Simple is Happiness
Less is more
骇客攻防
"永恒之蓝"比特币勒索病毒(WannaCry)的攻击原理
by kris keys 骇客攻防 分享 1494688102070
此病毒其实是利用了微软 Microsoft Windows SMB 服务器通信协议进行传播的。并且微软已经于3月份发布了安全更新包,但是由于很多校园网、医院、政府机构专网的电脑或服务器没有安装安全更新,造成大面临感染。实际上很多运行Windows的服务器也不可能自动安装安全更新,因为这可能会导致服务器的重启。

SMB(Server Message Block,又称Common Internet File System(CIFS)),主要用来使得一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的行程间通讯机能。它主要用在装有Microsoft Windows的机器上,被称为Microsoft Windows Network。使用445端口。

攻击者利用向 Windows SMBv1 服务器445端口发送特殊设计的消息,来远程执行攻击代码。
高危漏洞-ImageMagick图象处理软件存在远程代码执行漏洞
by ourjs keys 骇客攻防 分享 1462451400803

漏洞描述:

       ImageMagick是一款广泛流行的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。

基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)
by ourjs keys 骇客攻防 JavaScript 1430709601296
为了防止恶意用户发布恶意内容,我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容,避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页,通过机器学习算法选择考察的网页,大体上覆盖了所有的网络。

在三月中旬,出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DoS攻击,发现了它的攻击原理,它是通过网络运营商进行的,拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源,替换成包含攻击片断的JavaScript代码,这些代码会向被攻击的域名持续发送请求。
Session劫持与Session-ID的安全长度
by ourjs keys 骇客攻防 JavaScript 1425274424134
Session劫持从Web Session控制机制处发动攻击,通常是对Session令牌管理的剥夺。
因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度的字符串组成,并且它可以以不同的方式存储,如在URL中,在HTTP请求的cookie报头中(request header),或在HTTP请求中的其它报头,或者在HTTP请求的主体中。
Session劫持攻击通过窃取或预测有效的Session令牌来获得未经授权Web服务器访问权限。
Node.js安全教程:防止阻塞Event Loop的潜在攻击
by newghost keys 骇客攻防 JavaScript 1420606197252
我们的node.js服务器会偶尔挂一段时间(几秒钟),为什么会这样?

那么,为什 么会这样呢?简单的回答是,我们的代码时不时地阻塞了node.js的事件循环(Event Loop)。你可能已经知道了node.js —— 像浏览器中的JavaScript一样 —— 是单线程的。是由一个事件循环驱动的。一次只会处理一件事件。并行处理在这里是不存在的。所以node.js很善于处理I/O密集型的工作。因为在处理 一个请求时,大部分时间是花在I/O等待上面了。(从磁盘上读取数据,从网络收发数据),但是它并不善长处理CPU密集型的工作。
避免Node.js中的命令行注入安全漏洞
by ourjs keys 骇客攻防 Node.JS 1417502745874
我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_process.exec调用系统命令一个非常典型的例子。
child_process.exec('ls', function (err, data) {
    console.log(data);
});
提高NodeJS网站的安全性:Web服务器防黑客攻击技巧
by ourjs keys 骇客攻防 Node.JS 1417057385015
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。
在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。
浦发银行,请给我们一个解释!
by Caroline keys 骇客攻防 瞎扯 1395846850000

2014年3月24日,浦发银行对其网上银行安全控件进行了全面升级,结果却让国内 Linux 用户们大跌眼镜!

第二天,我发表的帖子《浦发银行,升级还是退步?》被很多网站转载,引起了网友们的纷纷议论。虽然有个别网友对浦发银行的此次升级表示谅解,但是绝大多数网友还是表示不解与愤慨。不过,那篇文章终究是在气头上写的,过于感性。所以,还是有必要再好好分析一下这个事儿。

你不知道的JavaScript用法,Hacker是这样写JS的
by Tianyi_Ting keys 骇客攻防 分享 1390226761000
我喜欢以一些意想不到的方式使用JavaScript,写出一些看起来奇怪但其实很管用的代码,这些代码常常能够执行一些出人意料功能。这听起来似 乎有些微不足道,但是基于这点发现足以总结出一些非常有用的编程技巧。下面写到的每一个小技巧都可以屏蔽掉XSS过滤器,这也是我写这些代码的初衷。然而,学习这样的JavaScript代码可以明显加强你对语言本身掌握,帮助你更好地处理输入,并且提高Web应用程序的安全性。
QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练
by Tianyi_Ting keys 骇客攻防 1389279929000

注* 作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞,直到现在,你在某些邮箱打开一个外部链妆,依然会有安全警告提示。下面就是对这种攻击原理的介绍以及预防方法

不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信javascript:;息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种攻击。


 近期热门 - 点击最多
  1. JavaScript在Array数组中按指定位置删除或添加元素对象
  2. Node.JS发送http请求批量检查文件中的网页地址、服务是否有效可用
  3. Redis源码分析,在C语言中将当前时间转化成毫秒微秒整数值
  4. Linux下的tar压缩解压缩命令详解,创建解压目录到.tar.gz包
  5. CentOS注册系统服务,添加自动启动脚本
  6. 用OnceOA旺司在树莓派等arm设备免费搭建私有云版有道云笔记文档管理系统,在线编辑Markdown,同步备份手机照片
  7. node.js含有%百分号时,发送get请求时浏览器地址自动编码的问题
  8. Node.JS用纯JavaScript生成图片或滑块式验证码
  9. 树莓派ARM开发板使用TF卡启动和系统安装到EMMC启动,硬盘存储读写速度对比测试
  10. Node.JS枚举统计当前文件夹和子目录下所有代码文件行数

  全端社区 - 最新回复
  1. Redis源码分析,在C语言中将当前时间转化成毫秒微秒整数值
  2. JavaScript在Array数组中按指定位置删除或添加元素对象
  3. Node.JS发送http请求批量检查文件中的网页地址、服务是否有效可用
  4. Linux下的tar压缩解压缩命令详解,创建解压目录到.tar.gz包
  5. CentOS注册系统服务,添加自动启动脚本
  6. 用OnceOA旺司在树莓派等arm设备免费搭建私有云版有道云笔记文档管理系统,在线编辑Markdown,同步备份手机照片
  7. node.js含有%百分号时,发送get请求时浏览器地址自动编码的问题
  8. Node.JS用纯JavaScript生成图片或滑块式验证码
  9. 树莓派ARM开发板使用TF卡启动和系统安装到EMMC启动,硬盘存储读写速度对比测试
  10. Node.JS与USB接口通信:检测U盘/移动硬盘插拔事件和发送接数据

  开源的 OurJS
OurJS开源博客已经迁移到 OnceOA 平台。

  关注我们
扫一扫即可关注我们:
OnceJS

OnceOA