作者:shih
发布时间:June 19, 2009
分类:Internet
No Comments
看看你接过哪几招
1.GIFAR攻击
这个攻击非常有趣。它的思想是将一张GIF图片和一个JAR文件拼在一起,然后命名成aaa.gif,这个新文件的前一部分是GIF,后一部分是JAR 文件。很多WEB服务提供商为了安全只允许上传图片,但对文件内容的检查通常只是简单的检查一下文件头部分是否符合,因此我们新生成的文件就可顺利通过检查,从而绕过安全限制。这样一个包含有JAR内容的文件就被传上了网站,而Sun的Java解释器在解析这样的文件时,又十分“智能”的忽略了前面它不认识的GIF文件数据,从而导致JAR文件中的恶意Java脚本可以在客户端浏览器上被执行。如果这种恶意文件可以传到一些大的WEB服务网站上(例如 google.com),则可能产生极大的危害。
2.突破Google Gears的跨域通信机制
GoogleGears是Google提供的一个RIA(富客户端)工具。它的跨域安全机制在某些情况下可以被绕过,攻击者可能获取受害用户在另外一个网站上的敏感数据,例如论坛、WEB邮件、社交网站等等的信息。
3.Safari 地毯式轰炸
Safari是苹果公司开发的WEB浏览器。它在处理一个Content-type无法被浏览器渲染的文件时,会自动将其保存在默认下载目录下 (Windows下是桌面,OSX下是Downloads目录)。但这动作是自动完成的,并没有提醒用户,也没有要求用户确认。恶意攻击者只要创建一个包含大量引用恶意程序的网页,就可以迅速占满桌面或者Downloads目录,形成地毯式轰炸的效果。
4.点击欺骗
眼见不一定为实,这对于网页浏览也同样适用。利用隐藏e的技巧,可以让你以为是在点击一个按钮或者一个链接时,实际上是在允许恶意程序访问你的摄像头或者麦克风,这样恶意网页就可以监视你的一举一动。
5.Opera 跨站脚本漏洞
Opera的opera:historysearch功能存在一个跨站脚本漏洞,通过注入一个E页面,利用opera:config功能设置email客户端改成执行任意命令,再打开一个包含mailto:的窗口,就可以执行任意命令。
6.HTML 5 结构化客户端存储滥用问题
HTML5版本引入了几种方式可以允许浏览器在客户端主机上存储大量数据,攻击者可以修改或者读取这些数据。如果一个使用这些数据的web应用程序存在跨站脚本漏洞,攻击者就可以插入恶意代码并让其执行。
7.通过认证后的CSS获取站点登录信息
利用标准的tAPI就可以跨域载入一个stylesheet,然后读取其中的property值。通常用户在登录一个网站前后,property值的内容会有所区别,利用这种技术可以准确的判断用户是否登录某一网站。
8.通过SQL注入实现TCP隧道
结合Squeeza和reDuh工具,可以利用一个存在SQL注入的WEB应用来实现TCP隧道,从而绕过防火墙的的限制。
9. 改变ActiveX 控件的意图
ActiveX控件往往会提供很多强大的功能,如果一旦设计上不够小心,就会带来致命的威胁。演讲者介绍了一个实例,首先诱骗攻击者去访问一个恶意页面,诱使用户进行控件安装和升级,将一个恶意的配置文件下载到本地,配置文件已将卸载程序改成了一个任意命令,恶意页面则再度调用卸载功能,就会导致任意本地命令的执行。ActiveX控件的开发者除了要考虑不要出现缓冲区溢出等常见问题之外,也要特别小心不要被攻击者利用其提供的功能进行攻击。
10.Flash参数注入
Flash参数注入是一种新的攻击方式,可以将数据注入到一个HTML页面内嵌的flash电影的全局参数中。这些注入的数据可以让攻击者完全控制该HTML页面的DOM元素,利用flash与HTML页面之间的交互,攻击者可能造成更大的威胁。
这是WhitehatSecurity公司的CTO JeremiahGrossman在RAS2009大会上做了名为2008十大WEB攻击技术的主题演讲,在研究了2008年所发布的近70种WEB攻击技术之后,根据攻击技术的新颖性、影响范围选出了其中最具代表性的Top10。
作者:shih
发布时间:June 16, 2009
分类:Resources,Uncategorized
No Comments
今天苹果发布了针对OS X 10.5 Leopard和OS X10.4Tiger的Java升级程序,共修正了四处安全漏洞。这之中就包括了上个月曝光的远程恶意代码执行严重漏洞。
上个月,前苹果工程师LandonFuller在安全网站上宣布的OS X系统Java组件中的一个安全漏洞(该编号为CVE- 2008-5353,该漏洞可允许恶意网站远程运行Java代码)。而该漏洞早在去年8月就已经被发现,Sun公司在去年12月已经修补了这一漏洞。但直到今年5月的MacOSX大规模升级10.5.7中,仍然没有补上这个大窟窿。因此LandonFuller决定公开该漏洞,并展示了概念性的攻击代码,用户访问该特定网址后,就会自动运行Unix系统的“Say”指令,在屏幕上显示该漏洞的详细信息。
在漏洞曝光近一个月后,苹果终于推出Java升级修正了这一漏洞。新版Java for Mac OS X 10.5Update4可将Java SE 6升级到1.6.0_13版,J2SE5.0升级到1.5.0_19版,J2SE1.4.2升级到1.4.2_21。而Mac OS X 10.4版本则不包括Javas SE6升级。
苹果官方Java升级下载:
Java for Mac OS X 10.5 Update 4 (158 MB)
http://support..com/downloads/DL848/en_US/JavaForMacOSX10.5Update4.dmg
Java for Mac OS X 10.4, Release 9 (80.11 MB)
http://support..com/downloads/DL847/en_US/JavaForMacOSX10.4Release9.dmg
消息来源:驱动之家
作者:shih
发布时间:June 8, 2009
分类:Uncategorized
No Comments
[coolplayer] http://flvhttp.okglb.com/flv.bn.netease.com/videolib2/2009/6/5/Q/E5ABI3M5Q.flv [/coolplayer]
作者:shih
发布时间:June 8, 2009
分类:Internet
No Comments
域名申请了Google App但是使用Gtalk的时候一直不是很完美,总是有东西不能用。现在又由于Twitter翻了墙,然后听说tweet.im不错,可以用Gtalk,而且还能接受,就开始寻思着用一下,果然不出所料,又不能用,因为他提供的机器人不是Gmail的域,而没有SRV Records的App是不能和非Gmail域以外的用户连接的,然后找到了这个,虽然有了东西。但是不知道应该怎么添加也是个麻烦事,我的域名是Enom的,也不知道这玩意怎么设置,于是开始了自己琢磨。
SRV Host Records ,Enom后台有这选项还不错。
以我的域名为例根绝Google的提示应该把他提供的
_xmpp-server._tcp.gmail.com. IN SRV 5 0 5269 xmpp-server.l.google.com.
修改为
_xmpp-server._tcp.mrshi.com. IN SRV 5 0 5269 xmpp-server.l.google.com.
而在Enom的SRV Host Records 新增项中依次应该填入的内容应该为
Service: _xmpp-server
Protocol: _tcp
Priority: 5
Weight: 0
Port: 5269
Target (Hostname): xmpp-server.l.google.com.
其他的照这个标准搞定就OK。
在这中间还发现很多人都提到了这5条SRV Records
_xmpp-client._tcp.yourDomainName.com. IN SRV 5 0 5222 talk.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk1.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk2.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk3.l.google.com.
_xmpp-client._tcp.yourDomainName.com. IN SRV 20 0 5222 talk4.l.google.com.
用nslookup看到少 _xmpp-client._tcp.yourDomainName.com. 这条,所以也加上了。方法同上。
有用GoDaddy的童鞋,可以看一下kavinda的How to: Twitter on GTalk for you domain,其他不同的域名服务商也可以看一下,能走不少弯路。
作者:shih
发布时间:May 7, 2009
分类:Uncategorized
No Comments
曾经想过可能会是这样的结局,但是没想到这么快就来了。
谁也不可能想到的结局,但是真真切切的发生了,原因依然是那么简单明了。也许这个结局跟朋友说了应该都不会相信,也行会有人说很势力,但是我想说很现实。
也行是一种动力,也行是更大的压力。说一些安慰自己、激励自己的话全是废话,可能么?真的能做到么?至少我不能,也行你能。
现实一直是自己信奉的真理,但是当这种现实降临到自己头上还真的是难以接受。
好好过,一切都会好起来,一切不可能都会出现奇迹。
- «
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- ...
- 25
- »