Archives

关于手机的隐私保护

关于手机IMEI 根据IMEI就可以进行基站定位,找出此手机曾经用过的SIM卡。 所以建议用山寨鸡,因为你懂的,山寨鸡IMEI有时候是会相同的,这就是为何欧美国家不允许山寨鸡进入国土,因为国家没法进行定位,以定位,尼马,满地图都是。。 即使你说你的SIM卡,或者之前用过的SIM卡都是没有实名的,那么好,查你的通话记录,你给你亲人,或者现实朋友打电话,通话记录都是有的。。一个一个确认就可以  WLAN的MAC……

Ecshop最新注入0day分析报告

今天习惯性的到处逛,看看文章。看到了360爆的一个ecshop 支付宝支付插件的注入漏洞,照例的分析下,360的团队还是挺赞的。 由于漏洞源于ecshop的支付宝支付插件,所有利用前提是站点安装此插件,利用不受GPC影响。 漏洞核心代码在\includes\modules\payment\alipay.php 文件 respond()函数,第215行。 function respond() { if (!empty($_POST)) { foreach($_POST as……

php文件包含漏洞的解决方法

现在程序代码写的越来越千奇百怪,就一种文件包含的代码就能写出2种:require include 先说require 如果出错则终止输出,include 如果出错则继续执行。 如果一个网站的管理用户写在auth.php里,且auth.php被恶意删除了,如果用require则没有漏洞。 如果用include则产生漏洞,这是为什么?因为Include在遇到错误时会继续执行,这样用户密码就为空,就进入了后台。 再如果 一个网站 查看一条公告是链接式index.……

通杀wordpress 暴路径漏洞

缺陷文件: http://www.akg.pw/wp-includes/registration-functions.php 关键代码 : —-> <?php /** * Deprecated. No longer needed. * * @package WordPress */ _deprecated_file( basename(__FILE__), ’2.1′, null, __( ‘This file no longer needs to be included.’ ) ); ?> —–> 测试: ============= 随便测试了几个大牛. 基本都中枪.     解决方式:@该代码段,或者服务器关闭报错……

关于网站安全的一些思考

[ 目录 ] 0×00 引语 0×01 个人信息安全 0×02 域名安全 0×03 服务器安全 0×00 引语 在网络世界中,我们不得不叹服网络的便捷性适应性,但是在此同时网络安全值得我们深思,一下提出一些关于服务器,个人信息安全的一些见解。 0×01 个人信息安全 1.切记在各类网站填写真实资料 2.注册两个邮箱,一个负责常规注册,一个负责重要机构网站注册 3.在不同类型网站使用不同密码 4.定期修改重要密码 最高安全级别:制……

影响企业IT安全的网络威胁Top10

根据安全服务供应商Trustwave的研究数据显示,虽然很多应用程序漏洞都是已知的且可被阻止的,但很多企业都没有部署安全编码做法或定期测试其应用程序来查找漏洞。Trustwave事件响应和取证主管Chris Pogue表示,如果企业忽视这些基本的网络安全做法,他们根本无法阻止更高级的攻击。 网络给企业带来各种各样的安全威胁,下面我们列出了威胁企业的10个网络威胁: 1. DDoS攻击IT专家认为分布式拒绝服务攻击就……

PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全……

php漏洞与代码审计

在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。 1.xss + sql注入 其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数,可由如下所示: $_REQUEST = filter_xss($_REQUEST); $_GET = filter_xss($_GET); $_POST = filter_xss($_POST);……
贴入百度统计、CNZZ、51啦、量子统计代码等等