最新 | 最热门 | 最高评价
---

+0  计时攻击 Timing Attacks

Tag: 程序设计 | 网络安全 | HMAC
tanglei.name 发于 2020年07月05日 13:26 | 点击: 503 | 展开摘要
本文来自读者“程序猿石头”的投稿文章《这 10 行比较字符串相等的代码给我整懵了,不信你也来看看》,原文写的很好,但不够直接了当,信息密度不够高,所以我对原文进行大量的删减、裁剪、改写和添加,主要删除了一些没有信息的段落,主要加入了如何实施计时攻击相关的其它内容,让这篇文章中的知识更系统一些,并且还指出了其它的一些问题。所以,我把标题也改成了《计时攻击 Timing Attacks》。

另类的字符串比较

在 Java 的 Play Framework 里有一段代码用来验证

查看全文: http://www.udpwork.com/item/17497.html
^..^

+0  如何免费的让网站启用HTTPS

Tag: Web开发 | 杂项资源 | 网络安全 | HTTP | HTTPS | SSL | Web | 安全
陈皓 发于 2017年08月26日 14:06 | 点击: 3349 | 展开摘要
今天,我把CoolShell变成https的安全访问了。我承认这件事有点晚了,因为之前的HTTP的问题也有网友告诉我,被国内的电信运营商在访问我的网站时加入了一些弹窗广告。另外,HTTP的网站在搜索引擎中的rank会更低。所以,这事早就应该干了。现在用HTTP访问CoolShell会被得到一个 301 的HTTPS的跳转。下面我分享一下启用HTTPS的过程。

我用的是 Let’s Encrypt这个免费的解决方案。Let’s Encrypt 是一个于

查看全文: http://www.udpwork.com/item/16395.html
^..^

+0  从 MongoDB “赎金事件” 看安全问题

Tag: 技术新闻 | 网络安全 | Bitcoin | MongoDB | ransom | 安全
陈皓 发于 2017年01月07日 17:11 | 点击: 2377 | 展开摘要
今天上午(2017年1月7日),我的微信群中同时出现了两个MongoDB被黑掉要赎金的情况,于是在调查过程中,发现了这个事件。这个事件应该是2017年开年的第一次比较大的安全事件吧,发现国内居然没有什么报道,国内安全圈也没有什么动静(当然,他们也许知道,只是不想说吧),Anyway,让我这个非安全领域的人来帮补补位。

事件回顾

这个事情应该是从2017年1月3日进入公众视野的,是由安全圈的大拿 Victor Gevers (网名:0xDUDE,GDI.foundation

查看全文: http://www.udpwork.com/item/16052.html
---

+0  关于移动端的钓鱼式攻击

Tag: Web开发 | 杂项资源 | 程序设计 | 网络安全 | Android | iOS | 安全
陈皓 发于 2015年04月14日 08:13 | 点击: 3964 | 展开摘要
今天,在微博上看了一篇《微信和淘宝到底是谁封谁》的文章,我觉得文章中逻辑错乱,所以,我发了一篇关于这篇文章逻辑问题的长微博。后面,我被原博主冷嘲热讽了一番,说是什么鸡汤啊,什么我与某某之流的人在一起混淆视听啊,等等。并且也有一些网友找我讨论一下相关的钓鱼式攻击的技术问题。所以,我想写下这篇纯技术文章,因为我对那些商业利益上的东西不关心,所以,只谈技术,这样最简单。

首先说明一下,我个人不是一个安全专家,也不是一个移动开发专家,按道理来说,这篇文章不应该我来写,但是我就试一试

查看全文: http://www.udpwork.com/item/14094.html
---

+0  bash代码注入的安全漏洞

Tag: Unix/Linux | 技术新闻 | 操作系统 | 网络安全 | Bash | env | export | 安全 | 安全补丁 | 环境变量
陈皓 发于 2014年09月28日 07:56 | 点击: 3092 | 展开摘要
很多人或许对上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,这两天,又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。这个漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现。随后,美国电脑紧急应变中心(US-CERT)、红帽以及多家从事安全的公司于周三(北京时间9月24日)发出警告。 关于这个安全漏洞的细节可参看美国政府计算安全的这两个漏洞披露:CVE-2014-6271 和 CVE-2014-7169。

这个漏

查看全文: http://www.udpwork.com/item/13318.html
^..^

+0  TCP 的那些事儿(下)

Tag: 程序设计 | 编程语言 | 网络安全 | Congestion Avoidance | Fast Recovery | RTO | RTT | TCP | Window
陈皓 发于 2014年05月28日 08:20 | 点击: 4111 | 展开摘要
这篇文章是下篇,所以如果你对TCP不熟悉的话,还请你先看看上篇《TCP的那些事儿(上)》 上篇中,我们介绍了TCP的协议头、状态机、数据重传中的东西。但是TCP要解决一个很大的事,那就是要在一个网络根据不同的情况来动态调整自己的发包的速度,小则让自己的连接更稳定,大则让整个网络更稳定。在你阅读下篇之前,你需要做好准备,本篇文章有好些算法和策略,可能会引发你的各种思考,让你的大脑分配很多内存和计算资源,所以,不适合在厕所中阅读。

TCP的RTT算法

从前面的TCP重传机制我

查看全文: http://www.udpwork.com/item/12569.html
---

+0  TCP 的那些事儿(上)

Tag: 程序设计 | 编程语言 | 网络安全 | ACK | ISN | MSL | SACK | SYN | TCP | TIME_WAIT
陈皓 发于 2014年05月28日 08:15 | 点击: 5814 | 展开摘要
TCP是一个巨复杂的协议,因为他要解决很多问题,而这些问题又带出了很多子问题和阴暗面。所以学习TCP本身是个比较痛苦的过程,但对于学习的过程却能让人有很多收获。关于TCP这个协议的细节,我还是推荐你去看W.Richard Stevens的《TCP/IP 详解 卷1:协议》(当然,你也可以去读一下RFC793以及后面N多的RFC)。另外,本文我会使用英文术语,这样方便你通过这些英文关键词来查找相关的技术文档。

之所以想写这篇文章,目的有三个,

一个是想锻炼一下自己是否可以用

查看全文: http://www.udpwork.com/item/12570.html
^..^

+0  C语言的整型溢出问题

Tag: C/C++语言 | 程序设计 | 编程语言 | 网络安全 | C++ | Overflow | 安全
陈皓 发于 2014年04月21日 08:18 | 点击: 2825 | 展开摘要
整型溢出有点老生常谈了,bla, bla, bla… 但似乎没有引起多少人的重视。整型溢出会有可能导致缓冲区溢出,缓冲区溢出会导致各种黑客攻击,比如最近OpenSSL的heartbleed事件,就是一个buffer overread的事件。在这里写下这篇文章,希望大家都了解一下整型溢出,编译器的行为,以及如何防范,以写出更安全的代码。

什么是整型溢出

C语言的整型问题相信大家并不陌生了。对于整型溢出,分为无符号整型溢出和有符号整型溢出。

对于unsigned

查看全文: http://www.udpwork.com/item/12154.html
---

+0  从“黑掉Github”学Web安全开发

Tag: Web开发 | 网络安全 | Gist | github | OAuth | Web | 安全
陈皓 发于 2014年02月10日 08:16 | 点击: 4523 | 展开摘要
Egor Homakov(Twitter: @homakov 个人网站: EgorHomakov.com)是一个Web安全的布道士,他这两天把github给黑了,并给github报了5个安全方面的bug,他在他的这篇blog——《How I hacked Github again》(墙)说明了这5个安全bug以及他把github黑掉的思路。Egor的这篇文章讲得比较简单,很多地方一笔带过,所以,我在这里用我的语言给大家阐述一下黑掉Github的思路以及原文中所提到的那5个bu

查看全文: http://www.udpwork.com/item/11673.html
---

+0  Alan Cox:单向链表中prev指针的妙用

Tag: C/C++语言 | Unix/Linux | 网络安全 | Alan Cox | C++ | Kernel | Linux | network | TCP
Leo 发于 2013年06月30日 12:27 | 点击: 2458 | 展开摘要
Alan Cox

(感谢网友 @我的上铺叫路遥 投稿)

之前发过一篇二级指针操作单向链表的例子,显示了C语言指针的灵活性,这次再探讨一个指针操作链表的例子,而且是一种完全不同的用法。

这个例子是linux-1.2.13网络协议栈里的,关于链表遍历&数据拷贝的一处实现。源文件是/net/inet/dev.c,你可以从kernel.org官网上下载。

从最早的0.96c版本开始,linux网络部分一直采取TCP/IP协议族实现,这是最为广泛应用的网络协议,整个架

查看全文: http://www.udpwork.com/item/10120.html
1

+1  程序员疫苗:代码注入

Tag: Web开发 | 网络安全 | CRSF | SQL | Web | XSS | 安全
陈皓 发于 2012年12月10日 08:34 | 点击: 3739 | 展开摘要
几个月在我的微博上说过要建一个程序员疫苗网站,希望大家一起来提交一些错误示例的代码,来帮助我们新入行的程序员,不要让我们的程序员一代又一代的再重复地犯一些错误。很多程序上错误就像人类世界的病毒一样,我们应该给我们的新入行的程序员注射一些疫苗,就像给新生儿打疫苗一样,希望程序员从入行时就对这些错误有抵抗力。

我的那个疫苗网站正在建议中(不好意思拖了很久),不过,我可以先写一些关于程序员疫苗性质的文章,也算是热热身。希望大家喜欢,先向大家介绍第一注疫苗——代码注入。

Shel

查看全文: http://www.udpwork.com/item/8825.html
---

+0  谈谈数据安全和云存储

Tag: 业界新闻 | 杂项资源 | 网络安全 | Cloud | 安全
陈皓 发于 2012年04月09日 08:33 | 点击: 2616 | 展开摘要
前些天,创新工场李开复同学在2012博鳌亚洲论坛表示:

“你们有多少人丢过手机?大概有15%。你们有多少人数据放在微软掉过的?我想不见得很多吧。所以相对来说是安全的。放在大公司里比自己拿着掉的概率更大,你不相信的话,可以问陈冠希先生。”

两种安全

看到这个消息的时候,我觉得李开复同学混淆了云存储和安全这两个概念,在英文里,有两个单词,一个是Safe,一个是Security,很不幸的是,这两个英文单词翻译成中文都叫“安全”,因此总是被混淆,熟知英文又熟悉IT业的李开复同学

查看全文: http://www.udpwork.com/item/7096.html
|<<<123>>>| 一共3页, 25条记录