浏览模式: 标准 | 列表 Tag: 安全

PHP in the Register Globals

Posted by amxku on 2008-09-28, 02:49 . 技术相关

by amxku
2008-09-28
http://www.wolfexp.net

在php中用户的输入数据为 GET、POST 和 COOKIE 三种，一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off，但现在还是有部分在php.ini中将register_globals 的设为on，所以这里就存在了一些隐藏的风险。

register_globals 本身并没有安全风险。但如果将register_globals设为on，在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中，将创建 GET、POST 和 COOKIE 传递到 php 脚本的所有变量。各种变量都被注入代码。再加上 php 在使用变量之前是无需进行初始化的，如果开发人员没有好的编程习惯，这就使得更容易产生一些安全风险。

» 阅读全文

Tags: php, 安全, 脚本

8 Comments | 432 Views

ali也挂了，唉

Posted by amxku on 2008-09-20, 22:45 . 杂七杂八

唉，上图！全自动的就是牛啊。

Tags: 阿里巴巴, 被黑站点, 挂马, 安全

4 Comments | 812 Views

Ajax安全剖析专题

Posted by amxku on 2008-09-19, 23:10 . 杂七杂八

Ajax是Asynchronous JavaScript and XML的缩写。AJAX(Asynchronous JavaScript + XML)是web浏览器技术的集合体，它允许web页面内容飞速地更新而无需刷新页面。在使用AJAX的web页面背后，数据（通常格式化为XML，但也可以是HTML、JavaScript等格式）在web服务器与客户端浏览器之间来回传输。比如在Gmail应用场景中，新的邮件信息被自动接收和显示。在Google Maps应用场景中，用户可以通过鼠标拖拽的方式在地图中的街区之间穿梭漫游。这种执行异步数据传输的机制是一个嵌入在所有现代web浏览器内部的、被称为XMLHTTPRequest(XHR)的软件库。XHR是web站点获得“AJAX”商标的关键。另一方面，它也是一些实现了“奇思妙想”的JavaScript。

http://www4.it168.com/jtzt/shenlan/safe/ajax/

Tags: ajax, 安全, 学习

0 Comments | 414 Views

这也能叫安全

Posted by amxku on 2008-09-16, 22:59 . 杂七杂八


虽然现在已有防火墙、杀毒、入侵检测等安全防范手段，但防火墙对Web入侵基本没有作用，杀毒软件更是对变形webshell显得无力，SQL注入稍微变形就可绕过传统IDS，由此导致的网页被篡改或挂马屡见不鲜。目前专门针对Web安全的工具还很少，而像中国中央政府门户网站所使用的iGuard网页防篡改系统又贵的惊人，由此诞生了一款任何人都用得起的轻量级实用的反黑工具-安全伞。

自己都被挂了，还网页防篡改或防挂马。唉。

Tags: 安全, 被黑站点, arp

10 Comments | 824 Views

安全观点扯淡

Posted by amxku on 2008-06-24, 01:16 . 杂七杂八

引用luoluo1、专业安全人员的意义不在于安全人员有专业的安全知识，而是安全人员这个角色从安全的角度出发考虑问题 2、安全的最终目的还是要为业务服务 3、安全工作的关键在于安全管理 4、安全是个持续的过程 5、安全问题的解决一般是涉及跨部门协作，主要的成本在沟通luoluo同学，总结的很牛X。赞一个。

Tags: 安全, 扯淡

3 Comments | 1061 Views

科普Solaris系统安全

Posted by amxku on 2008-06-05, 22:54 . 技术相关

科普Solaris系统安全

==维护密码和登录控制
==监控系统使用情况
==限制文件访问
==root用户登录
==控制通过网络的远程访问

前段时间给用户加固就出现了http://www.amxku.net/archives/reinforcement-solaris/，这两天给用户培训这方面，标记一下。个人拙见，有不妥之处还望斧正。

» 阅读全文

Tags: solaris, 安全, 加固, 原创

1 Comments | 1271 Views

风险评估杂谈

Posted by amxku on 2008-04-28, 00:33 . 技术相关

ENGEE / amxku_at_msn.com

我个人觉得作为一个优秀的服务团队必须具备如下的一下基本要求也是我们尽量要给用户展示的实力。

1 、需要先进的方法论
信息安全风险评估基础是风险量化所有的计算都是数学模型，所以风险评估的方法论就显得尤为重要了再好的团队。如果你的方法论错了，那你拥有在先进的技术，其结果一定是错误的。作为一个专业的安全服务公司你必须要有自己明确的风险评估的方法论，并且提出他的合理性。通俗的讲，就是风险是如何构成，影响风险的要素是什么，我们怎么来取值最后如何计算等等。如果你能清楚的给用户讲明白一枚银币仍上天空后，所有能影响他掉落的各种因素，并有准确的计算方式那么你即时你告诉用户，这枚硬币仍上去的一刹那我们就已经清楚的知道他落下来后是人头还是字。我相信用户也会被你折服的。否则你就是在扯蛋。

» 阅读全文

Tags: 安全, 杂谈, 风险评估, 方法论, 杂谈, 专业, 原创

6 Comments | 1651 Views

Solaris 系统安全加固列表

Posted by amxku on 2007-12-19, 19:18 . 技术相关

一、安全理念
1、安全的隐患更多来自于企业内部
2、对于管理员的要求：不要信任任何人
3、分层保护策略：假设某些安全保护层完全失效
4、服务最小化
5、为最坏的情况做打算

二、物理安全
1、记录进出机房的人员名单，考虑安装摄像机
2、审查PROM是否被更换，可以通过记录hostid进行比较
3、每个系统的OpenBoot口令应该不一样，口令方案不可预测
4、系统安装完毕移除CD-ROM
5、将版本介质放入不在本场地的介质储藏室中

» 阅读全文

Tags: solaris, sun, 加固, 安全

1 Comments | 1932 Views

Hacker Applications

Posted by amxku on 2007-12-01, 23:01 . 杂七杂八

       小黑软件（Hacker Applications）发布啦！请记住我们：HackApp.com ，先来解释下我们域名的含义，HackApp = Hacker Applications。
       我们的口号是---没有后门！
       经过鬼仔、7jdg 、amxku （排名不分先后，哈哈）的不懈努力，小黑软件（Hacker Applications）终于在今天上线了！
       从10月中旬的开始策划到现在，已经半个多月了，中间可谓是经历了众多坎坷啊，先是从想域名开始，想了几天，域名想好了，程序也搭建好了，名字又想不起来，开始想名字，这一想就是10几天过去了。最后终于决定使用“小黑软件 ”这个名字。
       我们的宗旨是收集、介绍我们认为比较好的、且对大家有用的网络安全相关软件给大家，另外大家有什么好的网络安全相关软件想共享的话，可以直接通过侧边栏的“联系我们”告诉我们。当然，必须是符合我们口号中的要求才可以，那就是“没有后门”！在我们这里，不会发盗号类的木马等。远控类的会发，但是只会发源码公布了的远控。只要是不能保证没有后门的软件，我们都不会发，宁缺毋滥。
       我们也知道,这些说起来容易，但是做起来的话可能会比较难，因为一些好东西，大家都想留着自己用。我们只能尽我们最大的努力来做好，希望大家多多关注我们，多多给予我们帮助，谢谢！

7jdg：共同进步，共同学习，全力打造国内最大的安全软件资讯站,不求做的最好，只求能做的更好，希望大家关注我们，同时也希望大家能共同更新。

amxku：致力于网络安全软件的介绍，创造出最适合中国网络使用者阅读的新闻、评论、观点和专访等，使中国的网络使用者能够和世界其他地方一样，及时了解到当前网络安全相关软件的相关信息，从日新月异的科技信息中获得最大的信息价值。

鬼仔：哈哈，我就不说什么了，上面那些除了7jdg和amxku说的之外，都是我想说的了。