作者:shih
发布时间:March 6, 2011
分类:Internet
想配置个禁止爬虫来爬站的robots.txt,又一时想不起来这玩意应该怎么配置了,于是查了一下资料,把常用的、可能会用到的,配置记录一下,以便日后查找。
robots.txt文件,只有当你想禁止搜索引擎收录你网站上某一部分的时候才会用到,希望全部收录的请勿使用。
robots.txt文件应该放置在网站根目录下。例:http://shihweblog.com/robots.txt , http://shihweblog.com:80/robots.txt 。
robots.txt文件的格式:#为注释,以User-agent开始,后面带上若干行Disallow和Allow。
User-agent:
该项的值用于描述搜索引擎robot的名字。在"robots.txt"文件中,如果有多条User-agent记录说明有多个robot会受到"robots.txt"的限制,对该文件来说,至少要有一条User-agent记录。如果该项的值设为*,则对任何robot均有效,在"robots.txt"文件中,"User-agent:*"这样的记录只能有一条。如果在"robots.txt"文件中,加入"User-agent:SomeBot"和若干Disallow、Allow行,那么名为"SomeBot"只受到"User-agent:SomeBot"后面的Disallow和Allow行的限制。
阅读剩余部分...
作者:shih
发布时间:March 2, 2011
分类:Ubuntu,Internet
VPS装的ubuntu,准备学ubuntu在VPS上装个玩一下也不错,很多人都说BurstNET的这款VPS玩玩确实不错,价格很好,一月才35块。
折腾了几天摸索出来点门道,咱也学人家来进行个测试。
磁盘读写测试 84M/s 速度不错。
unixbench测试得分774.4还不错。
只不过速度不是很好,vePortal的面板,有基本开机重启重装操作,重装系统不错点一下就搞定了,前后不过1分钟,所以可以放心大胆的操作,捣鼓出毛病了大不了就是一个os reload反正很方便。
作者:shih
发布时间:June 19, 2009
分类:Internet
看看你接过哪几招
1.GIFAR攻击
这个攻击非常有趣。它的思想是将一张GIF图片和一个JAR文件拼在一起,然后命名成aaa.gif,这个新文件的前一部分是GIF,后一部分是JAR 文件。很多WEB服务提供商为了安全只允许上传图片,但对文件内容的检查通常只是简单的检查一下文件头部分是否符合,因此我们新生成的文件就可顺利通过检查,从而绕过安全限制。这样一个包含有JAR内容的文件就被传上了网站,而Sun的Java解释器在解析这样的文件时,又十分“智能”的忽略了前面它不认识的GIF文件数据,从而导致JAR文件中的恶意Java脚本可以在客户端浏览器上被执行。如果这种恶意文件可以传到一些大的WEB服务网站上(例如 google.com),则可能产生极大的危害。
2.突破Google Gears的跨域通信机制
GoogleGears是Google提供的一个RIA(富客户端)工具。它的跨域安全机制在某些情况下可以被绕过,攻击者可能获取受害用户在另外一个网站上的敏感数据,例如论坛、WEB邮件、社交网站等等的信息。
3.Safari 地毯式轰炸
Safari是苹果公司开发的WEB浏览器。它在处理一个Content-type无法被浏览器渲染的文件时,会自动将其保存在默认下载目录下 (Windows下是桌面,OSX下是Downloads目录)。但这动作是自动完成的,并没有提醒用户,也没有要求用户确认。恶意攻击者只要创建一个包含大量引用恶意程序的网页,就可以迅速占满桌面或者Downloads目录,形成地毯式轰炸的效果。
4.点击欺骗
眼见不一定为实,这对于网页浏览也同样适用。利用隐藏e的技巧,可以让你以为是在点击一个按钮或者一个链接时,实际上是在允许恶意程序访问你的摄像头或者麦克风,这样恶意网页就可以监视你的一举一动。
5.Opera 跨站脚本漏洞
Opera的opera:historysearch功能存在一个跨站脚本漏洞,通过注入一个E页面,利用opera:config功能设置email客户端改成执行任意命令,再打开一个包含mailto:的窗口,就可以执行任意命令。
6.HTML 5 结构化客户端存储滥用问题
HTML5版本引入了几种方式可以允许浏览器在客户端主机上存储大量数据,攻击者可以修改或者读取这些数据。如果一个使用这些数据的web应用程序存在跨站脚本漏洞,攻击者就可以插入恶意代码并让其执行。
7.通过认证后的CSS获取站点登录信息
利用标准的tAPI就可以跨域载入一个stylesheet,然后读取其中的property值。通常用户在登录一个网站前后,property值的内容会有所区别,利用这种技术可以准确的判断用户是否登录某一网站。
8.通过SQL注入实现TCP隧道
结合Squeeza和reDuh工具,可以利用一个存在SQL注入的WEB应用来实现TCP隧道,从而绕过防火墙的的限制。
9. 改变ActiveX 控件的意图
ActiveX控件往往会提供很多强大的功能,如果一旦设计上不够小心,就会带来致命的威胁。演讲者介绍了一个实例,首先诱骗攻击者去访问一个恶意页面,诱使用户进行控件安装和升级,将一个恶意的配置文件下载到本地,配置文件已将卸载程序改成了一个任意命令,恶意页面则再度调用卸载功能,就会导致任意本地命令的执行。ActiveX控件的开发者除了要考虑不要出现缓冲区溢出等常见问题之外,也要特别小心不要被攻击者利用其提供的功能进行攻击。
10.Flash参数注入
Flash参数注入是一种新的攻击方式,可以将数据注入到一个HTML页面内嵌的flash电影的全局参数中。这些注入的数据可以让攻击者完全控制该HTML页面的DOM元素,利用flash与HTML页面之间的交互,攻击者可能造成更大的威胁。
这是WhitehatSecurity公司的CTO JeremiahGrossman在RAS2009大会上做了名为2008十大WEB攻击技术的主题演讲,在研究了2008年所发布的近70种WEB攻击技术之后,根据攻击技术的新颖性、影响范围选出了其中最具代表性的Top10。
作者:shih
发布时间:June 8, 2009
分类:Internet
域名申请了Google App但是使用Gtalk的时候一直不是很完美,总是有东西不能用。现在又由于Twitter翻了墙,然后听说tweet.im不错,可以用Gtalk,而且还能接受,就开始寻思着用一下,果然不出所料,又不能用,因为他提供的机器人不是Gmail的域,而没有SRV Records的App是不能和非Gmail域以外的用户连接的,然后找到了这个,虽然有了东西。但是不知道应该怎么添加也是个麻烦事,我的域名是Enom的,也不知道这玩意怎么设置,于是开始了自己琢磨。
SRV Host Records ,Enom后台有这选项还不错。
以我的域名为例根绝Google的提示应该把他提供的
_xmpp-server._tcp.gmail.com. IN SRV 5 0 5269 xmpp-server.l.google.com.
修改为
_xmpp-server._tcp.mrshi.com. IN SRV 5 0 5269 xmpp-server.l.google.com.
而在Enom的SRV Host Records 新增项中依次应该填入的内容应该为
Service: _xmpp-server
Protocol: _tcp
Priority: 5
Weight: 0
Port: 5269
Target (Hostname): xmpp-server.l.google.com.
其他的照这个标准搞定就OK。
在这中间还发现很多人都提到了这5条SRV Records
_xmpp-client._tcp.yourDomainName.com. IN SRV 5 0 5222 talk.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk1.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk2.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk3.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk4.l.google.com.
用nslookup看到少 _xmpp-client._tcp.yourDomainName.com. 这条,所以也加上了。方法同上。
有用GoDaddy的童鞋,可以看一下kavinda的How to: Twitter on GTalk for you domain,其他不同的域名服务商也可以看一下,能走不少弯路。
作者:shih
发布时间:November 1, 2008
分类:Internet
Google Apps里提供的IP终于全部挂了,好好的玩意就这全部都死掉了。
纪念一下曾经被无数人疯狂过的4个IP。
* 216.239.32.21
* 216.239.34.21
* 216.239.36.21
* 216.239.38.21
- 1
- 2
- 3
- 4
- »