这是一个创建于 73 天前的主题,其中的信息可能已经有所发展或是发生改变。
波及相当广泛的:
liteLLM 投毒
axios 投毒
apifox cdn 恶意脚本
iOS 系统级弹窗安全警告( Coruna / DarkSword ),波及 ios 几乎所有主要版本,没记错的话应该是苹果第一次用这种弹窗
接下来被偷了凭证但是没轮换的开发者又能造成多大破坏呢,不敢想
比如: https://t.me/weflow_cc/306
append: 想讨论一下怎么做一些基础的防护,比如给重要的密钥加 passphrase 。但是很多 apikey 还是要明文存在本地.env 里面,不知道怎么办?
 |
1 midraos 4 月 2 日 1
我是自己做了一个 API 网关,真实的 apikey 都保存在网关上,本地只有虚假的 API 网关的 key |
 |
2 stinkytofux 4 月 2 日没有办法避免. 只能给重要服务器加 ip 访问白名单, 避免外部入侵. |
 |
3 Ayanokouji 4 月 2 日本机开了防火墙,新请求都有弹窗,只能自己多注意下了,但是也不能排除自己疏忽,放行了 |
|
6 Ayanokouji 4 月 2 日@q534 是的,看走眼就没辙。就跟 axios 帖子那个兄弟似的,火绒已经告警了,但是还是放行了。 |
 |
8 XWZCoffee 4 月 2 日我真的被这种事搞得好累,很多防护都没用,总会有个环节会漏洞。 |
 |
9 Duolingo 4 月 2 日所以证明了定期重装系统的必要性( doge ) |
 |
10 IceRovah 4 月 2 日apifox 暴雷后换了电脑上所有 ssh 密钥,新密钥都设置密码了,应该稳当一些吧 |
 |
11 momooc 4 月 2 日如果密钥设置的简单密码,那么不也很容易破解吗? |
 |
12 cyp0633 4 月 2 日weflow 这事还是挺吓人的,issue 里 collaborator 一开始完全没意识到 |
 |
13 Sezxy 4 月 2 日
最新安全事件 |
 |
14 bbbblue 4 月 2 日passphrase 都加上了 |
 |
15 Hashbaby 4 月 2 日是的 github 应该自己手动编译 但是有心的恶意开发者有一百种方法运行恶意代码 |
 |
16 BeautifulSoap 4 月 2 日感觉躲不了,只能物理断网 |
 |
17 kamikat 4 月 3 日第三方服务用 docker 部署,开发环境用 docker 容器隔离,不装 Electron 打包的垃圾应用 |
 |
18 Ne 4 月 3 日外面 都是草台班子,只能自己看着办! |
 |
19 q534 4 月 3 日@Ayanokouji 而且如果用 clash 之类的,防火墙会全都识别成代理进程的请求,更没辙了 |
|
20 q534 4 月 3 日 |
 |
22 Autonomous 4 月 7 日我已经不敢把 NAS 暴露公网了,现在一律用代理连 |
|
23 XWZCoffee 4 月 10 日博主,最近有人因为 apifox 服务器被登的么 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。
