转义错误配置的 VSCode 扩展 – The Trail of Bits Blog
长话短说: 这个由两部分组成的博客系列将介绍我如何发现并披露 VSCode 扩展中的三个漏洞以及 VSCode 本身的一个漏洞(分配的安全缓解绕过) CVE-2022-41042 并授予 7,500 美元的赏金)。我们将确定每个漏洞的根本原因,并创建完全有效的漏洞利用程序来演示攻击者如何危害您的计算机。我们还将推荐防止将来发生类似问题的方法。 几个月前,我决定评估我们在审计过程中经常使用的一些 VSCode 扩展的安全性。我特别研究了两个 Microsoft 扩展:SARIF 查看器(有助于可视化静态分析结果)和实时预览(直接在 VSCode 中呈现 HTML 文件)。 为什么要关心 VSCode 扩展的安全性?正如我们将演示的,VSCode 扩展中的漏洞(尤其是那些解析潜在不受信任的输入的漏洞)可能会导致本地计算机受到损害。在我审查的两个扩展中,我发现了一个高度严重的错误,该错误允许攻击者窃取您的所有本地文件。由于其中一个错误,如果您在扩展程序在后台运行时访问了恶意网站,攻击者甚至可能窃取您的 SSH 密钥。 在这项研究中,我了解了 VSCode Webviews(沙盒 UI 面板,在与主扩展不同的上下文中运行,类似于普通网站中的 iframe),并研究了逃避它们的途径。在这篇文章中,我们将深入探讨 VSCode Webview 是什么,并分析 VSCode 扩展中的三个漏洞,其中两个漏洞导致任意本地文件泄露。我们还将研究一些有趣的利用技巧:使用 DNS 泄露文件以绕过限制性内容安全策略 (CSP) 策略,使用 srcdoc iframe 来执行 JavaScript,并使用 DNS 重新绑定来提高我们的漏洞利用的影响力。 在即将发布的博客文章中,我们将检查 VSCode 本身的一个错误,即使在配置良好的扩展中,该错误也允许我们逃离 Webview 的沙箱。 VSCode 网页视图 在深入研究错误之前,了解 […]
新游戏加入PlayStation Store Summer Promo -PlayStation Blog in French
超级夏季促销的第一部分结束了,但是今天的PlayStation Store在PlayStation Store上的新促销游戏继续进行!*您可以利用各种游戏的折扣,包括下面介绍的游戏。去PlayStation Store Summer Promo页面 ICI 要发现所有可用的数字游戏,并找到您的下一个伟大冒险。 左边一点 瘟疫故事捆绑 Ace Combat™7:天空未知 阿喀琉斯:传奇不可to AEW:永远战斗 帝国年龄II +神话高级版捆绑 神话时代:REROLD PREMIUM EDITY 奇观的年龄4:高级版 AI极限豪华版 外星人:流氓入侵VR 救护车生活 – 豪华版 祖先:人类奥德赛 愤怒的小鸟VR:猪岛 Anno 1800™控制台版 – 标准 另一个螃蟹的宝藏 亚利桑那太阳®2 Arma reforger 刺客信条传奇收藏 刺客信条海市rage大师刺客版 刺客的信条流氓重新制作了 刺客信条瓦尔哈拉(Creed Valhalla) – 完整版 刺客的Creed®起源 刺客信条®集团黄金版 刺客信条®ezio系列 竞赛赛车资产 最新版赛车资产 Atelier Firis:炼金术士和神秘之旅DX Atelier Yumia:记忆和设想的土地的炼金术士 阿特拉斯倒下:沙子统治 核电 原子心 – […]
从信号到见解:使用Fabric EventsTream构建实时流数据平台| Microsoft Fabric Blog
Contoso如何使用MQTT传感器,公共天气供稿和面料实时智能来监视智能建筑物。 共同撰写 艾丽西亚·李(Alicia Li) 和 Arindam Chatterjee 为什么实时流处理很重要 在AI时代, 随着组织的拥抱 智能系统和数据驱动的决策, 能力 到达的那一刻 正在解锁新的水平 敏捷性和洞察力。 从异常检测和操作优化到预防欺诈和个性化经验,实时见解为下一波创新提供了动力。对于前瞻性企业,实时流处理已成为基础能力。 在这篇文章中,我们将探讨智能建筑运营商Contoso如何使用Microsoft Fabric的实时智能来构建流媒体数据平台,该数据平台连接房间传感器,天气供稿和警报系统。 体系结构概述 每个Contoso操作的建筑都配备了将温度和占用数据流向MQTT经纪人的房间传感器。为了丰富这些数据,Contoso还摄入了公共天气供稿,从而使室内和室外状况之间的相关性。这些实时信号推动了更明智的能源使用,改善乘员舒适性,并及时对环境变化做出响应。 图1:智能建筑环境监测体系结构 如图1所示,这些实时信号流过Microsoft Fabric的实时智能堆栈 – 从摄入到转换,警报和可视化。该体系结构包括: 摄入MQTT和天气数据的事件流。 无代码和SQL运算符用于构建数据。 用于触发警报的数据激活器。 用于存储和分析时间序列数据的Eventhouse。 实时仪表板,用于监视最新趋势,异常等。 在以下各节中,我们将介绍建筑的每个阶段的实施。 等不及要了解更多?查看完整的演练 演示视频。 步骤1:使用EventsTream摄入数据 Contoso的实时旅程始于数据 – 很多。每个建筑物都会播放从房间传感器到MQTT经纪人的温度和占用读数。为了做出更明智的决定,Contoso通过来自Azure地图的实时天气数据丰富了这些信号,从而使它们能够将室内条件与室外环境相关联。这种组合有助于优化HVAC的使用,检测异常读数,预测舒适性问题并积极反应,而不是反应性。 Microsoft Fabric的实时枢纽使它变得容易。借助用于MQTT和Azure Maps天气的内置连接器,Contoso只需单击几下即可摄入多种数据流。 打开实时集线器,然后单击“连接数据源”。 选择MQTT连接器并连接 创建一个新连接并填写主题名称。 输入EventsTream编辑模式。 选择“添加源”和“连接数据源”。 选择天气数据连接器 选择位置(例如伦敦) 从EventsTreams设置页面启用多个模式推理功能。 导航到默认流上的数据预览: 选择多个模式下拉列表。 从传入数据自动推断出每个模式。您可以切换到其他模式以查看详细信息。 步骤2:使用无代码和SQL运算符的过程和转换流数据 一旦数据开始流入织物事件流,下一步就是将其塑造成可用的格式。原始传感器和天气数据通常需要进行过滤,重命名或富集,然后才能准备好警报或仪表板。对于contoso,这意味着仅提取他们关心的字段并重新构图数据以符合常见数据模型,例如摄氏(Celsius)而不是华氏(Wahrenheit)等报道的温度。 织物通过内置的转换工具使它变得容易。您可以使用无代码运算符进行快速过滤和成型,或者切换到SQL以获得更高级的逻辑 – […]