您现在的位置:首页
--> 安全
之前, 小顿和我提过一个想法, 就是从PHP语言层面去分析,找出一些可能的XSS漏洞代码. 当时我一来没时间, 而来也确实不知道从何处下手.. 直到上周的时候, 我看到了这个RFC: RFC:Taint. 但是这个RFC的问题在于, 它需要为PHP打Patch, 修改了PHP本身的数据结构, 这对于以后维护, 升级PHP来说, 很不方便, 也会有一些隐患. 虽然这样, 但这个RFC却给了我一个启发, 于是我就完成了这样的一个扩展:Taint Extension
有个 Server 需要 Basic Auth 认证,但是我发现在它自己上面有一个任务会通过 wget 访问一个自己的 URL,调用的过程并没有提供用户名和密码,竟然可以成功访问!一开始我以为是 Apache 里面配置的访问规则是对本地访问不需要认证,但是并非如此。bash alias? 也不是。加上 --debug 参数调用 wget,发现它确实在访问本机的这个域名时会加上 Authorization 这个 header, 而访问其它域名的时候则不加。最终通过 strace 发现它会打开 $HOME/.netrc 文件,原来秘密就在里面。中间看了半天 manual,只看到它会读取 /etc/wgetrc, $HOME/.wgetrc, 没注意到还会读这个文件。我不太喜欢这种做法——谈不上安全,又不容易维护。
最近CSDN等网站被脱库的事情,闹得沸沸扬扬。身为程序员,我觉得软件开发人员自身安全意识的强弱和 安全知识的多寡会直接影响到所开发系统的安全性。从这个角度来分析,系统做的不安全有三种原因: A. 不知道存在安全隐患。。。。。。
• Mysql 安全
MySQL 是一个真正的多用户、多线程SQL数据库服务器,它是一个客户机/服务器结构的实现。MySQL是现在流行的关系数据库中其中的一种,相比其它的数据库管理系统(DBMS)来说,MySQL具有小巧、功能齐全、查询迅捷等优点。MySQL 主要目标是快速、健壮和易用。目前,在大中型企业中已经得到了较好的运用,但是由于它是多平台的数据库,不可避免的默认配置也是适合多种情况的需求,因此需要用户需要在自定义的环境下对MySQL的使用进行加...
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是 Hash Collision DoS (Hash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比。这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你的CPU升到100%)。目前,这个问题出现于Java...
hashdos这个事,严格意义上不是各种语言的错了(不过perl的确处理得很好)。 借鉴tomcat的作法,实现了下面这个nginx-http-hashdos-module,通过设置hashdos(默认on)的开关和body_max_count(默认值1000),对nginx后面的服务进行安全防护,相比对php或者java进行patch,这或许是最好的办法了。
• 密码安全策略
最近一段时间,关于密码的安全问题暴露了很多,先是各大安全公司公布的常见密码,后来又是CSDN的密码泄露事件。按道理说,密码是第一道安全防线,应该引起足够的重视,但在实践过程中,问题依然不少。首先是弱密码的问题。密码做为用户认证的一种方法(something you know),是最简单的,但也是最不安全的一种。密码的选择应人而异,选择密码首先要容易记,还有就是输入方便。其中最重要的就是容易记。这个和其他认证方式,比如som...
这几天CSDN数据库明文密码泄密闹得满城风雨,人人自危。大家开始关注网络安全和隐私问题。由这次的问题,对加密验证过程我也思考过,有没有一套相对安全的存储和验证方法?这里我根据各种验证方法,确实总结了一套可行且相对安全的存储和验证方法,且看我细细道来,最后提出MySQL当前验证方法的改进。
微博发了一道安全常识题,从反馈看,搞不太清楚的人还是蛮多的。有意思的是,搞不清楚的人多数认为是我搞错了。微博就144个字,也说不开,挪这里详细说说。很多网站都有用户系统,有用户系统就有密码存放,通常,密码都是加密传输的,为了安全,通常是单向散列加密,或者说,不可逆加密,一个简单的判断是,你通过密码找回功能操作,如果让你重设密码的,基本上是不可逆加密的,直接给你密码的,都是明文或可逆加密的,这种...
• 信息安全常见误区
最近安全的话题突然就爆了,几个月前我在公司内组织的安全培训的内容完全得到了验证。而稍早发的关于md5撞库和社工扫描库的博文简直就成了未卜先知。(罪过,真不是故意的,纯属巧合)。考虑到这个话题还是蛮多人在问,微博发不开,特此将一些培训中的观点整理出来,分享一下。1. 安全是技术人员的事情错!太多著名互联网公司因为客服,市场人员的安全意识疏忽,导致严重安全事故。安全意识必须是全员的,每一个接入公司网络的...
最近关于hash的攻击很火,这个问题存在的时间很久了。有几点想法,写出来和大家分享一下。 hash的好处是查找速度快,但是通过特殊的输入,会造成冲突链过长,查找会退化成一个链表遍历操作。对于hash来说,有几个重要的参数 1)hash table size,也就是hash的映射空间,很显然,hash表越大,映射的冲突几率就越小。 2)hash function,冲突取决于几个因素,一是输入源,二是hash function。好的hash function可以把非随机的输入源映...
近期接连爆出网站注册用户的账号密码,以及邮箱地址信息,被公布在网络上,并且提供网络下载地址,而且这些网站泄漏的信息都一个特点,多数为2009年左右,且是提供账号名称、密码和邮箱地址信息,这就非常值得可疑,为此以一个IT从业者的角度谈谈个人看法。 首先我们梳理下,这次网站账号密码被人公布在网络上事件的过程。。。
今天去首都在线机房清点服务器和网络设备,忙了一天。回到公司听说网络流传CSDN帐号数据库的事情,也不断有朋友和会员问我这个事情,CSDN帐号数据库是不是明文保存密码,是否安全?考虑到大家对这个问题都非常关注,解释一下相关的情况: CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了...
在网路数据大量集中的今天,一旦发生安全问题,则将对广大的用户带来极大的困扰,我相信有很多用户不能及时获得这一消息,则其重要信息就可能被泄露窃取。后果不堪设想。 所以,对数据进行充分的安全保护、安全防范,是每一个有责任的公司都应该全面考虑的内容。 我们可以想象,在数据被发布出来之前,黑客可能已经利用该数据进行了大量的非法活动,那么谁又会为侵害来承担责任呢?
SAE在设计的时候就考虑了安全性,并且防护非常严密,在易用性和安全性中实现了一个优雅的平衡,但是我们也可以看到对于paas的设计来讲,由于需要允许用户的代码尽量友好高效的运行,所以很容易在一些安全策略实现的细节当中出现一些问题,作为paas应用上下文的特殊性,其他的paas厂商在实现和设计的时候更应该严格注意这些安全问题,避免给平台和用户造成安全损失。
以前写过一篇SSL Proxy的小的分析,在最近一次讨论中发现我还是了解的不够细致,这里描述的细致一些。首先是定义一下应用场景: SSL Client<--------------------------->SSL Server 首先是标准的SSL Client和Server进行通信。 SSL Client<-------------->MITM<------------->SSL Server 需求是:在其间加入中间人,劫持会话,生成两个SSL会话,从而可以获取明文数据,同时符合SSL标准,同时不用Client明确关注...
随身携带你的隐私跑来跑去听起来是见很酷的事情,放在哪里都不如放在身边安心,加上现在智能手机的牛逼化,它已然成为日常生活中必不可少的设备,真的有那么一天移动设备消失了,也许我们连如何出行都会忘记。人类进步的另个体现就是越来越便捷的去做事情,曾经要回到家里,坐到电脑面前来处理的事情现在很多都可以随时随地的在移动终端上完成,这是我认为移动终端成为未来主导趋势的主要原因。
近3天十大热文
-
[102] Go Reflect 性能 -
[19] [译]Google Chrome中的高性能网
-
[17] 在FreeNAS/BSD搭建基于Nginx+
-
[16] 关于Linux的文件系统cache
-
[14] Linux常用系统信息查看命令
-
[14] 最近总结的一些技巧(vim,python,s
-
[12] PHP加速器 eaccelerator 缓存
-
[11] 什么是DNS劫持和DNS污染?
-
[10] 精于图片处理的10款jQuery插件
-
[10] nginx.conf控制指定的代理ip和ip
赞助商广告
