OurJS


OurJS-我们的JS, 我们的技术-IT文摘; 专注JS相关领域;
我们热爱编程, 我们热爱技术;我们是高大上, 有品味的码农;

欢迎您订阅我们的技术周刊


我们会向您分享我们精心收集整理的,最新的行业资讯,技术动态,外文翻译,热点文章;
我们使用第三方邮件列表向您推送,我们不保存您的任何个人资料,注重您的隐私,您可以随时退订,

欢迎分享您的观点,经验,技巧,心得

让我们一起找寻程序员的快乐,探索技术, 发现IT人生的乐趣;


本网站使用缓存技术每次加载仅需很小流量, 可在手机中流畅浏览;
如果您发现任何BUG,请即时告知我们: ourjs(at)ourjs.com

高危漏洞-ImageMagick图象处理软件存在远程代码执行漏洞

骇客攻防 by ourjs key 分享 1462451402497 评论 (2)

漏洞描述:

       ImageMagick是一款广泛流行的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。

基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)

为了防止恶意用户发布恶意内容,我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容,避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页,通过机器学习算法选择考察的网页,大体上覆盖了所有的网络。

在三月中旬,出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DoS攻击,发现了它的攻击原理,它是通过网络运营商进行的,拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源,替换成包含攻击片断的JavaScript代码,这些代码会向被攻击的域名持续发送请求。

Session劫持与Session-ID的安全长度

Session劫持从Web Session控制机制处发动攻击,通常是对Session令牌管理的剥夺。
因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度的字符串组成,并且它可以以不同的方式存储,如在URL中,在HTTP请求的cookie报头中(request header),或在HTTP请求中的其它报头,或者在HTTP请求的主体中。
Session劫持攻击通过窃取或预测有效的Session令牌来获得未经授权Web服务器访问权限。

Node.js安全教程:防止阻塞Event Loop的潜在攻击

我们的node.js服务器会偶尔挂一段时间(几秒钟),为什么会这样?

那么,为什 么会这样呢?简单的回答是,我们的代码时不时地阻塞了node.js的事件循环(Event Loop)。你可能已经知道了node.js —— 像浏览器中的JavaScript一样 —— 是单线程的。是由一个事件循环驱动的。一次只会处理一件事件。并行处理在这里是不存在的。所以node.js很善于处理I/O密集型的工作。因为在处理 一个请求时,大部分时间是花在I/O等待上面了。(从磁盘上读取数据,从网络收发数据),但是它并不善长处理CPU密集型的工作。

避免Node.js中的命令行注入安全漏洞

骇客攻防 by ourjs key Node.JS 1417502768324 评论 (0)
我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_process.exec调用系统命令一个非常典型的例子。
child_process.exec('ls', function (err, data) {
    console.log(data);
});

提高NodeJS网站的安全性:Web服务器防黑客攻击技巧

骇客攻防 by ourjs key Node.JS 1417057632602 评论 (0)
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。
在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。

浦发银行,请给我们一个解释!

2014年3月24日,浦发银行对其网上银行安全控件进行了全面升级,结果却让国内 Linux 用户们大跌眼镜!

第二天,我发表的帖子《浦发银行,升级还是退步?》被很多网站转载,引起了网友们的纷纷议论。虽然有个别网友对浦发银行的此次升级表示谅解,但是绝大多数网友还是表示不解与愤慨。不过,那篇文章终究是在气头上写的,过于感性。所以,还是有必要再好好分析一下这个事儿。

你不知道的JavaScript用法,Hacker是这样写JS的

我喜欢以一些意想不到的方式使用JavaScript,写出一些看起来奇怪但其实很管用的代码,这些代码常常能够执行一些出人意料功能。这听起来似 乎有些微不足道,但是基于这点发现足以总结出一些非常有用的编程技巧。下面写到的每一个小技巧都可以屏蔽掉XSS过滤器,这也是我写这些代码的初衷。然而,学习这样的JavaScript代码可以明显加强你对语言本身掌握,帮助你更好地处理输入,并且提高Web应用程序的安全性。

QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练

注* 作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞,直到现在,你在某些邮箱打开一个外部链妆,依然会有安全警告提示。下面就是对这种攻击原理的介绍以及预防方法

不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信javascript:;息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种攻击。

为什么谷歌的JSON响应以while(1);开头?

我有个问题一直很好奇就是:为什么谷歌的JSON响应以while(1);开头?举个例子,当把谷歌日历打开和关掉时,会返回这样的JSON对象:

while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],['remindOnRespondedEventsOnly','true'],'hideInvitations_remindOnRespondedEventsOnly','false_true'],['Calendar ID stripped for privacy','false'],['smsVerifiedFlag','true']]]]

广告投放

 近期热门 - 点击最多
  1. 在OnceIO(Node.JS)中用Redis储存Session
  2. 开源项目 RethinkDB 关闭,创始人总结失败教训
  3. GitHub 第一坑:换行符自动转换
  4. OnceDB支持全文搜索和关系查询的Redis内存数据库:驱动安装及使用教程
  5. OnceIO的模块拦截与注入:模板文件路由重定向与Model数据改写
  6. 如何搭建个人SASS云盘:30秒快速安装OnceDoc企业私有网盘
  7. OnceIO模块开发:模块注册、模块路由、静态文件重定向以及如何开发与设计一个功能扩展模块
  8. AirJD-简单好用的免费建站工具

  全端社区 - 最新回复
  1. 开发者在增加移动APP收益时必须做的5件事
  2. D3.js可视化库入门视频教程
  3. DevExpress最强干货|实用示例、更新等你来体验!
  4. Python不可维护?终于把一个8万行的Python程序用Java重写了
  5. 微软发布了一系列网络安全新功能(关于Windows和Office 365)
  6. Node.JS编码规范指南教程:教你优雅地写JavaScript代码
  7. parasoft Jtest 使用教程:RuleWizard与BugDetective静态分析
  8. Animate.css让添加CSS动画像喝水一样容易
  9. 7个最新的实用性 JavaScript MV*框架
  10. Node.js入门系列视频教程

  开源的 OurJS
Demo (EN), Demo (CN), Github
  关注我们 RSS

我们的微信公众号: ourjs-com
打开微信扫一扫即可关注我们:
IT文摘-程序员(码农)技术周刊

ourjs官方微信号

加载中...