OurJS


OurJS-我们的JS, 我们的技术-IT文摘; 专注JS相关领域;
我们热爱编程, 我们热爱技术;我们是高大上, 有品味的码农;

欢迎您订阅我们的技术周刊


我们会向您分享我们精心收集整理的,最新的行业资讯,技术动态,外文翻译,热点文章;
我们使用第三方邮件列表向您推送,我们不保存您的任何个人资料,注重您的隐私,您可以随时退订,

欢迎分享您的观点,经验,技巧,心得

让我们一起找寻程序员的快乐,探索技术, 发现IT人生的乐趣;


本网站使用缓存技术每次加载仅需很小流量, 可在手机中流畅浏览;
如果您发现任何BUG,请即时告知我们: ourjs(at)ourjs.com

"永恒之蓝"比特币勒索病毒(WannaCry)的攻击原理

骇客攻防 by kris key 分享 1494688467077 评论 (0)
此病毒其实是利用了微软 Microsoft Windows SMB 服务器通信协议进行传播的。并且微软已经于3月份发布了安全更新包,但是由于很多校园网、医院、政府机构专网的电脑或服务器没有安装安全更新,造成大面临感染。实际上很多运行Windows的服务器也不可能自动安装安全更新,因为这可能会导致服务器的重启。

SMB(Server Message Block,又称Common Internet File System(CIFS)),主要用来使得一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的行程间通讯机能。它主要用在装有Microsoft Windows的机器上,被称为Microsoft Windows Network。使用445端口。

攻击者利用向 Windows SMBv1 服务器445端口发送特殊设计的消息,来远程执行攻击代码。

高危漏洞-ImageMagick图象处理软件存在远程代码执行漏洞

骇客攻防 by ourjs key 分享 1462451402497 评论 (2)

漏洞描述:

       ImageMagick是一款广泛流行的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。

基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程)

为了防止恶意用户发布恶意内容,我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容,避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页,通过机器学习算法选择考察的网页,大体上覆盖了所有的网络。

在三月中旬,出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DoS攻击,发现了它的攻击原理,它是通过网络运营商进行的,拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源,替换成包含攻击片断的JavaScript代码,这些代码会向被攻击的域名持续发送请求。

Session劫持与Session-ID的安全长度

Session劫持从Web Session控制机制处发动攻击,通常是对Session令牌管理的剥夺。
因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度的字符串组成,并且它可以以不同的方式存储,如在URL中,在HTTP请求的cookie报头中(request header),或在HTTP请求中的其它报头,或者在HTTP请求的主体中。
Session劫持攻击通过窃取或预测有效的Session令牌来获得未经授权Web服务器访问权限。

Node.js安全教程:防止阻塞Event Loop的潜在攻击

我们的node.js服务器会偶尔挂一段时间(几秒钟),为什么会这样?

那么,为什 么会这样呢?简单的回答是,我们的代码时不时地阻塞了node.js的事件循环(Event Loop)。你可能已经知道了node.js —— 像浏览器中的JavaScript一样 —— 是单线程的。是由一个事件循环驱动的。一次只会处理一件事件。并行处理在这里是不存在的。所以node.js很善于处理I/O密集型的工作。因为在处理 一个请求时,大部分时间是花在I/O等待上面了。(从磁盘上读取数据,从网络收发数据),但是它并不善长处理CPU密集型的工作。

避免Node.js中的命令行注入安全漏洞

骇客攻防 by ourjs key Node.JS 1417502768324 评论 (0)
我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_process.exec调用系统命令一个非常典型的例子。
child_process.exec('ls', function (err, data) {
    console.log(data);
});

提高NodeJS网站的安全性:Web服务器防黑客攻击技巧

骇客攻防 by ourjs key Node.JS 1417057632602 评论 (0)
毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。
在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。

浦发银行,请给我们一个解释!

2014年3月24日,浦发银行对其网上银行安全控件进行了全面升级,结果却让国内 Linux 用户们大跌眼镜!

第二天,我发表的帖子《浦发银行,升级还是退步?》被很多网站转载,引起了网友们的纷纷议论。虽然有个别网友对浦发银行的此次升级表示谅解,但是绝大多数网友还是表示不解与愤慨。不过,那篇文章终究是在气头上写的,过于感性。所以,还是有必要再好好分析一下这个事儿。

你不知道的JavaScript用法,Hacker是这样写JS的

我喜欢以一些意想不到的方式使用JavaScript,写出一些看起来奇怪但其实很管用的代码,这些代码常常能够执行一些出人意料功能。这听起来似 乎有些微不足道,但是基于这点发现足以总结出一些非常有用的编程技巧。下面写到的每一个小技巧都可以屏蔽掉XSS过滤器,这也是我写这些代码的初衷。然而,学习这样的JavaScript代码可以明显加强你对语言本身掌握,帮助你更好地处理输入,并且提高Web应用程序的安全性。

QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练

注* 作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞,直到现在,你在某些邮箱打开一个外部链妆,依然会有安全警告提示。下面就是对这种攻击原理的介绍以及预防方法

不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信javascript:;息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种攻击。

广告投放

 近期热门 - 点击最多
  1. 用JavaScript获取当月第一天和最后一天
  2. Linux下用node.js提取Word(doc/docx)/PDF文本内容
  3. Node.JSv8的5个新特性:支持string padding与async/await和object参数省略
  4. node.js使用unzip解压zip包指定文件,提取 word/excel (docx/pptx/xlsx) 文本内容
  5. 比特币的技术缺陷:区块链信息越来越大怎么办?
  6. node.js中fs.stat里的atime,mtime,ctime,birthtime在debian下的更新规则与区别
  7. decodeURIComponent有个BUG,当浏览器请求地址含%+数字时,会解析错误
  8. 2017 开发者报告:Java最流行的语言,JavaScript最常用的语言,Go最有前途的语言
  9. 小程序排名高低,关键还是看这些因素!
  10. AirJD-简单好用的免费建站工具

  全端社区 - 最新回复
  1. 为什么使用"use strict"可以节约你的时间
  2. 5个经典的前端面试问题
  3. JavaScript专业八级测试,你能做对几道?
  4. 企业开发小程序的过程中,这些方面必须重视!
  5. 企业开发微信小程序的过程中,最容易出现这些问题!
  6. 微商城想快速发展,软文营销工作必须做好!
  7. LEADTOOLS v19试用版安装指南图文详解
  8. Xamarin for Visual Studio v4.6发布,重新设计属性页和Manifest编辑器
  9. 开发小程序之前,这些问题必须考虑清楚!
  10. 微信小程序的出现,带给传统企业的优势!

  开源的 OurJS
Demo (EN), Demo (CN), Github
  关注我们 RSS

我们的微信公众号: ourjs-com
打开微信扫一扫即可关注我们:
IT文摘-程序员(码农)技术周刊

ourjs官方微信号

加载中...