网络安全
关注
分享
扫一扫
萧乡月夜
这个作者很懒,什么都没留下…
展开
-
服务器被黑给我上了一课
当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一次木马惊魂,这次又遇到了服务器被黑。部署服务器及一般的服务配置管理对于一个写代码的人自然不在话下,但是相对专业的运维人员程序员确少的却是一个安全意识,总以为服务器被攻击是一个小概率的事件。以前是这么考虑的“互联网上的主机那么多偏偏你的主机被黑客盯上? 这不跟重大奖一转载 2015-05-28 03:02:11 · 626 阅读 · 0 评论 -
NGINX: SELinux 13:permission denied
When you upgrade a running system to Red Hat Enterprise Linux (RHEL) 6.6 or CentOS 6.6, the Security Enhanced Linux (SELinux) security permissions that apply to NGINX are relabelled to a much strict转载 2016-04-12 16:24:50 · 4109 阅读 · 0 评论 -
20步打造最安全的Nginx Web服务器
Nginx是一个轻量级的,高性能的Web服务器以及反向代理和邮箱(IMAP/POP3)代理服务器。它运行在UNIX,GNU/Linux,BSD各种版本,Mac OS X,Solaris和Windows。根据调查统计,6%的网站使用Nginx Web服务器。Nginx是少数能处理C10K问题的服务器之一。跟传统的服务器不同,Nginx不依赖线程来处理请求。相反,它使用了更多的可扩展的事件驱动(异步)转载 2016-04-12 11:17:52 · 825 阅读 · 0 评论 -
分享下今天研究的流量上限DDos攻击分析和解决方案
分享下今天研究的流量上限DDos攻击分析和解决方案 经常听到或者碰到某个网站被攻击,一般都是流量攻击。今天自己写了个程序测下相关的上限,程序只简单做了个get html操作(不包含图片等资源文件)。用一台双核CPU机器A,启100个线程,连续发送服务器B,统计出的结果是每秒钟发173个请求,机器A的发送带宽450Kbps,机器A的接收带宽2.8Mbps,机器B的发送带宽2.转载 2014-12-02 18:23:44 · 563 阅读 · 0 评论 -
关于缓冲区溢出(Buffer Overflow)
接触黑客的同志们经常遇到,使用一些扫描工具扫描的时候,会得到一些缓冲区溢出的漏洞,但是怎么利用自己是一团雾水网上很少有相关的工具,也很少有相关的文章,下面我们就说说这个“窿西”吧 [蛋痛]文章丢失了一次,优快云需要改进暂存机制 用VB的便宜不太明白“缓冲区”,当然这一点对熟悉API的朋友有一定改善,缓冲区就是一段内存,通俗这么讲吧。我们给局部变量或者全局变量赋值时,变量的内存转载 2015-06-05 18:10:17 · 1212 阅读 · 0 评论 -
HeartBleed漏洞详解与利用
看一下流传的Python利用脚本。#!/usr/bin/python# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org)# The author disclaims copyright to this source code.转载 2015-06-02 17:07:21 · 4541 阅读 · 0 评论 -
Network Security Mark
1.CVEhttps://cve.mitre.org/ 中文http://cve.scap.org.cn/index.html2.IETF DATA TRACKERhttp://datatracker.ietf.org/原创 2015-06-02 16:56:51 · 781 阅读 · 0 评论 -
2010年扬名的十大WEB黑客技术
【51CTO 1月26日外电头条】在由一个专家小组公开投票选出的2010年网络黑客技术名单中,在线网上银行交易威胁成为黑客技术中的年度头号杀手。该技术被称之为Padding Oracle加密技术,黑客则是利用了微软的网络架构ASP.NET保护AES加密cookie的原理。如果在cookie中的加密数据已经被改变,那么ASP.NET处理它的方式就会导致应用程序留下一些关于解密信息的蛛丝马迹。转载 2015-06-03 00:28:17 · 644 阅读 · 0 评论 -
[TOP10]十大渗透测试演练系统
本文总结了目前网络上比较流行的渗透测试演练系统,这些系统里面都提供了一些实际的安全漏洞,排名不分先后,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识。DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的转载 2015-06-03 00:27:15 · 666 阅读 · 0 评论 -
帆布指纹识别——用户无隐私
一般情况下,网站或者广告联盟都会非常想要一种技术方式可以在网络上精确定位到每一个个体,这样可以通过收集这些个体的数据,通过分析后更加精准的去推送广告(精准化营销)或其他有针对性的一些活动。Cookie技术是非常受欢迎的一种。当用户访问一个网站时,网站可以在用户当前的浏览器Cookie中永久植入一个含有唯一标示符(UUID)的信息,并通过这个信息将用户所有行为(浏览了哪些页面?搜索了哪些关键字?对什转载 2015-06-03 00:16:34 · 1935 阅读 · 0 评论 -
Python编写简易木马程序
0x00 准备文章内容仅供学习研究、切勿用于非法用途!这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码。首先准备好我们需要的依赖库,python hook和pythoncom。下载安装python hook下载安装pythoncom模块:0x01 键盘记录转载 2015-05-28 03:13:54 · 12051 阅读 · 3 评论 -
SELinux/apache
source: http://fedoraproject.org/wiki/SELinux/apachehttpd_selinux(8) httpd Selinux Policy documentation httpd_selinux(8)NAMEhttpd_selinux - Security Enhanced Linux Policy for the httpd转载 2016-04-12 16:26:50 · 492 阅读 · 0 评论