智乐兔

网络安全

  • HTML5安全剖析:当地存储

    HTML5安全剖析:当地存储

    在上一篇文章《》中,咱们讨论了在HTML5下的跨域消息传递。本文将带你去了解另外一个特征——当地存储。 当地存储 当地存储也是HTML5的新特征之一,最开始是在Mozilla 1.5上的,后来渐渐被HTML5规范接受。经由JavaScript的localStorage和sessionStorage工具,咱们能够应用HTML5的这个新特征。基于键值值匹配,这些JavaScript工具允许咱们存储,检索和删除数据。 在HTML5中,当地存储是一个window的属性,包括localStorage和sessionStorage,从名字应该能够很清楚的辨认二者的区别,前者是一直 ...

    查看全文

  • 经由设置nginx 抵抗不正当恳求

    经由设置nginx 抵抗不正当恳求

     ngx_http_limit_conn_module模块 使用此模块主要用来限度每秒恳求数目,至于依据什么前提限度是由咱们来自界说的。 官方文档 中文翻译的 文档讲的很详细了,大致说下: limit_req_zone $variable zone=name:size rate=rate; 命令的意思是,以$variable变量为前提,起名为name,设置的存储空间大小为size,设置限定频率为rate; 咱们能够设置**多个,差别前提,差别名称,差别大小的限度**。 这个界说咱们是需要写在**http设置段中**。 在匹配的location中写上limit_req zone= ...

    查看全文

  • Apache HBase 呈现信息泄露破绽

    Apache HBase 呈现信息泄露破绽

    Apache HBase 由于近程拒绝服务、发现信息泄露漏洞和信息完整性出现问题。 受影响的版本有: HBase 0.98.0 – 0.98.12 HBase 1.0.0 – 1.0.1 HBase 1.1.0 HBase 0.96(受波及了) 逻辑过错导致 HBase 最安全的设置安排到 ZooKeeper 上处理其协调状态 不安全的 ACLs。任何人都能够通过近程访问登录 ZooKeeper,与此相关的有 HBase 客户端将降低甚至是完全不可用。任何连接到 HBase 集群的授权用户都能够修改参数和看到他们本没有权限看到的 HBase 数据信息。 我们建议 HB ...

    查看全文

  • Google 研讨发明网站的安全成绩实在并不安全

    Google 研讨发明网站的安全成绩实在并不安全

     多网站为了加强安全往往在暗码以外增加安全成绩。然而Google的深度研讨标明,这一暗码丢失后的最后一道防线要比预想的弱。 Google 发明,安全成绩的安全强度之所以弱是因为良多人在回答安全成绩时撒谎,尤其是有好些人(37%)为了让安全成绩更难猜故意提供虚假的谜底。然而如许的行为 产生的副作用是良多人也因此难以第一时间想起安全成绩的谜底,尤其是成绩非常特别的时候。Google的统计标明,约有40%的人回忆不起谜底。相比之 下,短信重置暗码的成功率则要高得多,到达了80%。Google通过对成绩的强度和方便记忆的程度进行比较发明,兼顾安全性和易记性的安全成绩几乎不存 在。比喻说, ...

    查看全文

  • 你的网站安全吗?WEB利用安全总结(1)

    你的网站安全吗?WEB利用安全总结(1)

    利用安全越来越重要 —— 互联网上看到的大多数安全事件基础都和利用安全,尤其是 WEB 利用安全有关(随便翻翻 wooyun 之类的就知道了)。最近几年的工作基础都和利用安全有关系,借着这个机会也总结一下自己的一些观点。 WEB 利用安全的常见思绪 这篇文章不包含 DDoS 和营业相干的成绩 —— DDoS 主要是网络层解决的成绩,我没有把放到 WEB 利用安全这个范畴讨论;营业相干的安全,特殊是营业特征或许营业规矩带来的安全成绩也不在这个讨论范畴之内。 下面只是大概的分类,并不严谨。 经由过程东西来加强 WEB 利用的安全 东西每每对利用开辟 ...

    查看全文

  • PHP自动化白盒审计技巧与实现(1)

    PHP自动化白盒审计技巧与实现(1)

    0x00 前言 国内公开的PHP自动化审计技巧资料较少,相比之下,国外已经出现了比较优秀的自动化审计实现,比方RIPS是基于token流为基本停止一系列的代码剖析。传统静态剖析技巧如数据流剖析、传染传布剖析应用于PHP这种动态脚本语言剖析相对较少,但是却是实现白盒自动化技巧中比较关键的技巧点。今天笔者主要介绍一下最近的研究与实现成果,在此抛砖引玉,希望国内更多的安全研究人员将精力投入至PHP自动化审计技巧这一有意义的范畴中。 0x01 基本常识 自动化审计的实现方式有多种,比方直接应用正则表达式规则库停止定位匹配,这种方式最简单,但是准确率是最低的。最可靠的思绪是结合静态剖析技巧范畴中的常识停 ...

    查看全文

  • 技巧剖析:当地SWF文件可将恣意当地文件泄漏

    技巧剖析:当地SWF文件可将恣意当地文件泄漏

    Flash文件在设计的时候就允许当地的swf文件读取任意的当地文件。Flash Player版本不高于7时,当地SWF文件可与其它SWF文件交互并且能够从任何远程或当地位置加载数据。 原理 在Flash Player 8 和更高版本中,SWF 文件不能连接当地文件系统和 Internet。 但是经由过程时间旁路通道(timing side-channel),却能够实现提取任意当地文件的内容并传送到收集上(详细说明,可参见[1],[2])。 Google浏览器会阻止(应当是有提示吧)下载“.swf”后缀的文件,来降低对当地文件系统规则的攻击,但是却没有阻止swf文件以差 ...

    查看全文

  • openresty+lua在反向代办效劳中的玩法(1)

    openresty+lua在反向代办效劳中的玩法(1)

    0x01 起因 几天前学弟给我介绍他用nginx搭建的反代,代办了谷歌和维基百科。 由此我想到了一些邪恶的东西:反代既然是全部流量走我的服务器,那我是不是能够在中途做些手脚,到达一些有趣的目的。 openresty是一款结合了nginx和lua的全功能web服务器,我感觉其角色和tornado类似,既是一个中间件,也结合了一个后端解释器。以是,咱们能够在nginx上用lua开发良多“有趣”的东西。 以是,这篇文章也是由此而来。 0x02 openresty的搭建 openresty是国人的一个开源项目,主页在https://openresty.org/ ,其核心ngin ...

    查看全文

  • HTTPS-Only尺度:美当局网站将应用HTTPS加密

    HTTPS-Only尺度:美当局网站将应用HTTPS加密

    美国当局发布一项计划,HTTPS将成为大众网站联邦安全尺度,其目的是到2016年12月31日,让美国联邦当局全部网站都应用HTTPS加密。 美国人民希望当局网站是安全的,而且他们在这些网站的拜访是作为隐衷被掩护的。HTTPS协定用当今的因特网技巧为大众收集衔接供给了最强的隐衷掩护。HTTPS的应用降低了用户在应用当局在线效劳时被截获和被修正的风险。 这个倡议的动机,"HTTPS-only尺度",会要求全部可公开拜访的联邦网站和收集效劳应用HTTPS。 目的 全部可公开拜访的联邦网站和web效劳[1]只经由过程一个安全的衔接供给效劳。现在大众收集衔接可用的最强的隐衷掩护就 ...

    查看全文

  • 火狐书签扩大利用Pocket:破绽发掘没那么难

    火狐书签扩大利用Pocket:破绽发掘没那么难

    Pocket利用的开发职员最近修复了几个泄漏数据的破绽,黑客可从效劳器上获取WEB效劳、内部IP地点,以及更多相关的敏感信息。 Pocket的简介 Pocket原名Read it Later,顾名思义,是一个在线书签利用程序,它允许用户保留和管理在互联网上看到的好文章的链接。 安全研究员Clint Ruoho周二在博文里详细叙述了该利用的破绽,他声称,六月份初研究Pocket的安全情况时,是因为火狐开发职员将其添加为常用扩展。 细数几个破绽 Ruoho注意到,Pocket在某些功效上使用了内网代理。经由过程向效劳器上的apache发出恳求,他发明其mod_status会泄漏一些关于Pock ...

    查看全文

  • 技巧分享:保密型WebShell检测方式

    技巧分享:保密型WebShell检测方式

    前段时光因为项目标须要也因为正在负责一个后门检测小东西的项目开发所以恶补了一下Webshell检测技巧内容,一路天马行空写下此文和大家分享。小弟才疏学浅如有内容上的问题还请不吝指正。 1.前言 近年来网站被植入后门等隐蔽性攻打呈逐年增长态势,国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急中心共监测发现我国境内6.1万个网站经由过程境外被植入后门,较2012年增长62.1%。黑客在利用WEB应用漏洞攻打成功后,平日会利用植入 Webshell后门实现对应用体系篡改、对操纵体系把持以及对数据库中敏感数据的窃取。攻打者经由过程浏览器或许把持端与被把持 ...

    查看全文

  • 外媒解读Web安全中心PKI的四大致命成绩

    外媒解读Web安全中心PKI的四大致命成绩

    Web安全的立足根基在于复杂的PKI部署系统,但现实生活中失掉准确部署的比例却非常有限,并且这所有都将随着摩尔定律的滚滚洪流灰飞烟灭。 我个人算是PKI(即大众密钥基础设施)的忠实拥护者。我酷爱数学与密码学之美,也酷爱它广泛的用途与适用场景。 过去二十多年傍边,我曾经为众多私营及上市公司装配过PKI。原先那曾是我个人任务中的重要组成局部,但最近一段时光我发现这曾经成了任务的全部内容。企业对于安全的要求曾经达到前所未有的高度,并且越来越多的客户要么首次装配本人的PKI、要么打算对现有PKI停止升级以实现更幻想的安全性与弹性。 但坦白地讲——并且作为一名经验丰富的从业者, ...

    查看全文

在线客服
在线客服 X

售前: 点击这里给我发消息
售后: 点击这里给我发消息

智乐兔官微