最新消息 #公告 #Research #Windows #MSRC

Angelboy 入列微軟 MSRC 2024 前百大最有價值資安研究員!

2024-08-08

恭喜 DEVCORE 資深資安研究員 Angelboy 榮獲 Microsoft 的 MSRC 2024 Most Valuable Security Researchers 的殊榮!除了在不分項 TOP 100 名單中榮獲 #33 名,在 Angelboy 長年研究的 Windows 領域中,他更以 #9 的名次擠入前十大行列。

這不僅是 Angelboy 首次登上該年度榜單,同時也是該名單中排名最高的台灣資安研究員。

Microsoft 旗下的 Microsoft Security Response Center(MSRC,或稱 Microsoft 安全性回應中心)長期藉 Microsoft Researcher Recognition Program(MRRR)計畫,公開表揚協助 Microsoft 挖掘系統安全漏洞的資安研究員,以此致謝優秀資安研究員為 Microsoft 的客戶及產品安全所付出的努力。

Microsoft 於 7 日公布的 MSRC 2024 Most Valuable Security Researchers 名單,是根據 2023 年 7 月至 2024 年 6 月,全球各地資安研究員向 MSRC 回報的漏洞得分所統計而得。在整體不分項名單中,Angelboy 獲得了 #33 名的殊榮。而針對 Microsoft 旗下各類型產品的 Windows 類別中,Angelboy 則入列 TOP 10,獲得 #9 的成績,並經認證全數漏洞回報皆為有效回報。

再次恭喜 Angelboy 奪得此一殊榮!

參考資料:

技術專欄 #CVE #Vulnerability #RCE #Advisory #Apache

Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!

orange

2024-08-09

這篇文章探索了 Apache HTTP Server 中存在的架構問題,介紹了數個 Httpd 的架構債,包含 3 種不同的 Confusion Attacks、9 個新漏洞、20 種攻擊手法以及超過 30 種案例分析。 包括但不限於: 1. 怎麼使用一個 ? 繞過 Httpd 內建的存取控制以及認證。 2. 不安全的 RewriteRule 怎麼跳脫 Web Root 並存取整個檔案系統。 3. 如何利用一段從 1996 遺留至今的程式碼把一個 XSS 轉化成 RCE。