安全

admin 10年前 (2014-08-05) 3114浏览 0评论

from:https://blog.veracode.com/2014/03/guidelines-for-setting-security-headers/ 0x00 背景 在统计了Alexa top 100万网站的header安全分析之后（201...

admin 10年前 (2014-07-15) 2983浏览 0评论

盗号木马相信大家都不陌生。随着网络越来越普及，网上的账号密码越来越重要，盗号木马的生命力也就越发的顽强了。 随着与杀毒软件的对抗，盗号木马也在不断的更新换代。QQ粘虫就是一个很典型的例子，这类木马的特点可以参考我们之前写过的博文《“神奇”的qq粘虫之...

admin 10年前 (2014-07-10) 3055浏览 0评论

我们将要实现一个进行应用层DDoS攻击的工具，综合考虑，CC攻击方式是最佳选择，并用bash shell脚本来快速实现并验证这一工具，并在最后，讨论如何防御来自应用层的DDoS攻击。 第一步：获取大量可用代理ip:port列表 网上所处可见免费代理，...

admin 10年前 (2014-07-10) 3130浏览 0评论

（此图摘自《Web脚本攻击与防御技术核心剖析》一书，作者：郝永清先生） DDoS,即 Distributed Denial of Service ,可译为分散式阻断服务攻击。 上图与DDoS的字面已经清楚的表述出了此类攻击的原理，勿需多言。这类攻击泛...

admin 10年前 (2014-04-29) 3007浏览 0评论

非常经常用到的一个编译，统一了下，这回可以直接复制黏贴就可以做完啦，不然还需要找参数，真悲惨 。 编译PHP所需要的支持 yum install gcc yum install libxml2-devel curl-devel libjpeg lib...

admin 10年前 (2014-04-23) 3003浏览 0评论

windows自带的命令行工具netsh ipsec static add filter不支持批量添加，还会添加重复的规则进去。我用python编写了ipsecset解决了上述问题，支持批量添加，同一个列表里避免重复的规则。 为了方便使用，已编译成e...

admin 10年前 (2014-04-17) 3040浏览 0评论

How to upgrade OpenSSL on Ubuntu? 4月8日爆出的 heartbleed 漏洞要求把 OpenSSL 升级到 1.0.1g 版本。 关于这个漏洞的技术说明，可以看这里： 关于OpenSSL“心脏出血”漏洞的分析 。 在...

admin 10年前 (2014-04-17) 2501浏览 0评论

互联网上信息传播速度和影响力比以前增长了不啻数倍，甲方在响应漏洞的时候，咱得跟上节奏，否则就可能被曝光了，在大水军的推动下，安全行业已经升华为情报行业了，嗯，通俗的说就是安全和娱乐挂钩，优雅点就是安全要接地气，要深入群众深入平常百姓。只要公司所在的领...

admin 10年前 (2014-04-17) 3004浏览 0评论

本周互联网最大的安全事件莫过于HeartBleed漏洞(CVE-2014-0160)的广泛公开。 如果你还不了解详情，可以参考这个分析。简言之，是由于OpenSSL在响应”心跳”时，对于数据包中的长度域不加检查，导致向另一端泄露了程序中最多可达64k...

admin 10年前 (2014-04-15) 3027浏览 0评论

从2009年以来,针对7层(应用层)的DDOS攻击日益增多,相对传统的TCP、UDP这样的DDOS方式，7层DDOS更高效且更难检测,而现有方案都主要防御TCP、UDP方式的攻击。 以下我这学期网络安全课程的一个project演示文稿，简单的演示了：...

admin 10年前 (2014-04-13) 2515浏览 0评论

这段代码不是挺复杂，其实如果你细看是可以看得到discuz中的authcode的影子的。如果你有兴趣，你可以看看： /*加密函数内部调用函数*/ function keyED($txt,$encrypt_key) { $encrypt_key = m...

admin 10年前 (2014-04-11) 2564浏览 0评论

随着网络的逐步普及，网络安全已成为INTERNET路上事实上的焦点，它关系着INTERNET的进一步发展和普及，甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望，网络安全技术也不断出现，使广大网民和企...

admin 10年前 (2014-03-14) 2338浏览 0评论

似乎多数人都觉得Include文件是一件非常简单的事情，可惜漏洞往往出现在我们忽视的地方。正所谓千里之堤溃于蚁穴，二战期间，法国人寄希望与马奇诺防线，却忽视了原本认为非常安全的阿登高地，让德国人有机可乘，最终的结果大家都知道了。   下面这...

admin 10年前 (2014-03-10) 3012浏览 0评论

大多数人会将一个单独的php文件当成配置文件，早些年的配置文件大多类似这样： PHP代码 <?php $config['a']=1; $config['b']=2; ... 这样include后。可以使用...

admin 10年前 (2014-02-27) 3490浏览 0评论

现代浏览器提供了一些安全相关的响应头，使用这些响应头一般只需要修改服务器配置即可，不需要修改程序代码，成本很低。本文介绍一些这样的响应头： 1. Strict-Transport-Security HTTP Strict Transport Secu...

admin 10年前 (2014-02-13) 2546浏览 0评论

Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器，我愿意部署它。 下面是一个常见安全陷阱和解决方案的列表，它可以辅助来确保你的Nginx部署是安全的。 1. 在配置文件中小心...

admin 10年前 (2014-02-07) 3225浏览 0评论

Denyhosts是一个Linux系统下阻止暴力破解SSH密码的软件，它的原理与DDoS Deflate类似，可以自动拒绝过多次数尝试SSH登录的IP地址，防止互联网上某些机器常年破解密码的行为，也可以防止黑客对SSH密码进行穷举。 众所周知，暴露在...

admin 10年前 (2014-01-28) 2708浏览 0评论

网上下载了一些pdf电子书，总是有些讨厌的家伙为了加个广告什么的，将pdf加上密码，然后再单独放里面一个写有密码的文件，每次打开这个pdf都要输入密码，即使有些pdf阅读器可以记住密码，但是如果哪天再拷贝到别的机器上，密码早忘了。要彻底解决这个问题还...