php Python nginx Windows java Android 开源 apache 程序员 Ubuntu 微软 wordpress google Firefox linux命令 shell linux mysql HTML5 centos

系统安全

2015年1月27日Linux GNU glibc标准库的 gethostbyname函数爆出缓冲区溢出漏洞,漏洞编号为CVE-2015-0235。黑客可以通过gethostbyname系列函数实现远程代码执行,获取服务器的控制权及Shell权限,此漏洞触发途径多,影响范围大,已确认被成功利用的软件及系统:Glibc 2.2到2.1...
生成随机数是密码学中的一项基本任务,是生成加密密钥和加密算法或加密协议所必不可少的。理想中的随机数是完美的,但实践中的随机数都是用伪随机数生成器(PRNG)生成,随机数的质量对安全性至关重要。安全专家提出了名叫鲁棒性的安全概念去评估PRNG的安全性。美国和法...
博客关闭了一段时间,数据都丢失了几篇文章啊,之前讲域名转移到NameCheap,送了一个SSL,刚好可以按上。顺便记录下安装方法。一、安装要求1.Nginx已经编译ssl 模块,没有的话需要重新编译。 2.已经购买SSL证书(废话)二、开始安装1.先生成自己的KEYcd...
很少见有人马上为一台新安装的服务器做安全措施,然而我们生活所在的这个社会使得这件事情是必要的。不过为什么仍旧这么多人把它拖在最后?我也做过相同的事,这通常可以归结为我们想要马上去折腾那些有趣的东西。希望这篇文章将向大家展示,确保服务器安全没有你想得那样难...
DDoS攻击概念DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存...
Linux系统中,防火墙(Firewall),网址转换(NAT),数据包(package)记录,流量统计,这些功能是由Netfilter子系统所提供的,而iptables是控制Netfilter的工具。iptables将许多复杂的规则组织成成容易控制的方式,以便管理员可以进行分组测试,或关闭、启动某组规则。 iptable能够为Uni...
一般来说,内网渗透,首先通过C段或者是收集信息知道某个目标在一个内网,收集信息的话可以从web层面,可以从客户端(我以前就遇到过一个客户端中,有些配置文件,直接存储了一些敏感信息,可以直接连接数据库之类的),然后找到一个薄弱环节进入到内网。(这里就不细说了)。 ...
我们总是源源不断地听到安全方面的威胁,或者又有某某公司被入侵了。所以不难理解为什么有些人会对安全问题十分重视,以防御任何可能的攻击。如果你一丁点儿也不重视,你可以去看看最近哪个网站又出现了密码泄露的问题。 即使你的电脑已经采取了不错的安全措施,也要在你的家庭...
本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道...
最近不停地被 CC (DDOS的一种)频繁干扰,分享一个 iptables 屏蔽 DDOS 的脚本。  让 crond 每分钟运行一次。 ############### kill DDOS ############## iptables_log="/data/logs/iptables_conf.log" ### Iptables 配置导出的路径,可任意修改 ### ######...
有个朋友的网站长期没有人管理,而网站pr=4,于是网站被人攻陷,首页加上了上百条黑链,找我帮忙修复 看到首页密密麻麻的黑链,第一反应就是头大。最简单的办法:格式化后重装系统。但是这个服务器web/数据库都部署在同一台上,数据规模有200多G,当初安装的时候也没有分区,在...
上篇博客说到,httpd请求数过多,apache连接数不够,加大连接数的做法,在受ddos,cc攻击的情况下,最终的结果就是系统资源耗尽,导致死机。 测试服务器,也没有想到会受到攻击,什么防范措施也没有做。装了csf的防火墙,在应对少量ddos,cc攻击的,还是挺管用的,以前也用过apf...
在漏洞评估和渗透测试中,确定目标应用程序的输入向量是第一步。这篇文章解释了别人是如何通过HTTP头部对你的数据库进行SQL注入攻击的,以及讨论下选择哪种漏洞扫描器测试SQL注入。 作者:Yasser Aboukir, InfoSec Institute 在漏洞评估和渗透测试中,确定目标应用程序的输入向...
简介 OpenSSL是一款功能强大的加密工具包。我们当中许多人已经在使用OpenSSL,用于创建RSA私匙或证书签名请求(CSR)。不过,你可曾知道可以使用OpenSSL来测试计算机速度?或者还可以用它来对文件或消息进行加密?本文将介绍几个简单易学的技巧,教你如何使用OpenSSL对消息和文...
这款暴力密码破解工具相当强大,支持几乎所有协议的在线密码破解,其密码能否被破解关键在于字典是否足够强大。对于社会工程型渗透来说,有时能够得到事半功倍的效果。本文仅从安全角度去探讨测试,使用本文内容去做破坏者,与本人无关。 一、简介 hydra是著名黑客组织thc的一...