探究DNS服务器的入侵与安全

这几天可能是人品问题,好多东西都尝试失败。例如CMU那个吧,主站的OpenSSH我一直没溢出成功,结果小白溢出成功了。后来我问她怎么渗透进去的, 她居然说这是她自己的学校,有账户有密码,光明正大登录然后,溢出,提权。。。悲剧啊悲剧。。。而且溢出过程不公开,罪过啊罪过。。。今天看到阿联酋政府 官网的服务器好像DNS有问题。于是正好拿它开刀研究了一番。虽然没成功,但是又学到了东西,而且才发现以前错过了多少服务器啊。。。

继续阅读探究DNS服务器的入侵与安全

广告公司追踪用户cookie/收集用户隐私以及防御方法

不法公司追踪用户cookie/收集用户隐私用于盈利目的以及防御方法 昨天的315晚会曝光了不法广告公司非法收集用户COOKIE数据用于盈利目的,当时看得那叫一个蛋疼啊,f**k!!
这帮狗日的公司为了RMB不惜触犯道德以及法律的底线用于这些龌龊目的,f**k!!!
先说说啥是cookie以及作用:”
Cookie(复数形态Cookies),中文名称为小型文本文件或小甜饼[1],指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。定义于RFC2109。
简单的说就是比如你注册了一个网站的用户,然后网站说 您已登录 就是靠cookie

理论上cookie只能是本域的访问,可是为什么第三方广告公司会知道呢?这就是利用XSS(跨站脚本攻击)
举个例子..

1

继续阅读广告公司追踪用户cookie/收集用户隐私以及防御方法

nginx fastcgi配置失误+解析漏洞引发的漏洞

现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
} 继续阅读nginx fastcgi配置失误+解析漏洞引发的漏洞

关于手机的隐私保护

关于手机IMEI
根据IMEI就可以进行基站定位,找出此手机曾经用过的SIM卡。
所以建议用山寨鸡,因为你懂的,山寨鸡IMEI有时候是会相同的,这就是为何欧美国家不允许山寨鸡进入国土,因为国家没法进行定位,以定位,尼马,满地图都是。。
即使你说你的SIM卡,或者之前用过的SIM卡都是没有实名的,那么好,查你的通话记录,你给你亲人,或者现实朋友打电话,通话记录都是有的。。一个一个确认就可以  继续阅读关于手机的隐私保护

Ecshop最新注入0day分析报告

今天习惯性的到处逛,看看文章。看到了360爆的一个ecshop 支付宝支付插件的注入漏洞,照例的分析下,360的团队还是挺赞的。

由于漏洞源于ecshop的支付宝支付插件,所有利用前提是站点安装此插件,利用不受GPC影响。

漏洞核心代码在\includes\modules\payment\alipay.php 文件 respond()函数,第215行。

继续阅读Ecshop最新注入0day分析报告

关于网站安全的一些思考

[ 目录 ]
0×00 引语
0×01 个人信息安全
0×02 域名安全
0×03 服务器安全

0×00 引语
在网络世界中,我们不得不叹服网络的便捷性适应性,但是在此同时网络安全值得我们深思,一下提出一些关于服务器,个人信息安全的一些见解。 继续阅读关于网站安全的一些思考

影响企业IT安全的网络威胁Top10

根据安全服务供应商Trustwave的研究数据显示,虽然很多应用程序漏洞都是已知的且可被阻止的,但很多企业都没有部署安全编码做法或定期测试其应用程序来查找漏洞。Trustwave事件响应和取证主管Chris Pogue表示,如果企业忽视这些基本的网络安全做法,他们根本无法阻止更高级的攻击。

继续阅读影响企业IT安全的网络威胁Top10