最新 | 最热门 | 最高评价

+0  Blog安全问题小记

Tag: Security | DDos | PHP | WordPress | XML-RPC Attack
四火 发于 2017年11月21日 03:50 | 点击: 1062 | 展开摘要
最近Blog遭遇了几个安全问题,折腾了几个钟头,在此记录一下。

最大的问题是blog访问时不时地出现“502 bad gateway”,即便不出现,latency也能达到接近三十秒。

于是登上vps去看原因,top命令发现CPU都用完了。靠,十个php-fpm居然都在满功率工作。研究了一下,通常php-fpm在没有请求的时候是不应该占用那么多CPU资源的,而且mysql也高,似乎有人在访问网站,但是去access log里面却没找到东西:

top - 02:08:12

查看全文: http://www.udpwork.com/item/16506.html

+0  XSS 攻击的处理

Tag: security
alswl 发于 2017年05月31日 22:04 | 点击: 917 | 展开摘要
这是一年前写的项目笔记,一直在我的待办事项里等待做总结,今天偶然翻到,就整理成文章发出来。
谨以此文怀念 乌云。

事情缘由

春节前的某一天,收到一封来自乌云(国内知名白帽子团队)的邮件,
告知我厂网站上出现一例 XSS 漏洞。
因为以前对 XSS 输入做过防御,还以为是某个前端 DOM 上的 XSS 漏洞,
后来仔细一看,不妙,是个影响甚大的存储型 XSS 漏洞。

这里简单科普一下 XSS
跨网站脚本 -维基百科,自由的百科全书
中介绍到:

跨网站脚本(Cross-s

查看全文: http://www.udpwork.com/item/16285.html

+0  My Nexus 5X bullhead is gone for good

Tag: Linux | Android | Networking | Privacy | Security | Technology
IT牛人.117 发于 2017年04月25日 18:30 | 点击: 4118 | 展开摘要
TL;DR

The 13 months old Nexus 5X 32GB entered an infinite reboot loop, it has gone for good. LG != Life’s Good, it stands for Low (quality, standards) Goods really, avoid at any cost.

NOTE: My previous Nexus 5 became unusable after the po

查看全文: http://www.udpwork.com/item/16227.html

+0  知乎的手机短消息登录是个错误的决定

Tag: security
Difan Zhang 发于 2016年11月22日 08:48 | 点击: 1014 | 展开摘要
这是 2016 年的年末。尽管国家标准技术协会已经在 Publication draft 800-63B 中将基于 POTS/SMS 的认证方式认为是不安全的,依然有人认为使用手机号作为登录验证的方式是个很好的决策。

不,手机号登录既不能提供额外的安全性——相反,他极大的 compromised 由强密码带来的额外安全度,而且手机号登录又不能作为一次性密码 (OTP) 使用。

SS7 Attack

SS7 (七号信令) 是美国国内运营商传输控制平面 (control p

查看全文: http://www.udpwork.com/item/15936.html

+0  Secure OpenSSH

Tag: Linux | ssh | OpenSSH | networking | security | Technology
IT牛人.117 发于 2016年02月10日 18:30 | 点击: 59641 | 展开摘要
I’ve been continuously learning OpenSSH (since 2006) and closely following its changes since version 6.7.

I personally consider start using Public Key Authentication and Host-based Authentication a milestone from a beginner to intermediate

查看全文: http://www.udpwork.com/item/15838.html

+0  New iptables Gotchas - SNAT VS MASQUERADE

Tag: Linux | iptables | networking | security | Technology
IT牛人.117 发于 2016年02月02日 14:01 | 点击: 14737 | 展开摘要
Story

As a heavy user of iptables NAT rules, (advanced home networking, various VPNs on EC2 and other IaaS providers), I feel it’s time for me to better understand how NAT works under the hood with the help of iptables.

That’s why I start

查看全文: http://www.udpwork.com/item/15839.html

+0  几步拥有一个安全密码

Tag: Security
alswl 发于 2015年10月28日 00:17 | 点击: 1069 | 展开摘要
给团队非开发同学写的邮件,对其他人也有些意义,遂贴出来。

这个互联网越来越不安全 https://www.baidu.com/s?wd=%E5%AF%86%E7%A0%81%E6%B3%84%E9%9C%B2%E4%BA%8B%E4%BB%B6。密码数据库泄露,黑客暴库攻击,社会工程学攻击层出不穷。我给大家介绍几个小方法,轻松提高自己各类密码的安全等级。

先给个地址,大家可以测试一下自己常用密码的复杂度:https://howsecureismypassword.net/

查看全文: http://www.udpwork.com/item/14707.html

+0  这也太不注意卫生了

Tag: Security
Xin LI 发于 2015年09月21日 15:46 | 点击: 1298 | 展开摘要
razor 同学对于 Xcode ghost 的事情的评价是:这也太不注意卫生了。个人深以为然。

技术细节、影响等等,已经有很多大牛写过很好的文章来介绍。但是我想问的是,这事完了吗?在我看来远远没有,根据有关厂商的介绍,想要装上这个下了马的 Xcode,首先得从 App Store 以外的渠道去下载,其次还得允许运行来自 'Anywhere' 的应用程序,或者开发人员习惯于绕过系统的数字签名检查。

我看到的至少有这么两个问题:1. 开发人员常态化地使用并忽略未经签名的工具

查看全文: http://www.udpwork.com/item/14622.html

+0  还是得提高知识水平

Tag: Security
Xin LI 发于 2015年07月29日 06:15 | 点击: 1388 | 展开摘要
今天搞了一个 大新闻。如果你用BIND并且今天之前没打过补丁的话,请读到这里为止,立即去补吧。

我觉得还是得提高知识水平。做 freebsd-update 补丁的时候,赫然发现修改的文件中有一个不认识的:

world|base|/usr/bin/slogin|f|0|0|0555|0|3d4103fa290ca0dcd32fc1f9775e860a4bbf4af7e2be80e835217cd560cb100e|

当时就慌了!我明明没改啥库啊?ldd看一下:

/usr

查看全文: http://www.udpwork.com/item/14446.html

+0  OpenBSD的spamd

Tag: Security
Xin LI 发于 2015年03月11日 07:49 | 点击: 1406 | 展开摘要
许久不碰反垃圾邮件的事情了,一来前段时间垃圾邮件确实也没有那么多,加上spamassassin确实相当有效,二来也是因为犯懒。

不过,最近几天垃圾邮件明显比平时多了许多,所以决定坐下来仔细处理一下。

OpenBSD 的 spamd 是一个反垃圾邮件陷阱软件,它的主要功能是灰名单(SMTP协议要求客户端在一段时间之内重试投递),但又有一个个人很喜欢的特性:以极慢的速度回应发送垃圾邮件的服务器(默认配置为1秒一个字符,最高可以到10秒一个字符)。对发送垃圾邮件的人来说,这样做

查看全文: http://www.udpwork.com/item/13976.html

+0  FreeBSD -CURRENT随机数发生器问题

Tag: *nix and Win32 Kernel | Security
Xin LI 发于 2015年02月18日 02:52 | 点击: 1513 | 展开摘要
今天 John-Mark Gurney 修正了一个影响过去4个月左右的 FreeBSD -CURRENT 的随机数发生器问题,具体受影响的版本是 r273872(引入问题)到 r278907 (修正)。

由于问题只影响 -CURRENT,因此我们不会就此发表安全公告。

问题的影响:在对随机数发生器 (/dev/random)进行重构的过程中,原先为内核 arc4random(9) API 进行初始化(seeding)的部分没有正确地在新的随机数处理器上线(randomde

查看全文: http://www.udpwork.com/item/13876.html

+0  owasp2012议题《在云上跳舞》

Tag: Java Security | 原创文章 | owasp
空虚浪子心 发于 2014年09月20日 14:17 | 点击: 1364 | 展开摘要
老技术,只是当时忘了放上来,看过的请略过。

http://www.inbreak.net/wp-content/uploads/2014/09/hacking_java_sandbox_on_cloud_appEngine.7z

好吧,因为某些事情的需要放上来的。继续阅读 »

查看全文: http://www.udpwork.com/item/13288.html
|<<<1234567>>>| 一共8页, 93条记录