伺服器

本 系列 文章向您展示如何使用反向 Ajax HTTP://www.aliyun.com/zixun/aggregation/7332.html">技術開發事件驅動的 Web 程式。 第 1 部分 介紹了反向 Ajax、輪詢、流、Comet 和長輪詢。 第 2 部分 介紹了如何使用 WebSocket，還討論了使用 Comet 和 WebSocket 的 Web 服務器的限制。 第...

2014年9月1日——業務保障技術領導廠商Blue Coat系統公司今天宣佈，71%的網站主機名稱稱(Hostnames)僅僅出現24個小時。 雖然在這些被戲稱為「一日游」主機名稱稱當中，絕大多數在互聯網內容的分享和交付中起了重要的作用，但它們也為惡意活動提供了掩護，例如——與已感染系統的通信。 Blue Coat安全實驗室發佈了最新報告《「一日游」主機：惡意軟體如何在短命網站中隱藏自己》，其中詳細...

0x00 前言在之前介紹的流量劫持文章裡，曾提到一種『HTTPS 向下降級』的方案 —— 將頁面中的 HTTPS 超連結全都替換成 HTTP 版本，讓使用者始終以明文的形式進行通信。 看到這，也許大家都會想到一個經典的中間人攻擊工具 —— SSLStrip，通過它確實能實現這個效果。 不過今天講解的，則是完全不同的思路，一種更有效、更先進的解決方案 —— HTTPS 前端劫持。 0x01 後端的缺陷...

網站伺服器安全是個大話題;說到什麼是加固某一台網站伺服器的最佳工具和技術，不同的人自有不同的偏好和觀點。 就Apache網站伺服器而言，即便不是所有專家，至少也是絕大多數專家一致認為，mod_security和mod_evasive是兩個非常重要的模組，可以保護Apache網站伺服器遠離常見的威脅。 我們在本文中將探討如何安裝及配置mod_security和mod_evasive，假設Apach...

本文介紹關於PHP應用程式的漏洞以及攻擊者如何利用PHP超全域變數來執行Web攻擊的消息。 並解釋一下什麼是PHP超全域變數及其帶來的風險。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="緩解PHP超全域變數帶來的企業風險" src=&qu...

上一篇講解了鉤子程式的攻防實戰，並實現了一套對框架頁的監控方案，將防護作用到所有子頁面。 到目前為止，我們防護的深度已經差不多，但廣度還有所欠缺。 例如，我們的屬性鉤子只考慮了setAttribute，卻忽視還有類似的setAttributeNode。 儘管從來不用這方法，但並不意味人家不能使用。 例如，創建元素通常都是createElement，事實上createElementNS同樣也可以。 甚至...

0x00 測試環境498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="Nginx安全配置研究" src="HTTP:// s8.51cto.com/wyfs02/M02/23/37/wKioL1M1GiqgYoSXAAA1uoFgZu...

RSA2014落下了帷幕，又見到了很多老朋友，認識很多新朋友，幸甚至哉。 各大安全公司一如既往的揮金如土，佔據最好的展臺，聘請最漂亮的mm吸引眼球。 大公司的展臺策略都是大而全，網路到終端，盒子到雲端，俺們啥都有。 OneStopShop是也。 新技術方面，很多大公司們基本上都是在跟進PANW和FEYE的技術，爭先恐後的表達著我們沒有停滯不前，什麼流行我們也都玩什麼的思路，Fortinet，Int...

Web應用程式比用戶端應用程式更難保證安全性，因為它不像web伺服器有四五個主要供應商的web伺服器，它有大量的web應用程式和自訂腳本數量，而且每個都可能包含潛在的漏洞。 對於開發人員來說，確保應用程式安全的最佳方法是使用建議的安全措施和可以掃描代碼的軟體，並提醒使用者潛在的安全問題。 管理員需要定期掃描其Web網站中的漏洞。 應用程式的安全性主要是由應用程式的開發者控制的。 管理員可以緊固一些應...

對於任何一個專案，開始階段對於交付安全的應用來說非常關鍵。 適當的安全要求會導致正確的安全設計。 下面討論在分析Web應用程式的安全要求時需要考慮的八大問題。 1、認證和口令管理：這主要是一種一次性的活動而且僅僅是作為專案的一部分而完成的。 有人可能會問一些與認證和口令管理有關的問題：◆口令策略：這個問題非常重要的原因在於避免與使用者憑據有關的字典攻擊。 ◆口令雜湊演算法：確保通過適當的加密演算法來加密口令...

近日，卡巴斯基發現了一個針對銀行網站的新惡意軟體Neverquest。 通過在銀行網站上植入外掛程式代碼，如果使用者在IE或者火狐瀏覽器上訪問銀行網站，Neverquest能夠攻擊約100個銀行。 而且使用VNC或者其他方法，Neverquest可以攻擊任何國家的任何銀行。 它支援線上銀行攻擊使用的每種方法：網頁植入，遠端系統訪問，社交工程等等。 Neverquest的主要功能在使用安裝在系統的一個附加程...

0×01 ASP簡介：ASP是一種伺服器端腳本編寫環境，可以用來創建和運行動態網頁或Web應用程式。 ASP網頁可以包含HTML標記、普通文本、指令碼命令以及COM元件等。 利用ASP可以向網頁中添加互動式內容(如線上表單)，也可以創建使用HTML網頁作為使用者介面的web應用程式。 0×02 ASP漏洞介紹：一.資料庫路徑洩露 (DataBase Path Leak)概述：數...

3月29日，360網站安全檢測平臺發佈漏洞警報稱，國內大量B2C網上商城正面臨高危漏洞威脅，可能導致網站被駭客入侵控制、消費者帳號密碼等資料洩露。 據悉，這部分網站使用了老版本ECShop網店建站系統，至今未修復一個曝光多年的「本地檔包含漏洞」，為此360網站安全檢測平臺已通知客戶升級ECShop版本，並提供更便捷的代碼修復方案。 360網站安全檢測平臺服務網址：HTTP://webscan....

一個就職于某企業的同行最近向我講述了他們對應用的測試過程以及該測試有多麼地全面，他們還對應用系統進行網路滲透測試來確保其全方位的安全。 我認為這聽起來就像是浪費時間和資源。 你同意我的看法嗎？ 當確保應用系統安全時實施網路滲透測試有好處嗎？ 如果有的話，會是什麼好處呢？ 在一個易遭受攻擊的網路中擁有強健的、經過充分測試的應用沒有太大意義，因為網路自身在配置或是流程中存在著未知的漏洞。 儘管當前駭客們正在...

以下的文章主要向大家闡述的是USB破壞程式利用Windows快速鍵漏洞，近來有媒體報導了有關新的惡意軟體透過USB 等移動裝置在進行繁衍，此軟體利用了在快捷方式中新發現的，會讓隨機的程式在消費者的系統中受執行的程式漏洞。 Microsoft微軟已正式承認該程式漏洞，並已發佈了相關安全公告。 安全工程師們取得了此惡意軟體的樣本，經偵測定名為WORM_STUXNET. A，以下是分析發現的歸納總結：繁...

我們今天主要向大家講述的是穩捷網路推出10G深度內容安全掃描平臺，作為網路安全的中的至高者，穩捷網路公司宣佈推出世界排名第一的萬兆輸送量的互聯網資料中心平臺BeSecure NDP-2080。 作為網路安全的佼佼者，穩捷網路公司宣佈推出世界排名第一的萬兆輸送量的互聯網資料中心平臺BeSecure NDP-2080。 據悉，基於全新技術的BeSecure NDP-2080不僅提高網路性能還完善網路...

以下的文章主要向大家講述的是建立跨單位協助網路安全聯防機制的實際應用，你如果對建立跨單位協助網路安全聯防機制的實際應用有興趣的話你就可以點擊以下的文章進行觀看了。 臺灣電腦網路危機處理暨協調中心聯合教育部。 NCC等政府單位與臺灣中華電信、遠傳等ISP廠商共組「臺灣資安策略聯盟」，聯手建立了跨單位協助網路安全聯防機制。 而近日在大陸網路安全年會上，也提出了類似的聯動網路安全各行惡業樹立安全標準的呼...

問：假設兩個人使用對稱加密來交換資訊；每次在他們通信時，工作階段金鑰就會生成，加密使用處理工作階段金鑰的協定（如SSL）的資訊。 另外，他們也可以使用PGP（是一個基於RSA公匙加密體系的郵件加密軟體）來交換資訊。 你認為在這種情形中，使用哪種加密方法更安全呢，PGP還是對稱加密？ 答：這要看你對本地環境的信任度。 對稱加密通過使用共用加密金鑰加密郵件伺服器間所有的資訊包，來保證「系統」間的資訊不洩露。 PG...

網上交易不是面對面的，客戶可以在任何時間、任何地點發出請求，傳統的身份識別方法通常是靠使用者名和登錄密碼對使用者的身份進行認證。 但是，使用者的密碼在登錄時以明文的方式在網路上傳輸，很容易被攻擊者截獲，進而可以假冒使用者的身份，身份認證機制就會被攻破。 在網上銀行系統中，使用者的身份認證依靠基於「RSA公開金鑰密碼體制」的加密機制、數位簽章機制和使用者登錄密碼的多重保證。 銀行對使用者的數位簽章和登錄密碼進行檢驗...

聯邦銀行(澳大利亞金融服務供應商)出版過這樣一篇名為「ATM卡資訊讀取和PIN號碼獲取指南」的報告，報告指出，信用卡資訊讀取技術主要是通過盜取ATM卡背面磁條的資料來進行的，用於讀取信用卡磁條資訊的設備和卡片的大小差不多 ，通常會在製造ATM的工廠在ATM機的上面或者旁邊安裝這種讀卡機。 然後詐騙者會安裝另一種設備來獲取與使用者信用卡相關的PIN號碼，在強光的照耀下，可以發現ATM的鍵盤上安裝有這...