Simple is Happiness
Less is more
骇客攻防
"永恒之蓝"比特币勒索病毒(WannaCry)的攻击原理
by kris keys 骇客攻防 分享 1494688102070
此病毒其实是利用了微软 Microsoft Windows SMB 服务器通信协议进行传播的。并且微软已经于3月份发布了安全更新包,但是由于很多校园网、医院、政府机构专网的电脑或服务器没有安装安全更新,造成大面临感染。实际上很多运行Windows的服务器也不可能自动安装安全更新,因为这可能会导致服务器的重启。

SMB(Server Message Block,又称Common Internet File System(CIFS)),主要用来使得一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的行程间通讯机能。它主要用在装有Microsoft Windows的机器上,被称为Microsoft Windows Network。使用445端口。

攻击者利用向 Windows SMBv1 服务器445端口发送特殊设计的消息,来远程执行攻击代码。
高危漏洞-ImageMagick图象处理软件存在远程代码执行漏洞
by ourjs keys 骇客攻防 分享 1462451400803

漏洞描述:

       ImageMagick是一款广泛流行的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。

基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)
by ourjs keys 骇客攻防 JavaScript 1430709601296
为了防止恶意用户发布恶意内容,我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容,避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页,通过机器学习算法选择考察的网页,大体上覆盖了所有的网络。

在三月中旬,出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DoS攻击,发现了它的攻击原理,它是通过网络运营商进行的,拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源,替换成包含攻击片断的JavaScript代码,这些代码会向被攻击的域名持续发送请求。
Session劫持与Session-ID的安全长度
by ourjs keys 骇客攻防 JavaScript 1425274424134
Session劫持从Web Session控制机制处发动攻击,通常是对Session令牌管理的剥夺。
因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度的字符串组成,并且它可以以不同的方式存储,如在URL中,在HTTP请求的cookie报头中(request header),或在HTTP请求中的其它报头,或者在HTTP请求的主体中。
Session劫持攻击通过窃取或预测有效的Session令牌来获得未经授权Web服务器访问权限。
Node.js安全教程:防止阻塞Event Loop的潜在攻击
by newghost keys 骇客攻防 JavaScript 1420606197252
我们的node.js服务器会偶尔挂一段时间(几秒钟),为什么会这样?

那么,为什 么会这样呢?简单的回答是,我们的代码时不时地阻塞了node.js的事件循环(Event Loop)。你可能已经知道了node.js —— 像浏览器中的JavaScript一样 —— 是单线程的。是由一个事件循环驱动的。一次只会处理一件事件。并行处理在这里是不存在的。所以node.js很善于处理I/O密集型的工作。因为在处理 一个请求时,大部分时间是花在I/O等待上面了。(从磁盘上读取数据,从网络收发数据),但是它并不善长处理CPU密集型的工作。
避免Node.js中的命令行注入安全漏洞
by ourjs keys 骇客攻防 Node.JS 1417502745874
我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_process.exec调用系统命令一个非常典型的例子。
child_process.exec('ls', function (err, data) {
    console.log(data);
});
提高NodeJS网站的安全性:Web服务器防黑客攻击技巧
by ourjs keys 骇客攻防 Node.JS 1417057385015
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。
在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。
浦发银行,请给我们一个解释!
by Caroline keys 骇客攻防 瞎扯 1395846850000

2014年3月24日,浦发银行对其网上银行安全控件进行了全面升级,结果却让国内 Linux 用户们大跌眼镜!

第二天,我发表的帖子《浦发银行,升级还是退步?》被很多网站转载,引起了网友们的纷纷议论。虽然有个别网友对浦发银行的此次升级表示谅解,但是绝大多数网友还是表示不解与愤慨。不过,那篇文章终究是在气头上写的,过于感性。所以,还是有必要再好好分析一下这个事儿。

你不知道的JavaScript用法,Hacker是这样写JS的
by Tianyi_Ting keys 骇客攻防 分享 1390226761000
我喜欢以一些意想不到的方式使用JavaScript,写出一些看起来奇怪但其实很管用的代码,这些代码常常能够执行一些出人意料功能。这听起来似 乎有些微不足道,但是基于这点发现足以总结出一些非常有用的编程技巧。下面写到的每一个小技巧都可以屏蔽掉XSS过滤器,这也是我写这些代码的初衷。然而,学习这样的JavaScript代码可以明显加强你对语言本身掌握,帮助你更好地处理输入,并且提高Web应用程序的安全性。
QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练
by Tianyi_Ting keys 骇客攻防 1389279929000

注* 作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞,直到现在,你在某些邮箱打开一个外部链妆,依然会有安全警告提示。下面就是对这种攻击原理的介绍以及预防方法

不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信javascript:;息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种攻击。


 近期热门 - 点击最多
  1. request停止维护:用node.js实现http网页爬虫抓取,模拟ajax\post请求,大文件上传下载
  2. webpack前端项目调试环境安装入门:webpack.config.js禁用UglifyJs只合并JavaScript不压缩混淆代码
  3. node.js创建aria2代理服务器:使用net.socket转发rpc或http request请求,替换websocket
  4. 用node.js在Windows或Linux平台上高性能解压/压缩zip、tar大文件,输出到文件或Stream流
  5. 用CSS实现分页符,控制Web网页打印时自动强制分页:page-break-after教程
  6. SVG矢量图视窗viewBox,嵌套HTML综合实例:建立用户自定义相对坐标系统
  7. 怎么通过OnceOA免费实现外网访问家庭、企业内网服务器网站、网盘、办公系统
  8. OnceDB:使用Redis全文字符串模糊搜索,多条件查询,创建索引搜索等使用帮助教程
  9. Node.JS中回调嵌套和async/await执行空函数性能效率对比测试
  10. Node.JS如何按顺序调用async函数,如何判断是否为async函数,在mocha中自动化测试async/await代码

  全端社区 - 最新回复
  1. 小程序未来肯定会朝着这些方面发展,企业必须做好!
  2. Debian/Ubuntu Linux搭建SVN服务器,并设置开机默认启动
  3. 小程序跳转功能,带来的多个改变!
  4. WeMall用Node.js语言开发的单用户商城(微信端)商城源码
  5. 【更新】FastReport Mono 正式发布2016.2版本!
  6. 四款Android系统架构工具,开箱即用!
  7. 美国程序员低价雇中国人替其编程被解雇
  8. 分享15个Javascript优化小技巧
  9. 盖茨和乔布斯
  10. MailBee.NET Objects发送电子邮件(SMTP)教程二:SMTP认证

  开源的 OurJS
OurJS开源博客已经迁移到 OnceOA 平台。

  关注我们
扫一扫即可关注我们:
OnceJS

OnceOA