑连接到 AA 系统。然后,他们对“eZone”应用进行了类似的更改,使其也能与系统通信。
- • 开源可能性: Hacker News 评论员 (gstar) 透露,AA 系统使用 RS422 通信和 base64 编码的 AES 加密。他们建议构建一个基于 ESP32 的开源控制器。Gstar 还指出,获取平板电脑的 root 权限并更改“build.MODEL”值可能会使第三方平板电脑兼容。
- • 硬件详细信息: Gstar 提供了有关使用 TTL 至 RS422 转换器和带有 JST-SH 1.0 连接器的廉价 RJ45 子板复制 AA 系统接口的信息。
一百万个复选框的秘密
作者创建了一款名为“一百万次点击按钮”(OMCB)的在线游戏,用户点击按钮即可增加计数器。
Discord 开发者社区发现了 OMCB,并开始使用机器人自动点击,从而显著增加了点击次数。
这些机器人尝试了越来越复杂的策略,最终创建了动画,甚至尝试通过操纵相邻的单元为他们的绘画添加颜色。
笔者观察了这次活动,对机器人所展现的创造力和技术技能印象深刻。
虽然一些用户抱怨机器人破坏了“普通”玩家的体验,但作者理解这些担忧,但最终发现机器人的聪明才智鼓舞人心。
作者将他们自己年轻时编码和突破界限的经历进行了类比,强调了鼓励和支持对年轻开发者的重要性。
作者最后表示,自己为自己创造出如此激发创造力和创新力的作品而感到自豪,并期待这些才华横溢的人在未来取得的成就。
Chrome 正在巩固第三方 Cookie,这将误导用户
- • 浏览器拒绝: Brave、Firefox 和 Safari 等主流浏览器已公开反对 RWS,认为它对用户和网络都有害。该提案已被 W3C 隐私社区小组撤回。
- • **所有权变更:**一个主要问题是集合内的网站可能会随时间推移而改变所有权。当发生这种情况时,没有机制可以自动将网站从集合中移除,这可能会导致与用户不打算信任的实体共享数据。这反映了恶意行为者获取的浏览器扩展和软件库的安全风险。
- • 用户感知问题: RWS 背后的理念是,用户可以根据共享的品牌或徽标判断网站是否相关。然而,研究表明,即使是英语用户也很难预测 Google 会认为哪些网站相关。当用户遇到不熟悉语言的网站时,这个问题会更加严重。
- • 时间悖论: RWS 假设用户可以根据先前的关系信息来决定是否访问相关网站。但要确定这种关系,用户必须先加载网站,这可能在他们做出明智决定之前就已经暴露了他们的数据。
本质上,由于 RWS 依赖于潜在不稳定的网站关系,并且无法在数据共享_之前_向用户提供有意义的信息,因此它引发了对用户隐私、控制和安全的重大担忧。
Elasticsearch 再次开源
- • **Elasticsearch 重新采用开源许可证 (AGPL)。**此举推翻了三年前做出的改用不同许可模式的决定。
- • **为什么要改变?**过去三年来,开源软件的格局发生了重大变化。最初的许可证变更旨在解决市场混乱并明确 Elasticsearch 的立场。现在,Elastic 认为 AGPL 是最好的前进道路,可能为未来更多的开源选择铺平道路。
- • 解决潜在问题:
- • 这篇博文预计会有人批评许可证变更是一个错误或软弱的表现。Shay Banon 强调 Elastic 所经历的积极势头,并指出了产品进步和强劲的市场表现。
- • 通过强调 AGPL 的 OSI 批准和 MongoDB 和 Grafana 等项目的广泛采用,解决了人们对 AGPL 不是“真正的”开源的担忧。
- • **用户受益:**添加 AGPL 作为许可选项为喜欢此模式的用户提供了更大的灵活性。现有的 Elasticsearch 用户可以继续使用他们喜欢的许可证而不会中断。
- • 展望未来: Elastic 将继续致力于创新,并在无状态 Elasticsearch、ES|QL、用于生成 AI 的矢量数据库增强功能和可观察性功能等领域持续发展。该公司对未来充满信心,并将此次许可变更视为朝着更广泛采用开源迈出的积极一步。
太阳能成本能否持续下降?
- • 效率提升:
- • 太阳能电池板的效率可以通过双面板(从两侧捕获阳光)、半切电池、叠瓦电池和背接触电池等创新来提高。
- • 虽然在不久的将来效率翻倍是可能的,但要超过 40% 的效率还需要取得突破。
- • 降低成本:
- • 太阳能电池板成本预计将从每瓦直流电 0.39 美元降至每瓦直流电 0.05 美元。
- • 建设成本(设计、工程、土木工程、系统平衡、劳动力、逆变器)可能会再次减半,从约 0.47 美元/瓦特直流降至约 0.10 美元/瓦特直流。
- • 土地考虑:
- • 目前,土地成本仅占太阳能发电场整体支出的一小部分,但随着土地供应减少和需求增加,这一比例预计将变得更加重要。
- • 太阳能发电场运营商将寻找最便宜的土地,从而有可能降低整体太阳能价格。
- • 加速创新周期:
- • 由于太阳能光伏的设置成本相对较低,安装时间短,因此其创新周期较短。与核电等行业相比,这可以更快地降低成本。
- • 财务因素:
- • 资本成本下降(贷款规模较小、风险降低、安装速度加快、潜在利率降低)将进一步有助于降低成本。
- • 效率提升:
- • 提高效率可使能源产量翻倍,从而有效降低每瓦成本。若要在此基础上进一步大幅降低成本,可能需要在光伏电池板技术上取得突破。
综合所有这些因素,太阳能成本预计将下降 8 倍。在此之后,成本下降速度预计将放缓。
OpenAI擅长缩小代码
- • 所讨论的文本最初被认为是字符、符号和代码序列的混合体,缺乏任何明确的含义。
- • 对于其性质,人们考虑了几种可能性:
- • **实验艺术:**使用非常规的字体来唤起一种感觉或美感。
- • 损坏的数据: 原始内容已被打乱。
- • **编码信息:**可能使用需要密钥才能解密的密码。
- • 作者最初认为 LLM(可能是 ChatGPT)由于缺少字符(░▒▓█)而无法准确复制代码逻辑。
- • 一位 Hacker News 用户认为这可能是一个复制粘贴错误。
- • 进一步调查发现,由于编码问题,原始代码使用了不同的字符。
- • 下载并使用正确的字符后,LLM 的输出与原始代码完全匹配。
- • 作者对错误地指控法学硕士 (LLM) 学位犯有错误表示歉意。
自制自动化太阳能聚光器
该项目是一个自制自动太阳能聚光器的开源设计,它使用镜子将阳光聚焦到固定目标上。
以下是其主要功能和组件的细分:
- • **功能:**聚光器全天自动跟踪太阳,将光线聚焦到目标区域(目前是一个简单的混凝土烤箱)。这种聚集的阳光可以产生大量热量,在测试中温度最高可达 210°C。
- • 安全问题: 由于会产生高热,该项目强调了安全的重要性。它警告用户,如果操作不当,浓缩器可能会造成烧伤、失明和火灾危险。
- • 主要优势:
- • **成本效益:**该设计采用了现成且廉价的材料,如浴室镜子、模型发动机和宜家货架上的钢化玻璃。
- • 简易: 搭建对精度要求不高,用一般工具即可完成,组装、拆卸简单。
- • **开源性质:**该项目完全开源,易于理解、修改和社区贡献。
- • 技术细节:
- • **力学:**提供机械部件(镜面、目标、电机支架)的 3D 模型。
- • **电子设备:**包括控制电机和跟踪太阳的定制监控板的原理图和布局。
- • 软件:
- • 模拟器: 允许用户根据硬件配置评估理论功率输出。
- • **主管控制器(ESP32-CAM 固件):**管理整体操作,包括太阳跟踪和目标检测。
- • **电机控制器(Arduino Pro Mini 固件):**控制调整镜面位置的电机。
- • **未来发展:**创建者设想扩大该项目以控制多个面板,从而增加功率输出,实现以下应用:
- • 快速加热/煮沸水
- • 水脱盐和杀菌
- • 烹饪和食品杀菌
- • 熔化塑料、金属或玻璃
- • 聚光光伏技术提高太阳能电池板效率
- • **许可:**该项目使用多种许可证:电子和机械文件夹使用 Creative Commons Attribution-NonCommercial-ShareAlike 4.0,软件文件夹使用 GNU GPL 3。
.hljs.code__pre::before { position: initial; padding: initial; content: ''; display: block; height: 25px; background-color: transparent; background-image: url("doocs.oss-cn-shenzhen.aliyuncs.com/img/123.svg"); background-position: 14px 10px!important; background-repeat: no-repeat; background-size: 40px!important; } .hljs.code__pre { padding: 0!important; } .hljs.code__pre code { display: -webkit-box; padding: 0.5em 1em 1em; overflow-x: auto; text-indent: 0; }
本文使用 文章同步助手 同步
