郭盛华:黑客破坏Okta的GitHub存储库,窃取源代码

原创 于 2022-12-26 22:14:38 发布 · 249 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#东方联盟

身份管理服务提供商Okta的部分源代码存储库被未授权访问,但未影响客户数据或服务。涉及GitHub上的OktaWorkforceIdentityCloud代码库,已采取措施防止进一步滥用。

提供身份和访问管理服务的公司Okta周三透露,本月早些时候以未经授权的方式访问了其一些源代码存储库。

“对任何客户都没有影响,包括任何HIPAA,FedRAMP或DoD客户,”该公司在一份公开声明中表示。“客户不需要采取任何行动。”

         

国际知名网络安全专家、东方联盟创始人郭盛华透露:“涉及身份不明的黑客访问GitHub上托管的Okta Workforce Identity Cloud(WIC)代码存储库。随后,该访问权限被滥用于复制源代码。”

基于云的身份管理平台指出,微软拥有的 GitHub 于 2022 年 12 月初向它发出了该事件的警报。它还强调,违规行为不会导致未经授权访问客户数据或Okta服务。

在发现漏洞后,Okta表示,它对存储库访问施加了临时限制,并暂停了GitHub与其他第三方应用程序的所有集成。

这家总部位于旧金山的公司进一步表示,它审查了入侵者访问的存储库,并检查了最近的代码提交,以确保没有进行不当更改。它还轮换了GitHub的凭据,并向执法部门通报了这一发展。

“Okta不依赖其源代码的机密性来保证其服务的安全性,”该公司指出。

该警报是在 Okta 于 2021 年收购的 Auth0 披露与 2020 年及更早的一些代码存储库存档相关的“安全事件”近三个月后发出的。

郭盛华表示:“自今年年初以来,Okta已成为攻击者的有吸引力的目标。LAPSUS$ 数据勒索组织在获得对属于支持工程师的工作站的远程访问后,于 2022 年 1 月闯入了公司的内部系统。”

然后在 2022 年 8 月,Group-IB 发现了一个名为0ktapus的活动,针对包括 Twilio 和 Cloudflare 在内的多家公司,旨在窃取用户的 Okta 身份凭证和双因素身份验证 (2FA) 代码。(欢迎转载分享)

 

w3cschools
关注
郭盛华:警惕黑客通过 GitHub 存储库传播恶意软件
w3cschools的博客
06-15 314
国际知名白帽黑客东方联盟创始人郭盛华表示,“所有7个存储库在撰写本文时仍然可用,它们声称是针对 Discord、Google Chrome 和 Microsoft Exchange Server 中所谓的零日漏洞的概念验证 (PoC) 漏洞利用。这两个存储库已被删除。目前还不清楚他们是否成功了,但鉴于他们一直在寻求这种攻击途径,他们似乎相信自己会成功。除了黑客分享一些据称的发现以试图建立合法性外,还发现这个账户使用了 Rapid7 等公司的实际安全研究人员的头像,这表明威胁行为者已经竭尽全力执行该活动。
安全专家郭盛华黑客是如何入侵手机的?
w3cschools的博客
01-18 4359
从防火墙到数据丢失防护软件,已经有很多安全解决方案可以保护移动中的敏感数据以及企业存储和云中的静止数据。但是,移动端点是当今最大的安全漏洞之一,黑客入侵手机似乎变得易如反掌。 移动设备一直是本年度一些最引人注目的和备受瞩目的攻击的关键。国际知名白帽黑客东方联盟创始人郭盛华表示:“所谓的iPhone入侵事件成为了无需复杂的暴力破解或技术就能渗透移动设备的一个关键例子。” 郭盛华透露:“简单的网络钓鱼是移动设备受到攻击的最常见方式,并且由于移动设备采用率的增加以及在COVID-19大流行期间远程工作的
郭盛华黑客使用社会工程学进行欺骗的3种方式
w3cschools的博客
11-13 1173
近日,国际知名白帽黑客东方联盟创始人郭盛华微博发布一篇技术论文,他提到黑客使用社会工程学进行欺骗的3种方式,我们来仔细研读一下。 1.黑客通过网络钓鱼电子邮件或电话进行攻击。 网络工程是最常见的社会工程形式之一,而黑客却试图让您的单击或下载注入了恶意软件的附件来感染公司设备,从而使坏人得以进入。这些狡猾的电子邮件发送者常常伪装成重要的东西。领导负责人,假装自己可以信任的经理或供应商。他们还常常使人产生打开文件或执行特定任务的紧迫感,甚至会恐惧地促使收件人做出轻率的判断。 但是网络钓鱼电子邮件并不是唯
黑客教父郭盛华:不要让互联网公司窃取你的脸
科技程序园
05-30 4510
  近日,中国知名黑客教父,元老,网络安全专家,东方联盟创始人郭盛华表示:“停止社交网络和搜索引擎在未经您许可的情况下使用您的面部数据。”他还说,我们着手寻找一种方法来欺骗面部识别和机器学习,以便我们可以通过深度学习/神经网络保护我们的面部数据。  最近我们选择了一种模式,您可以在下面看到这种模式,当他们尝试对我们的脸进行分类时,它会欺骗各大APP脸部识别软件。  今天以及未来,您的生物数据(语音...
郭盛华黑客能通过电线顺走你的数据
w3cschools的博客
07-20 250
在最后的数据接收阶段,传输的数据通过隐藏的接收器捕获,或者依靠组织中的恶意内部人员在气隙系统附近携带无线电接收器。作为对策,建议采取措施防止威胁行为者获得初始立足点,使用外部射频(RF)监控系统从气隙系统中检测6GHz频段的异常情况,或者使用检测到可疑的隐蔽通道活动时的随机读写操作。知名白帽黑客东方联盟创始人郭盛华他在上周发表的一篇论文中写道“虽然气隙计算机没有无线连接,但我们表明攻击者可以使用SATA电缆作为无线天线来传输6GHz频段的无线电信号”。...
传奇人物郭盛华:汽车黑客,远远比我们想象中还要恐怖
w3cschools的博客
11-07 707
知名网络安全专家,东联科技创始人兼CEO郭盛华透露:“随着互联网的广泛传播,现在的时代早已经是信息化时代,足不出户就能够在网络上了解千里之外发生的事情,这让我们的生活更加的多样化以及便利化,我们可以在网上体验多媒体的功能,和网友一起讨论一些我们感兴趣的话题,还能够在网上购买东西,订购东西,这无疑方便了我们的生活。” 但是现在为了网络安全,我们寄存在网络上的私人信息也越来越多我们在注册网络账号...
白帽黑客郭盛华:供应链枢纽需要从网络安全开始
w3cschools的博客
07-14 330
在紧急情况下,供应链的变化很常见。回想一下汽车制造商在第二次世界大战期间将工厂从建造汽车转变为制造轰炸机,坦克和军事运输工具的方式。在COVID-19之后,制造商通过向一线工人和居家市民提供重要的医疗用品和必要的便利设施,同样填补了重要的空白。服装公司已经开始生产口罩,而像特斯拉这样的科技巨头已经推出了定制呼吸机设计。 国际知名白帽黑客东方联盟创始人郭盛华透露:“对于当今的制造商而言,他们面对的是1940年代汽车制造商从未面临的威胁:网络攻击。制造商不仅已经很容易遭受数据泄露的威胁,而且转向生产线和
郭盛华:免受网络黑客攻击的5个技巧
w3cschools的博客
09-02 523
近日,东方联盟创始人、知名网络黑客安全专家郭盛华微博表示:“不断出现新的攻击和技术,并且由于我们对技术的依赖,无论是在家庭还是在工作生活中,网络安全意识从未像现在这样重要。 但是,可以防止黑客获得访问权限的许多方式,因此,这是我确保您保护家庭和组织中的系统的主要技巧。 提示1:使用不仅是密码(又称为两因素身份验证) 两因素身份验证(2FA)是在所有好的平台(例如Microsoft和Google等)上都可用的安全功能,或使用第三方手机验证保护,它使您可以额外登录或采取措施。这是另一层保护,可以阻止黑
黑客教父郭盛华:8种方法能快速重构整体代码库
weixin_30768661的博客
04-28 451
  中国黑客教父,元老级人物,威名远播的网络黑客安全专家,东方联盟创始人郭盛华提供了8种方法能快速重构整体代码库:他表示,虽然许多软件项目都是以最好的意图开始的,比如干净的架构,明确的目标和明确的目标,但并非所有的目标都是如此。而且,在那些做的人当中,并不是所有人都会一直这样。   随着时间,功能要求,财务压力,竞争优先级以及不断变化的开发人员,很可能开始作为代码质量的光辉典范最...
黑客教父郭盛华:11个IDA Pro反汇编程序的替代品
BRAVE MAN的博客
10-18 1585
link:https://zhuanlan.zhihu.com/p/36955346 中国黑客教父,元老,知名网络安全专家,东方联盟创始人郭盛华发表安全博文: 要破解加密的软件,当然离不开汇编语言,软件破解常用汇编指令很多,而IDAPro是反汇编的黄金标准。但是,IDAPro许可证的起始价格为1,200美元,因此对于许多人来说,它的成本极高。值得庆幸的是,多年来出现了一些可靠的替代品。黑客教父...
教父郭盛华透露:PHP编程语言中多个代码执行缺陷
科技程序园
09-08 661
黑客无处不在,知名教父级网络安全专家郭盛华透露:“PHP编程语言其核心和捆绑库中的多个高严重性漏洞,其中最严重的漏洞可能允许黑客远程攻击者执行任意代码并破坏目标服务器。 超文本预处理器,通常称为PHP,是目前最受欢迎的服务器端Web编程语言,它支持78%以上的Internet。目前几个维护分支下的最新版本包括PHP版本7.3.9和7.2.22以及7.1.32,解决了多个安全漏洞。根据PHP应...
第1课:郭盛华课程_零基础学Linux操作系统
郭盛华的优快云技术博客
02-26 673
主讲老师:郭盛华   Linux不仅系统性能稳定,与其他操作系统相比 ,具有开放源码、技术社区用户多等特点,开放源码使得用户可以自由裁剪,灵活性高,功能强大,成本低。   Linux核心防火墙组件性能高效、配置简单,保证了系统的安全。在很多企业网络中,为了追求速度和安全,Linux操作系统不仅仅是被网络运维人员当作服务器使用,Linux既可以当作服务器,又可以当作网络防火墙是Linux的...
第1课:郭盛华教学视频_零基础认识MySQL数据库
郭盛华的优快云技术博客
11-14 1191
主讲老师:郭盛华   MySQL是一种开放源代码的关系型数据库管理系统,在本教程中,会让大家从零基础快速掌握 MySQL 知识,并轻松使用MySQL 数据库。   MySQL 是一个关系型数据库管理系统,由瑞典 MySQLAB 公司开发,目前属于 Oracle 公司。 MySQL数据库特点: 1、MySQL 是开源的,所以你不需要支付额外的费用。 2、MySQ...
20、漏洞利用:WebShell利用原理,黑客是如何拿下最高权限
郭盛华的优快云技术博客
10-14 2431
主讲老师:郭盛华 什么是WebShell ? webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。 黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 今天就给大...
Robotstudio传送链动态跟踪技术[代码]
最新发布
11-24
本文详细介绍了ABB公司推出的Robotstudio离线编程与仿真软件在传送链动态跟踪技术中的应用。文章围绕机器人对传送带上动态工件的精准识别与加工,系统讲解了动态目标识别、路径规划、同步控制与安全策略等核心技术。通过Solution2配置文件和实操视频,帮助用户掌握从仿真设计到实际部署的完整流程。内容涵盖Robotstudio基础功能、工作单元构建、动态目标识别技术实现、机器人路径规划与轨迹控制、安全策略配置与碰撞检测,以及Solution2项目文件结构与工程交付流程。适用于工业自动化与机器人开发领域的工程师和技术人员,为其提供了一套完整的传送链跟踪技术解决方案。
Redis安全漏洞全解析[项目源码]
11-24
本文详细解析了Redis未授权访问漏洞的成因、影响版本及防御措施,包括主从复制原理分析与本地靶场实战。文章首先介绍了Redis的基本概念和特点,随后深入探讨了未授权访问漏洞的成因、影响版本及防御措施。接着,详细讲解了在CentOS 7上部署Redis的步骤,包括安装准备、下载安装、服务管理和防火墙配置。文章还提供了Redis未授权访问漏洞的验证方法和演示,包括定时任务、SSH公钥写入和Web目录shell写入等利用方式。此外,还介绍了Redis主从复制机制、持久化与主从复制的关系,以及单机模拟Redis主从复制的步骤。最后,文章通过Vulfocus靶场实战演练,展示了Redis Lua沙盒绕过命令执行(CVE-2022-0543)和Redis未授权访问漏洞的利用方法。
分布式微服务企业级系统设计与实现(源码+论文)
11-24
分布式微服务企业级系统是一个基于Spring、SpringMVC、MyBatis和Dubbo等技术的分布式敏捷开发系统架构。该系统采用微服务架构和模块化设计,提供整套公共微服务模块,包括集中权限管理(支持单点登录)、内容管理、支付中心、用户管理(支持第三方登录)、微信平台、存储系统、配置中心、日志分析、任务和通知等功能。系统支持服务治理、监控和追踪,确保高可用性和可扩展性,适用于中小型企业的J2EE企业级开发解决方案。 该系统使用Java作为主要编程语言,结合Spring框架实现依赖注入和事务管理,SpringMVC处理Web请求,MyBatis进行数据持久化操作,Dubbo实现分布式服务调用。架构模式包括微服务架构、分布式系统架构和模块化架构,设计模式应用了单例模式、工厂模式和观察者模式,以提高代码复用性和系统稳定性。 应用场景广泛,可用于企业信息化管理、电子商务平台、社交应用开发等领域,帮助开发者快速构建高效、安全的分布式系统。本资源包含完整的源码和详细论文,适合计算机科学或软件工程专业的毕业设计参考,提供实践案例和技术文档,助力学生和开发者深入理解微服务架构和分布式系统实现。 【版权说明】源码来源于网络,遵循原项目开源协议。付费内容为本人原创论文,包含技术分析和实现思路。仅供学习交流使用。
STM32H743 IAP UART升级[项目源码]
11-24
本文详细介绍了基于STM32H743ZIT6微控制器的IAP(在应用编程)实现方法,通过UART接口进行固件在线升级。内容涵盖STM32H7系列内存架构解析(包括ITCM、DTCM、AXI SRAM等区域特性与地址分配)、Flash擦写操作流程(解锁-擦除-写入-上锁)、Bootloader与APP程序的设计与配置(包括MPU、RCC、串口等模块初始化),以及完整的代码实现与操作步骤。重点分析了如何通过串口接收二进制文件并写入指定Flash区域,实现安全可靠的固件更新机制,适用于工业现场设备远程升级场景。
FPGA滑动平均滤波器[可运行源码]
11-24
本文详细介绍了FPGA数字信号处理中的滑动平均滤波器及其在ASK解调系统中的应用。文章首先解释了ASK解调系统中判决门限的选择问题,指出2ASK和4ASK信号需要获取直流分量作为判决门限。随后,重点阐述了滑动平均滤波器的原理,包括其频率响应与CIC滤波器的一致性,并提供了256点滑动平均滤波器的FPGA实现代码。代码展示了如何使用寄存器移位存储数据并计算均值,同时讨论了综合器优化代码的作用。最后,文章通过仿真结果验证了滑动平均滤波器在2ASK和4ASK解调中的有效性,并指出了初始阶段数据不足可能带来的误差问题。
黑客攻击导致电脑插电无法充电,他是做了什么攻击
06-26
<think>嗯,用户询问黑客如何通过攻击让笔记本电脑插电后无法充电。这个问题需要结合硬件漏洞和攻击手段来分析。首先想到的是USB供电规范中的漏洞,比如攻击者可能篡改充电协议。USBPD协议通过CC线协商电压电流,如果黑客能注入恶意数据包,就能破坏正常充电流程。然后考虑固件层面的攻击。很多笔记本电源管理芯片有可编程固件,攻击者可能通过恶意更新让芯片误判电池状态,比如伪造"电池过热"信号迫使充电停止。2017年ThinkPad固件漏洞就是类似案例。中间人攻击也值得关注。如果用户使用公共充电桩,黑客可能植入恶意设备转发数据,在传输过程中篡改指令。比如把"请求20V/3A充电"替换成"请求5V/0.5A",导致实际无法充电。硬件层面的攻击手段更隐蔽。攻击者可能改造充电线,在VBUS线上串联MOS管,通过无线信号控制通断。这种物理破坏会让电脑检测到异常电流而启动保护机制。最后想到电源适配器本身的漏洞。有些厂商为降低成本使用未加密的MCU,黑客通过电压浪涌就能触发故障状态,使适配器输出异常。安全研究人员曾演示过让GaN充电器永久锁死的案例。用户提供的引用材料里提到充电桩被黑客改造的案例,这和笔记本充电场景很相似。特别是引用[2]中专家指出黑客会更换内部系统组件,引用[3]则提到USB线传输数据的安全风险。这些技术原理完全适用于笔记本电脑充电场景。考虑到用户可能还想知道防御措施,准备在回答中补充安全建议。比如使用加密充电线、避免公共充电站、定期检查固件更新等。这些内容能帮助用户形成完整认知。</think>黑客可通过以下技术手段导致笔记本电脑插电后无法充电,其攻击原理主要围绕**电源协议篡改、固件攻击及硬件欺骗**展开: --- ### 一、充电协议层面的攻击(软件层) 1. **USB PD协议注入攻击** 现代笔记本通过USB-C的**Power Delivery(PD)协议**与充电器协商电压/电流。黑客可: - 伪造恶意PD控制器,发送`Reject`或`Soft Reset`指令中断协商流程[^3] - 注入非法电压配置(如强制要求20V输入但笔记本仅支持15V),触发设备保护机制暂停充电 - 篡改`Source_Capabilities`数据包,诱导设备请求不存在的供电方案 2. **固件中间人攻击** 在公共充电桩植入恶意硬件: ```plaintext 笔记本 → [恶意PD嗅探器] → 充电桩 │ 篡改数据包 │ └─发送错误状态─┘ ``` 例如持续返回`Wait`状态码(`0x01`)或伪造`Battery_Status`数据(电量100%),使系统误判无需充电[^1][^3]。 --- ### 二、硬件层面的物理破坏 1. **VBUS电压欺骗** 攻击者改造充电线/接口: - 在VBUS(供电线)串联**MOSFET开关**,周期性切断电流(>10次/秒) - 导致电源管理芯片(PMIC)误判为**接触不良**,主动关闭充电通路 - 表面现象:插电时电源灯闪烁但电量持续下降 2. **CC线信号劫持** 通过恶意充电坞截获CC(Configuration Channel)引脚: - 发送`DR_SWAP`指令强制切换主机/设备角色 - 持续输出`RA_ATTENTION`中断请求,阻塞正常通信[^4] --- ### 三、系统级恶意软件配合 1. **驱动层攻击** 木马程序篡改ACPI电源管理表: - 修改`_PSR`(Power Source)对象返回值,始终返回"AC未连接" - 重写`_PCL`(充电限流)方法,将充电电流限制为0mA ```c Method(_PCL, 0x1) { Return(0) // 原始值为充电电流(mA),0代表禁止充电 } ``` 2. **电池管理芯片(BMS)劫持** 通过SMBus总线发送恶意指令: - `Reset()`命令触发BMS进入安全锁定状态 - 写入无效的`ChargingVoltage()`参数(如超出电芯承受范围) - 导致BMS主动切断充电回路保护硬件[^5] --- ### 防御建议 1. **物理隔离** - 使用**USB数据隔离器**(USB Condom)阻断数据传输引脚(D+/D-) - 优先选择**纯供电线缆**(无E-Marker芯片) 2. **系统防护** ```powershell # 检查ACPI表完整性(Windows) Get-WmiObject -Namespace root\wmi -Class AcpiTable_WmiMethods | Invoke-WmiMethod -Name GetAcpiTable ``` - 启用UEFI安全启动锁定电源管理驱动 - 定期更新EC/BMS固件 3. **行为监控** 监测异常电源事件: ```plaintext 事件ID 105 - AC/DC切换异常 事件ID 155 - 电池策略被篡改 ``` > **技术本质**:此类攻击本质是**对能量传输协议的欺骗**。正如安全专家郭盛华指出,黑客通过改造充电设备内部系统,实现对硬件通信协议的劫持[^2]。而纽约大学的研究证实,只要控制底层指令流,极小的攻击面即可造成物理功能失效[^1]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值