"永恒之蓝"比特币勒索病毒(WannaCry)的攻击原理 此病毒其实是利用了微软 Microsoft Windows SMB 服务器通信协议进行传播的。并且微软已经于3月份发布了安全更新包,但是由于很多校园网、医院、政府机构专网的电脑或服务器没有安装安全更新,造成大面临感染。实际上很多运行Windows的服务器也不可能自动安装安全更新,因为这可能会导致服务器的重启。
SMB(Server Message Block,又称Common Internet File System(CIFS)),主要用来使得一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的行程间通讯机能。它主要用在装有Microsoft Windows的机器上,被称为Microsoft Windows Network。使用445端口。
攻击者利用向 Windows SMBv1 服务器445端口发送特殊设计的消息,来远程执行攻击代码。
高危漏洞-ImageMagick图象处理软件存在远程代码执行漏洞 漏洞描述:
ImageMagick是一款广泛流行的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。
基于JavaScript的DDoS首次通过安全的浏览器发动攻击(百度被劫持攻击Github的原理和过程) 为了防止恶意用户发布恶意内容,我们的安全分析浏览器都在虚拟机上运行。这使我们能够确定一个网页是否包含恶意内容,避免那些利用用户浏览器的JavaScript发起的攻击。我们每天会分析数以百万计的网页,通过机器学习算法选择考察的网页,大体上覆盖了所有的网络。
在三月中旬,出现几起针对审查监测机构GreatFire的拒绝服务攻击。研究人员分析了大量这种DoS攻击,发现了它的攻击原理,它是通过网络运营商进行的,拦截良性网页的内容并注入恶意的JavaScript代码。比如将托管在baidu.com的网页分析JavaScript代码和HTML资源,替换成包含攻击片断的JavaScript代码,这些代码会向被攻击的域名持续发送请求。
Session劫持与Session-ID的安全长度 Session劫持从Web Session控制机制处发动攻击,通常是对Session令牌管理的剥夺。
因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度的字符串组成,并且它可以以不同的方式存储,如在URL中,在HTTP请求的cookie报头中(request header),或在HTTP请求中的其它报头,或者在HTTP请求的主体中。
Session劫持攻击通过窃取或预测有效的Session令牌来获得未经授权Web服务器访问权限。
Node.js安全教程:防止阻塞Event Loop的潜在攻击 我们的node.js服务器会偶尔挂一段时间(几秒钟),为什么会这样?
那么,为什
么会这样呢?简单的回答是,我们的代码时不时地阻塞了node.js的事件循环(Event Loop)。你可能已经知道了node.js ——
像浏览器中的JavaScript一样 ——
是单线程的。是由一个事件循环驱动的。一次只会处理一件事件。并行处理在这里是不存在的。所以node.js很善于处理I/O密集型的工作。因为在处理
一个请求时,大部分时间是花在I/O等待上面了。(从磁盘上读取数据,从网络收发数据),但是它并不善长处理CPU密集型的工作。
避免Node.js中的命令行注入安全漏洞 我们经常使用的调用命令的方法是最简单的child_process.exec。它有很一个简单的使用模式;通过传入一段字符串命令,并把一个错误或命令处理结果回传至回调函数中。这里是你通过child_process.exec调用系统命令一个非常典型的例子。
child_process.exec('ls', function (err, data) {
console.log(data);
});
提高NodeJS网站的安全性:Web服务器防黑客攻击技巧 毫无疑问,Node.js现在是越来越成熟。尽管这样,我们还没有形成很多的安全准则。
在这篇文章中,我会分享一些关于提高Node.js安全性方面的技巧。
浦发银行,请给我们一个解释! 2014年3月24日,浦发银行对其网上银行安全控件进行了全面升级,结果却让国内 Linux 用户们大跌眼镜!
第二天,我发表的帖子《浦发银行,升级还是退步?》被很多网站转载,引起了网友们的纷纷议论。虽然有个别网友对浦发银行的此次升级表示谅解,但是绝大多数网友还是表示不解与愤慨。不过,那篇文章终究是在气头上写的,过于感性。所以,还是有必要再好好分析一下这个事儿。
你不知道的JavaScript用法,Hacker是这样写JS的 我喜欢以一些意想不到的方式使用JavaScript,写出一些看起来奇怪但其实很管用的代码,这些代码常常能够执行一些出人意料功能。这听起来似
乎有些微不足道,但是基于这点发现足以总结出一些非常有用的编程技巧。下面写到的每一个小技巧都可以屏蔽掉XSS过滤器,这也是我写这些代码的初衷。然而,学习这样的JavaScript代码可以明显加强你对语言本身掌握,帮助你更好地处理输入,并且提高Web应用程序的安全性。
QQ邮箱是如何泄密的:JSON劫持漏洞攻防原理及演练 注* 作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞,直到现在,你在某些邮箱打开一个外部链妆,依然会有安全警告提示。下面就是对这种攻击原理的介绍以及预防方法
不久之前,我写了一篇文章《一个微妙的JSON漏洞》,文中讲到这个漏洞可能会导致敏感信javascript:;息泄露。针对该漏洞的特点,通过覆盖JavaScript数组构造函数以窃取(暴露)JSON返回数组,而现在大多数浏览器还无法防范这种攻击。