IT瘾security推荐

Linux 打算合併 /dev/random 與 /dev/urandom 遇到的問題

Sun, 03 Apr 2022 12:33:00 CST

在 Hacker News 上看到「 Problems emerge for a unified /dev/*random (lwn.net)」的，原文是「 Problems emerge for a unified /dev/*random」(付費內容，但是可以透過 Hacker News 上的連結直接看)。

標題提到的兩個 device 的性質會需要一些背景知識，可以參考維基百科上面「 /dev/random」這篇的說明，兩個都是 CSPRNG，主要的分別在於 /dev/urandom 通常不會 block：

The /dev/urandom device typically was never a blocking device, even if the pseudorandom number generator seed was not fully initialized with entropy since boot.

而 /dev/random 不保證不會 block，有可能會因為 entropy 不夠而卡住：

/dev/random typically blocked if there was less entropy available than requested; more recently (see below, different OS's differ) it usually blocks at startup until sufficient entropy has been gathered, then unblocks permanently.

然後順便講一下，因為這是 crypto 相關的設計修改，加上是 kernel level 的界面，安全性以及相容性都會是很在意的點，而 Hacker News 上的討論裡面很多是不太在意這些的，你會看到很多「很有趣」的想法在上面討論 XDDD

回到原來的文章，Jason A. Donenfeld (Linux kernel 裡 RNG maintainer 之一，不過近期比較知名的事情還是 WireGuard 的發明人) 最近不斷的在改善 Linux kernel 裡面這塊架構，這次打算直接拿 /dev/random 換掉 /dev/urandom：「 Uniting the Linux random-number devices」。

不過換完後 Google 的 Guenter Roeck 就在抱怨在 QEMU 環境裡面炸掉了：

This patch (or a later version of it) made it into mainline and causes a large number of qemu boot test failures for various architectures (arm, m68k, microblaze, sparc32, xtensa are the ones I observed). Common denominator is that boot hangs at "Saving random seed:". A sample bisect log is attached. Reverting this patch fixes the problem.

他透過 git bisect 找到發生問題的 commit，另外從卡住的訊息也可以大概猜到在虛擬機下 entropy 不太夠。

另外從他們三個 (加上 Linus) 在 mailing list 上面討論的訊息可以看到不少交流：「 Re: [PATCH v1] random: block in /dev/urandom」，包括嘗試「餵」entropy 進 /dev/urandom 的 code...

後續看起來還會有一些嘗試，但短期內看起來應該還是會先分開...

Metasploit Framework 6.1.32+20220303 (macOS, Linux, Windows) -- 渗透测试框架

Fri, 04 Mar 2022 15:03:00 CST

请访问原文链接： Metasploit Framework 6.1.32+20220303 (macOS, Linux, Windows) -- 渗透测试框架，查看最新版。原创作品，转载请保留出处。

作者主页： www.sysin.org

世界上最广泛使用的渗透测试框架

知识就是力量，尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作，Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识；它使防守队员能够始终领先比赛一步（或两步）。

版本比较

Open Source: Metasploit Framework

Download

Commercial Support: Metasploit Pro

下载地址

macOS：metasploit-framework-VERSION.x86_64.pkg
Windows：metasploit-framework-VERSION-x64.msi
Linux deb x64：metasploit-framework_VERSION_amd64.deb
Linux deb x86：metasploit-framework_VERSION_i386.deb
Linux deb arm64：metasploit-framework_VERSION_arm64.deb
Linux rpm x64：metasploit-framework-VERSION.el6.x86_64.rpm

百度网盘链接： https://pan.baidu.com/s/14jnv2S4EhzdHr3cWnwfNJA 提取码：17p9

网络数字身份认证术

Sun, 02 Jan 2022 16:38:13 CST

这篇文章是《 HTTP API 认证授权术》的姊妹篇，在那篇文章中，主要介绍了 HTTP API 认证和授权技术中用到的 HTTP Basic, Digest Access, HMAC, OAuth, JWT 等各种方式，主要是 API 上用到的一些技术，这篇文章主要想说的是另一个话题——身份认证。也就是说，怎么确认这个数据就是这个人发出来的？

用户密码

要解决这个问题，我们先来看一个最简单的解——使用密码，通常来说，在网络上要证明一个人的身份的话，都需要这个人的一些私密而唯一的东西。比如，像密码这样的东西，很多地方，只要你提供了你的用户名+密码，就可以确定这个人是你（注明：关于密码管理，强密码设定，密码泄漏，密码破解以及密码哄骗不在这篇文章的话题中），也就是说，这个密码是非常私密的事，我们可以假设，这个事全世界只能有当事人一个人知道，所以，当当事人得供正确的密码，我们就可以认证这个人了。

为了加强密码的安全程度，一般会使用 2FA（Two-factor authentication）或 MFA（Multi-factor authentication），双因认证或多因认证，这需要用户提供一个唯一的可信设备，比如用户的手机，然后通过验证手机短信，或是像 Google Authenticator 这样的动态口令来完成。这样的安全级别已经算是比较高了。如果能够再加上经常性的变更密码，那么密全级别就更好了。

另外，一些公司还使用了生物密码来进行用户的身份验证，比如人脸识别。但是，我个人觉得人脸识别或是生物识别是比较糟糕的方式，因为：

目前能被验证的生物信息（如人脸和指纹）太容易被别人获得和伪造了。
这样东西不能被变更和吊销，密码可以被吊销和重置，人脸则不能。

密钥对和证书

密码可以解决身证认证的问题有很多问题，最重要的一个问题就是，你要把你的密码提供给对方，对方才能验证你的身份。你不可能把你的密码提供给全世界的人吧，这样的话，全世界的人都有你的密码了，那么任何人都能变成你了。所以，用户密码这个事只能存在于权威机构和普通用户之间，不能存在于普遍应用中。所以，这里需要使用更好的解决方案。

使用 ECC（ Elliptic-Curve Cryptography）椭圆曲线密码术，可以通过一个“密钥对”进行非对称加密。这种技术，在对信息进行加密和解密时，使用两个不同的密钥，其中一个用来做加密，另一个做解密。这样一来，我们就可以把其中一个密钥公布出去，称之为公钥，另一个密钥私密地保管好，称之为私钥。

比如，我用我的私钥加密信息，然后，我把这个私钥所配对的公钥发布给所有人，大家都用公钥解密信息，不用我的公钥你解密不了这个信息。这样一来，就可以保证这个信息是我发出来的，不但保证了信息安全，还完成了身份认证。

这样的现实案例一般用于网站，也就是用户得要知道我访问的这个网站是真实的，不是别人做的。因为 DNS 很容易被 hack，你连上一个不可信的网络，这个网络里的 DNS 把这个网站的 IP 地址解析成什么就是什么了。但是有了这个加密的机制后，网站把自己的信息加密后连同公钥给到访问者，访问解密后就知道是不是这个网站了。

但是，这里还是会有一个很严重的问题，那就是中间人攻击。如下图所示：

中间人 Chad 把伪装成 Bob 向 Alice 要信息，然后，再伪装成 Alice 对 Bob 说，这就是 Alice 的公钥，于是 Bob 也无法验证是不是 Alice 的公钥，因为公钥里就是一堆乱七八糟的数据，我们完全不能分辨哪个公钥属于 Alice 的。试想，如果我们收到声称属于银行的密钥。我们怎么知道它确实属于你的银行？

这里的答案就是 使用数字证书。证书跟我们的身份证非常类似，其需要一个可信机构来颁发和验证的。这个证书机构 CA（Certificate Authority）是一个是大家都相信的权威机构，他用他的人品保证（当然一般会被严格管理和审计），CA 机构同样使用这样的非对称加密的技术来完成颁发和验证的事。下图展示了这一过程。

说明一下上面这个图：

为了解决公钥认证的问题的，我们需要一个权威的CA 机构。
Alice 把自己的信息（姓名、组织，地址，电邮，网址等）和自己的公钥打包成一个 CSR 的文件，发给 CA 机构，
CA 机构会来找 Alice 做物理世界的认证，如果通过后，就会用自己的机构私钥，把CSR 变成一个签名证书。
Bob 同学拿到 Alice 的证书，用 CA 机构的公钥解密后，得到 Alice 的公钥
后面就可以签证信息是否来自 Alice 了。

是的，这个过程就是在“套娃”，这种证书机构还可以给下级的证书机构发证，于是就会一层套一层地，形成一个证书链，顶层的叫根证书，你得绝对信任之。对于验证证书真实性的客户端，它需要能够验证链中所有 CA 的签名，这意味着客户端需要访问链中所有 CA 的证书。

证书生成过程演示

并不是所有的场景都需要向这些大型的 CA 机构申请公钥证书，在任何一个企业，组织或是团体内都可以自己形这样的“小王国”，也就是说，你可以自行生成这样的证书，只需要你自己保证自己的生成证书的私钥的安全，以及不需要扩散到整个互联网。下面，我们用 openssl命令来演示这个过程。

1）生成 CA 的证书（公钥） ca.crt 和私钥 ca.key

openssl req -newkey rsa:2048 \
    -new -nodes -x509 \
    -days 365 \
    -out ca.crt \
    -keyout ca.key \
    -subj "/C=SO/ST=Earth/L=Mountain/O=CoolShell/OU=HQ/CN=localhost"

2) 生成 alice 的私钥

openssl genrsa -out alice.key 2048

3）生成 Alice 的 CSR – Certificate Signing Request

openssl req -new -key alice.key 365 -out alice.csr \
    -subj "/C=CN/ST=Beijing/L=Haidian/O=CoolShell/OU=Test/CN=localhost.alice"

4）使用 CA 给 Alice 签名证书

openssl x509  -req -in alice.csr \
    -extfile <(printf "subjectAltName=DNS:localhost.alice") \ 
    -CA ca.crt -CAkey ca.key  \
    -days 365 -sha256 -CAcreateserial \
    -out alice.crt

双向认证 mTLS

上面，我们说的基本上都是单向认证，大量的场景都是确保用户方访问的是真正的服务方，如：银行，电商网站，等。这样可以保证用户不会被钓鱼网站或是中间人攻击。但是，很多时候，我们也是需要双向认证的。下面是一个典型的场景——微信支付和商户间交互

用户到商家那边买东西，商家要求用户进行支付。
用户选择了微信支付，于是，界面从商户侧切到了微信侧
微信那边支付完成后，商户这边收到微信那边支付完成的通知，于是开始发货。

这个过程中有件事非常重要——就是微信通知商户支付完成的时候。

微信得确保通知到的就是用户所支付商户，而不是别个。
商户也得要能确认，来通知我的就是微信，不是别人。

一般来说，微信会给商户一个 AppID和一个 AppSerct，用这个来确保是我认证过的商户来调用我，然后，需要商户在自己的系统里填一个回调的 URL，并通过平台设置的 key来做 MD5/HMAC的签名来确保是官方的回调。这都是在《 HTTP API 认证授权术》中提到过的技术，是相对传统的技术。

如今， mTLS是确保云原生应用程序中服务之间的通信安全的首选协议。也就是双向认证。

传统的 TLS 认证过程是：

客户端连接到服务器
服务器提供其 TLS 证书
客户端验证服务器的证书
客户端和服务器通过加密的 TLS 连接交换信息

在 mTLS 中，客户端和服务器都有一个证书，双方都使用他们的公钥/私钥对进行身份验证。与常规 TLS 相比，mTLS 中有额外的步骤来验证双方（以 粗体显示的额外步骤）：

客户端连接到服务器
服务器提供其 TLS 证书
客户端验证服务器的证书
客户端出示其 TLS 证书
服务器验证客户端的证书
服务器授予访问权限
客户端和服务器通过加密的 TLS 连接交换信息

mTLS 需要“根”TLS 证书；这我们自己来完成证书颁发机构的职责。授权客户端和服务器使用的证书必须与此根证书相对应。根证书是自签名的，这意味着我们需要自己创建它。（注：此方法不适用于公共 Internet 上的单向 TLS，因为外部证书颁发机构必须颁发这些证书）

那么，为什么整个互联网上都用了 TLS 了，为什么不升级一下使用 mTLS？这里有两方面的原因：

公共互联网上要解决的问题是：A) 确保用户访问到的是正确的网站，而不是钓鱼网站。B）网站传输的内容是安全和私密且不会被篡改的。
将 TLS 证书分发到所有最终用户设备将非常困难。生成、管理和验证为此所需的数十亿个证书几乎是不可能的任务。

在较小的范围内，mTLS 对于单个组织非常有用且非常实用，尤其是当这些组织采用零信任方法来确保网络安全时。由于默认情况下零信任方法不信任任何用户、设备或请求，因此组织必须能够在每次尝试访问网络中的任何点时对每个用户、设备和请求进行身份验证。mTLS 通过对用户进行身份验证和设备验证来帮助实现这一目标。

关于 mTLS，这里有一个我用 Golang 写的示例 – https://github.com/haoel/mTLS，大家可以参考一下。

P.S. 本文图版中的卡司来自安全圈的标准 Cast，参看 Alice and Bob。

（全文完）

关注CoolShell微信公众账号和微信小程序

（转载本站文章请注明作者和出处酷壳 – CoolShell ，请勿用于任何商业用途）

——=== 访问酷壳404页面寻找遗失儿童。 ===——

The post 网络数字身份认证术 first appeared on 酷壳 - CoolShell.

Burp Suite Pro 2021.10 (macOS, Linux) -- 查找、发现和利用漏洞

Tue, 02 Nov 2021 10:34:22 CST

请访问原文链接： Burp Suite Pro 2021 (macOS, Linux) -- 查找、发现和利用漏洞，查看最新版。原创作品，转载请保留出处。

作者：gc(at)sysin.org，主页： www.sysin.org

简介

Burp Suite Professional 是一套用于测试 web 安全性的高级工具集 —- 所有这些都在一个产品中。从一个基本的拦截代理到尖端的 Burp 扫描器，使用 Burp Suite Pro，正确的工具只需点击一下就可以了。

我们强大的自动化让您有更多的机会做您最擅长的，而 Burp Suite 处理容易实现的目标。先进的手动工具将帮助你识别目标更微妙的盲点。

Burp Suite Pro 是由一个研究团队开发的。这意味着在我们发布之前，发现成果已经包含在我们的最新更新中。我们的 pentesting 工具将使您的工作更快，同时让您了解最新的攻击向量。

功能介绍

Manual penetration testing features 手动渗透测试功能

Intercept everything your browser sees

A powerful proxy/history lets you modify all HTTP(S) communications passing through your browser.

Manage recon data

All target data is aggregated and stored in a target site map - with filtering and annotation functions.

Expose hidden attack surface

Find hidden target functionality with an advanced automatic discovery function for “invisible” content.

Test for clickjacking attacks

Generate and confirm clickjacking attacks for potentially vulnerable web pages, with specialist tooling.

Work with WebSockets

WebSockets messages get their own specific history - allowing you to view and modify them.

Break HTTPS effectively

Proxy even secure HTTPS traffic. Installing your unique CA certificate removes associated browser security warnings.

Manually test for out-of-band vulnerabilities

Make use of a dedicated client to incorporate Burp Suite’s out-of-band (OAST) capabilities during manual testing.

Speed up granular workflows

Modify and reissue individual HTTP and WebSocket messages, and analyze the response - within a single window.

Quickly assess your target

Determine the size of your target application. Auto-enumeration of static and dynamic URLs, and URL parameters.

Assess token strength

Easily test the quality of randomness in data items intended to be unpredictable (e.g. tokens).

Advanced/custom automated attacks 高级/自定义自动攻击

Faster brute-forcing and fuzzing

Deploy custom sequences of HTTP requests containing multiple payload sets. Radically reduce time spent on many tasks.

Query automated attack results

Capture automated results in customized tables, then filter and annotate to find interesting entries/improve subsequent attacks.

Construct CSRF exploits

Easily generate CSRF proof-of-concept attacks. Select any suitable request to generate exploit HTML.

Facilitate deeper manual testing

See reflected/stored inputs even when a bug is not confirmed. Facilitates testing for issues like XSS.

Scan as you browse

The option to passively scan every request you make, or to perform active scans on specific URLs.

Automatically modify HTTP messages

Settings to automatically modify responses. Match and replace rules for both responses and requests.

Automated scanning for vulnerabilities 自动扫描漏洞

Harness pioneering AST technology

High signal: low noise. Scan with pioneering, friction-free, out-of-band-application security testing (OAST).

Conquer client-side attack surfaces

Hybrid AST and built-in JavaScript analysis engine help to find holes in client-side attack surfaces.

Fuel vulnerability coverage with research

Cutting-edge scan logic from PortSwigger Research combines with coverage of over 100 generic bugs.

Fine-tune scan control

Get fine-grained control, with a user-driven scanning methodology. Or, run “point-and-click” scans.

Remediate bugs effectively

Custom descriptions and step-by-step remediation advice for every bug, from PortSwigger Research.

Configure scan behavior

Customize what you audit, and how. Skip specific checks, fine-tune insertion points, and much more.

Navigate difficult applications

Crawl more complex targets. Burp Suite’s crawler identifies locations based on content - not just URL.

Effectively apply IAST

Source identification and vulnerability reporting simplified, with optional code instrumentation.

Experience browser-driven scanning

Browser-driven scanning is already striding toward better coverage of tricky targets like AJAX-heavy single page apps.

Productivity tools 生产力工具

Deep-dive message analysis

Show follow-up, analysis, reference, discovery, and remediation in a feature-rich HTTP editor.

Utilize both built-in and custom configurations

Access predefined configurations for common tasks, or save and reuse custom configurations.

Multiply project options

Auto-save all working projects to disk, and add configurations to pre-saved projects.

Make code more readable

Automatically pretty-print code formats including JSON, JavaScript, CSS, HTML, and XML.

Easily remediate scan results

See source, discovery, contents, and remediation, for every bug, with aggregated application data.

Simplify scan reporting

Customize with HTML/XML formats. Report all evidence identified, including issue details.

Speed up data transformation

Decode or encode data, with multiple built-in operations (e.g. Hex, Octal, Base64).

Extensions 扩展

Create custom extensions

Extender API ensures universal adaptability. Code custom extensions to make Burp work for you.

Logger++

For in-depth vulnerability detail, ordered and arranged in an easily accessible table, make use of Logger++.

Autorize

When testing for authorization vulnerabilities, save time and perform repeat requests with Autorize.

Turbo Intruder

Configured in Python, with a custom HTTP stack, Turbo Intruder can unleash thousands of requests per second.

J2EE Scan

Expand your Java-specific vulnerability catalogue and hunt the most niche bugs, with J2EEScan.

Access the extension library

The BApp Store customizes and extends capabilities. Over 250 extensions, written and tested by Burp users.

Upload Scanner

Adapt Burp Scanner’s attacks by uploading and testing multiple file-type payloads, with Upload Scanner.

AuthMatrix

Run AuthMatrix with Autorize to define your access-level vulnerability authorization check.

Param Miner

Quickly find unkeyed inputs with Param Miner - can guess up to 65,000 parameter names per second.

Backslash Powered Scanner

Find research-grade bugs, and bridge human intuition and automation, with Backslash Powered Scanner.

下载地址

官方版本：Professional / Community 2021.10
百度网盘链接： https://pan.baidu.com/s/1jlqpII0Ibu2jwrk82je3JA 提取码：pjtm

本站特别版：今天刚刚发布，需要测试验证后更新。

Burp Suite Pro for macOS
百度网盘链接：

集成 keygen，直接运行，无需额外安装 Java

修复原版图标，Big Sur 图标适配

已知问题：首次运行窗口会变得非常小，拖拽，下次启动即可正常。应用程序运行显示的图标是 java 的图标，比较丑陋，因为破解使用 java loader 导致。
Burp Suite Pro for Linux
百度网盘链接：

安装： chmod +x burpsuitepro-linux-2021.10.bin && sudo ./burpsuitepro-linux-2021.10.bin

集成安装、注册和卸载

主界面一览

Spring Security中用JWT退出登录时很容易犯的错

Thu, 14 Oct 2021 15:18:00 CST

最近有个粉丝提了个问题，说他在Spring Security中用JWT做退出登录的时无法获取当前用户，导致无法证明“我就是要退出的那个我”，业务失败！经过我一番排查找到了原因，而且这个错误包括我自己的大部分人都犯过。

Session会话

之所以要说Session会话，是因为Spring Security默认配置就是有会话的，所以当你登录以后Session就会由服务端保持直到你退出登录。只要Session保持住，你的请求只要进入服务器就可以从 ServletRequest中获取到当前的 HttpSession，然后会根据 HttpSession来加载当前的 SecurityContext。相关的逻辑在Spring Security默认的过滤器 SecurityContextPersistenceFilter中，有兴趣可以看相关的源码。

而且默认情况下 SecurityContextPersistenceFilter的优先级是高于退出过滤器 LogoutFilter的，所以能够保证有Session会话的情况下退出一定能够获取当前用户。

无Session会话

使用了JWT后，每次请求都要携带 Bearer Token并且被专门的过滤器拦截解析之后才能将用户认证信息保存到 SecurityContext中去。参考Spring Security实战干货教程中的Token认证实现 JwtAuthenticationFilter，相关逻辑为：

// 当token匹配              
if (jwtToken.equals(accessToken)) {     
    // 解析 权限集合  这里     
    JSONArray jsonArray = jsonObject.getJSONArray("roles");     
    List<String> roles = jsonArray.toList(String.class);     
    String[] roleArr = roles.toArray(new String[0]);     
     
    List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(roleArr);     
    User user = new User(username, "[PROTECTED]", authorities);     
    // 构建用户认证token     
    UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, null, authorities);     
    usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));     
    // 放入安全上下文中     
    SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);     
} else {     
    // token 不匹配     
    if (log.isDebugEnabled()){     
        log.debug("token : {}  is  not in matched", jwtToken);     
    }     
    throw new BadCredentialsException("token is not matched");     
}

为什么退出登录无法获取当前用户

分析了两种情况下用户认证信息的安全上下文配置后，我们回到问题的本身。来看看为什么用JWT会出现无法获取当前认证信息的原因。在 HttpSecurity中，那位同学是这样配置 JwtAuthenticationFilter的顺序的：

httpSecurity.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)

我们再看看 Spring Security过滤器排序图：

也就说LogoutFilter执行退出的时候，JWT还没有被 JwtAuthenticationFilter拦截，当然无法获取当前认证上下文 SecurityContext。

解决方法

解决方法就是必须在 LogoutFilter执行前去解析JWT并将成功认证的信息存到 SecurityContext。我们可以这样配置：
httpSecurity.addFilterBefore(jwtAuthenticationFilter, LogoutFilter.class)
这样问题就解决了，你只要实现把当前JWT作废掉就退出登录了。

好了，今天的学习就到这里！如果您学习过程中如遇困难？可以加入我们超高质量的 Spring技术交流群，参与交流与讨论，更好的学习与进步！更多 Spring Boot教程可以点击直达！，欢迎收藏与转发支持！

ZeroSSL 也提供免費的 SSL Certificate (DV) 了

Tue, 24 Nov 2020 15:11:30 CST

在 Facebook 上被朋友敲可以測 ZeroSSL，另外一個透過 ACME 協定提供免費的 SSL Certificate，不過目前只有支援單一網域名稱 (DV)：「 Another free CA as an alternative to Let's Encrypt (scotthelme.co.uk)」。

我先前就有在測 ZeroSSL，不過驗證一直過不去，當時有在 Twitter 上找 ZeroSSL 帳號問，但 ZeroSSL 的人說 ACME 的部份不在客服範圍，就先丟著...

剛剛發現是自己耍笨了，原因是 nginx 沒設好造成驗證卡住，一改好後就正常了。

用 SSL Labs 的 SSL Server Test 翻了一下，他的 Root CA 看起來歷史更久，應該是有機會解決 Let's Encrypt 明年會產生的 Root CA 憑證信任問題，也就是先前在「 Let's Encrypt 在 Android 平台上遇到的問題」提到的問題，在 Hacker News 上的討論也可以看到有人提到這點：

Good to know, and I'm glad there's an alternative to Let's Encrypt, just in case. Is ZeroSSL trusted by old Android devices? If so, that might be a work-around for Let's Encrypt's cross-signing from IdenTrust expiring.

不過也有些人有疑慮，畢竟提供這個服務後面的公司幹過不少壞事：

If zerossl is reselling/a subsidiary of sectigo, that’s enough reason to never use this.
Sectigo is the new name for Comodo. The same bunch of pricks who tried to trademark “Let’s Encrypt”.

Other players in the acme cert “business” is great. Renaming a slime ball name and carrying on like nothing happened is not ok.

但看起來至少是多了一個選擇...

HTTPS網站被Chrome打臉？

Thu, 23 Apr 2015 21:22:03 CST

接獲報案，某網站的SSL圖示忽然被Chrome打上紅叉叉，https字眼也被劃掉，有種駭客正站在你背後的驚悚感。檢視該網站SSL憑證尚未到期，改用Firefox、IE檢視並無異樣，只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失。

以上提到的缺失並不算新鮮事。

公開稽核記錄是指網站經第三方單位稽核無誤，跟花錢取得 ~~CAS~~ ISO認證差不多意思，目的在提升客戶信心。而具備公開稽核記錄的憑證，Chrome或IE還會在地址列標示組織名稱 ~~以顯尊榮~~，例如：

不過，電子商務應用或強調資安的網站較有動機申請第三方稽核提升公信力（畢竟要成本），像是Google、Facebook、YouTube的SSL憑證也都沒有公開稽核記錄。嚴格來說，沒有公開稽核記錄不算缺失。

至於「安全性設定過時」、「過舊的密碼編譯法」就比較嚴重…

故事是這樣的（以下會扯到一些密碼學術語，我盡量說人話），現在大家廣泛使用的網頁加密技術（SSL），網站需要具備一張由憑證廠商或組織（CA）簽發的數位憑證（Certificate），數位憑證包含所謂的數位簽章（Signature)。數位簽章會用到一種稱為雜湊（Hash）的演算規則，過去數位憑證採用的雜湊演算法以SHA1為主。依照密碼學，數位簽章有可能被暴力破解、偽造（用電腦不斷嘗試各種組合試出答案），但只要雜湊或加密演算法的強度足夠，即便用全世界最快的電腦也得花上數千上萬年才能破解，就能有效阻擋駭客攻擊，稱得上安全。問題來了，依據摩爾定律，電腦每兩年的性能就會提高一倍，於2012年有研究指出，依電腦的演進速度，可以預期在幾年之後，SHA1的強度便不足以抵抗新一代電腦的攻擊。意思是只要大爺有錢，在雲端弄一堆機器組成電腦大軍，在短時間內破解數位簽章跟加密並非不可能的事，而花費成本每三年就會降到原來的1/3。很明顯地，SHA1被破解的風險在未來幾年內會逐年升愈高，安全性堪慮。（話雖如此，真要破解仍得花上幾百萬）。

於是，微軟宣布從2016年起停用採SHA1演算法的數位憑證，接著Google也跟進，但Google的政策就讓大家有感多了。Chrome瀏覽器開始針對採用SHA1的SSL憑證發出警告，並逐步加重力道！

Chrome 39版（2014/9）遇到網站使用SHA1憑證時，會在HTTPS鎖頭圖示加註黃三角，Chrome 40版（2014/11）將鎖頭圖示改成白紙，到了Chrome 41版（2015 Q1），鎖頭圖示再次出現，並加上令人驚心的紅叉叉，就是本案例所看到的樣子。[ 參考]

這就是原本好好的網站，忽然在Chrome出現紅叉叉鎖頭的原因！隨著客戶端陸續更新Chrome版本，海水一退，就知道哪些網站穿著短褲…

要解決這個問題很簡單，將SSL憑證換成SHA256版本就好了！而這是網站管理者要煩惱的問題，一般的使用者看到這裡就夠了。

如果你是網站管理者，SSL憑證到期更新及申請新憑證時，記得要確認取得皂是SHA256版的（但應該也不會有CA再簽發SHA1版了吧？）。若現行的SHA1憑證仍有效，依到期日不同，會有不同的結果，不一定會出現紅叉叉。由於SHA1疑慮屬預防性的警示，較大的風險發生在未來，而且愈晚愈嚴重。故Chrome 41使用以下邏輯判斷憑證的安全程度：

2016/1/1以前到期的憑證，反正很快要換新成SHA256版，被視為安全。

2016/1/1-2016/12/31到期憑證，有點危險（因為2016電腦又變快了，攻擊難度下降），標為鎖頭加黃三角。

2017/1/1以後到期的憑證，遇上的電腦就更凶狠了，故標示為鎖頭加紅叉叉。

以上是網友佛心製作的SSL憑證檢查工具（ http://sha1affected.com/），輸入網址就幫你分析憑證狀況並預估在各版Chrome下的顯示狀態，對網站SSL憑證有疑慮的朋友可多加利用。

因此，若網站現有憑證到期日在2016/1/1以後，Chrome 40/41使用者用HTTPS連上網站時，將出現鎖頭加黃三角或鎖頭加紅叉叉的狀況。網站管理者可請CA廠商或組織重新簽發SHA256版本，一般不會收費，但得花功夫處理，基於避免使用者誤解的立場，更換掉還是比較好。

不得不說，Google這一招對於撲殺SHA1憑證很有效果。雖然此舉為部分網站管理者多添一椿麻煩事，從提升全球資安的角度來看，還是要為Google按個讚！

【延伸閱讀】

Security Labs- SHA1 Deprecation- What You Need ... - Qualys Community 淺顯完整的SHA1議題說明
SHA1 Deprecation Policy - Windows PKI blog - TechNet Blogs 微軟的SHA1停用政策
Google Online Security Blog- Gradually sunsetting SHA-1 Google的Chrome SHA1停用政策

關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

Thu, 11 Sep 2014 06:30:49 CST

在網路上看到 Gmail 密碼外洩消息，我「震驚」了…由於與個人資安切身相關，當然要深入了解，便找了資料來讀，順便整理分享。

本週二，有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單，被俄羅斯媒體 CNews 報導後，隨即在網路「瘋傳」（咳… 可以不要玩這些哏了嗎？）。論壇管理者事後移除清單裡的密碼，只留下帳號，而貼出清單的原PO則再跑出來聲稱其中 60％的密碼是有效的。

初步分析帳號名稱，主要來自英國、西班牙及俄羅斯，且看起來是長時間蒐集所得，部分帳號已改過密碼或停用。依 Google 的看法，並沒有證據顯示 Gmail 系統出現漏洞導致密碼被竊，而目前大家也較認同洩漏源自「密碼共用」。猜測為使用者在其他網站註冊會員時使用 Gmail 作為登入ID，同時又將密碼設定與 Gmail 相同，一旦該網站被駭或作業疏失造成帳號密碼外洩，就等同 Gmail 帳號密碼流入他人之手。

網路媒體 Mashable 則有更明確的資訊。依據資安專家 Matteo Flora 檢測：清單有 60 位他認識的人，經連繫，其中 30 位指出清單上的密碼從未用在 Gmail 或是年代久遠。另外，陸續有很多位名列清單的使用者證實，清單所指的密碼從未用於Gmail。由此推論，清單來自其他網站會員資料庫的可能性頗高。

有人寫了網站服務可以檢查自己的帳號是否在洩漏清單中，但提供者身分不明，要當心輸入的 Email 被拿來發垃圾信。（另外，如果將來出現網站要你輸入 Gmail 帳號密碼檢查有沒有外洩，千萬別 Key 呀！）如果有疑慮，建議馬上改密碼，這是絕無副作用的自保之道。

個人結論如下：

此次所謂 500 萬筆 Gmail 密碼，蒐集自其他網站註冊資料的可能情極高，應非 Gmail 服務出現資安漏洞，不需驚慌，若有疑慮，就把密碼換掉吧！Z > B。
不要共用密碼！不要共用密碼！不要共用密碼！很重要，所以說三次。
每個網站的安全防護強度不一，全部共用同一組密碼，代表任一網站被破，所有網站身分的安全性都亮紅燈。擔心密碼太多記不住？請愛用 KeyPass。
請善用「兩步驟驗證」， Gmail 與 Hotmail 都已支援。既然電子郵件已是網路身分的重要依據，裡面又擺滿個資，沒理由不讓它更安全一點。啟用兩步驟驗證後，要用陌生機器登入，就需要簡訊認證，如此歹徒就算拿到密碼，沒有你的手機也無法登入。
遇到有好心網站要你提供 Email、帳號及密碼說要幫你尋找朋友、檢查帳號安全，輸入前請張大眼睛，當心被騙。

【參考資料】

看我如何黑掉你的路由器

Mon, 26 May 2014 11:53:58 CST

前段时间我一个在信息安全领域的朋友让我干一件很奇怪的事情.他让我入侵他.为了保持匿名,就让我们叫他比尔吧.无辜的人名和地名也都已经匿名.供应商的名字依然保留以便追究责任.

入侵大公司很容易.他们拥有的信息资产跨越全球,并且不太注重对各种各样的防护技术的投入.跟踪所有资料实在有难度.它要求对组织内所有资产有禅宗般每天严格遵守”扫描-打补丁-重复”的原则,不能有一点闪失 .

针对个人的入侵则是很恼人的.黑帽子确实在关于信息安全上有不对称优势.有时候只要有一个漏洞就足够了.但是针对个人的攻击面相对于一个公司而言是相当小的.此外大多数人信任大提供商和他们的信息也相信云提供商会有有效措施来保护人们.

我要从最基本的侦查工作开始.我比较喜欢Maltego.Meltego就像是checkusernames.com, knowem.com, pipl search这些网络搜索工具或者其他的在线搜索工具.还有经典的google+,Facebook和Linkedin.Meltego可以在你做这些事情的时候帮助你在Facebook伪造身份.一个好的伪身份可以迷惑你的目标.在你利用社会化搜索引擎提取信息的时候它可以帮到你的.

关于线上资源,密码重置问题往往是最容易搞定的.我见到有的邮箱账号的重置问题就是目标人的人人网个人信息.我敢打包票大多数人从来没意识到这其中的联系.因为可能他们是5年前设置的这些密码重置问题.当然了这些东西对于我当前的情况是不适用的.我的目标曾经是个信息安全专家而且而且知道我要来.

这场战斗是需要点时间的.首先我要检查一下他有没有在家庭网络连接什么东西.他可能在不知道的情况下已经连上了什么东西.很多应用和设备开启了UPnP服务,但是只有用户级别的防火墙而且没有明确声明,这就给了我可乘之机.有时候攻击成功所需要的仅仅是一个网络存储器或者是媒体服务器,一个后门即可. 要找到他家的IP地址,我需要一个skype解析器,比如resolveme.org. 真的非常好用.我扫描了他的IP和他邻近的几个IP,看看能不能发现什么设备.当然一无所获…他肯定知道我会这么做的.

下一步,无线协议.无线网络是一个非常不错的攻击媒介.我用两台设备都是i7CPU 瑞昱6900用来破解WPA散列.我用马尔科夫的单词预测生成器作为oclHashcat的散列种子.它在八小时内平均有百分之八十的破解率.

于是我立即着手把比尔的地址分配给几个无线网卡.当前情况下我实际上是知道比尔的地址的,我其实也可以从通过侦查或者是社会工程学得到.严格意义上这个不算是秘密.成功捕获到WPA握手我就开始运行破解器,一个星期之后仍然一无所获.这个方法对于大多数人是有效的,但是比尔是一个信息安全专家.他的WPA密码长度可能大于32个字符.

到了这时候你或许会奇怪为什么我不直接用一个未公开漏洞一举拿下他呢.答案很简单-我了解我的攻击目标.他深得软件安全的精髓:”扫描-打补丁-重复”.甚至都没装Java.但是如果我确实手里有一个浏览器的未公开漏洞.我应该会在最后一个星期用的来赢得这个比赛.

我去了一趟比尔家里之后我确实得到了一些有用的信息,我得到了他路由器的无线MAC地址:06:A1:51:E3:15:E3.因为我有了OUI(组织唯一标识符).我可以知道这是一个网件公司的路由器,他们家的路由器之前确实是有一些漏洞的,但是比尔的那个跑的是最新的固件.不过最新的固件也并不意味着所有的漏洞都打了补丁了.唯一的办法就是买一个一样的网件路由器回来我自己测试.

知道具体买哪种型号不太可能(至少远程不行).消费者手中不同型号的设备之间有很大差异,比如片上系统来自Broadcom还是Atheros.我知道比尔还是比较节俭的.所以我买的是入门级设备WNDR3400v3.

看了一下之前这个设备有的一些漏洞之后我写了两个测试模块,第一个模块里用的是 CSRF bug to POST to the UPnP interface 而且还开了一个远程登陆路由器的后门.不少设备都有这个漏洞,值得尝试.

如果你能通过CSRF欺骗UPnP请求,那么你就能把整个网络翻个底朝天.

还有更重要的一点,我想要做的是打开一个端口. 然后可以通过被攻击者的浏览器用Ajax请求配置子网里面每一个IP的NAT设置,迅速禁用防火墙.当然,UPnP NAT条目的数量是有限制的,但是大多数设备还是有足够的条目允许给大约一百个主机设置关键端口的.

为了引诱比尔掉入我的陷阱,我给他发送了一封嵌入链接的电子邮件. Cobalt Strike 有一个工具可以拷贝已有的电子邮件(包括邮件头部和正文),基本上是整套的工具.所有你需要做的只是改一下链接.那么什么邮件是所有人即使是一个信息安全专家都会点击的呢? Linkedin 邀请.

编者的话:有些读者可能会有所怀疑,为什比尔会栽在这上面呢.即使是粗略的检查一下发送者的主机名和链接就彻底暴露了.这场角逐的关键点在于托词.关于托词的背景知识请参考这篇文章. 那天下午他刚刚见过本案例中的邀请发起人.而且这个会面是一个非正式的工作面试.我假定了这么一个情况:他想确认他已经得到这个工作.

在我发送这封邮件之前我需要跟踪我的攻击效果.默认情况下网件路由器的远程登录接口会打开但是服务是无应答的.你必须连接上这个端口并且发送特定的解锁密钥.这个确实已经有了公开密钥可用,但是我实在太喜欢Ruby了所以我还是自己写了另外一个 MSF模块,

比尔点击了这个链接,我一看到应答就立即启动了第二个模块并且远程登录了路由器,获得最高权限之后我就立即将路由器的DNS设置成了我自己控制的一个DNS服务器.

控制DNS服务器是非常有用的.DNS可以快速提供”可定制的”"中间人”.众多的中间人攻击工具里面我最喜欢的还是可藏匿行踪的 Evilgrade .Evilgrade已经多年无更新了但是依然很好用(一些修改是必须的了).一个星期之后比尔决定升级他的notepad++.他实际上获得的notepad++新版本是有一个后门的,一个Meterpreter shell就会自动安装.我马上给他发了一封邮件,里面是一些截图和击键记录.几分钟后他断开了他的电脑.

作为对我所取得成就的奖励:六瓶装的啤酒,真是爱死Ruby了.

看我如何黑掉你的路由器，首发于极客范 - GeekFan.net。

SecTools 2011年的Top125款网络安全工具排行榜

Wed, 28 Nov 2012 14:40:20 CST

PS：美帝知名网络安全网站SecTools在2011年年底对目前最流行的网络安全工具做了排名，这些工具里有部分也是我本人常用的，有开源的也有商业的。记录一下，备忘。

前10名如下：

1、 Wireshark (#1, 1)

2、 Metasploit (#2, 3)

3、 Nessus (#3, 2)

4、 Aircrack (#4, 17)

5、 Snort (#5, 2)

6、 Cain and Abel (#6, 3)

7、 BackTrack (#7, 25)

8、 Netcat (#8, 4)

9、 tcpdump (#9, 1)

10、 John the Ripper (#10, unchanged)

详细榜单请看：（本人没空翻译了，英文不好的童鞋查查翻译工具。）

http://sectools.org/

附其他安全工具榜单：

http://www.cyberwarzone.com/cyberwarfare/cyber-security-tools-list-2012

http://myparticularutterance.com/2012/09/101-free-admin-tools/

语音命令崩溃银行电话线

Mon, 17 Sep 2012 18:20:00 CST

一位安全研究员演示通过按键和语音命令攻击交互式话音响应系统（IVR），成功关闭电话系统的按键音和语音激活，甚至诱使其公开敏感信息。在测试中，一家匿名印度银行的电话系统披露了客户的PIN码。研究人员称，SQL盲注攻击和缓冲溢出攻击可适用于几乎任何IVR系统，没有银行或企业组织测试过IVR系统，它们以为它是安全的，但事实上它并不安全，没有防火墙或验证码监视语音流量。攻击针对的是双音多频信号算法，它能将用户指令转换成操作，如从数据库中提取出客户银行记录。数据库的弱点可被电话发出的语音指令利用，如导致其缓冲溢出。

（总结）Linux下的暴力密码在线破解工具Hydra详解

Tue, 04 Dec 2012 19:25:46 CST

PS：这款暴力密码破解工具相当强大，支持几乎所有协议的在线密码破解，其密码能否被破解关键在于字典是否足够强大。对于社会工程型渗透来说，有时能够得到事半功倍的效果。本文仅从安全角度去探讨测试，使用本文内容去做破坏者，与本人无关。

一、简介

hydra是著名黑客组织thc的一款开源的暴力密码破解工具，可以在线破解多种密码。官网：http://www.thc.org/thc-hydra，可支持AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP等类型密码。

二、安装

如果是Debian和Ubuntu发行版，源里自带hydra，直接用apt-get在线安装：
sudo apt-get install libssl-dev libssh-dev libidn11-dev libpcre3-dev libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev firebird2.1-dev libncp-dev hydra

Redhat/Fedora发行版的下载源码包编译安装，先安装相关依赖包：
yum install openssl-devel pcre-devel ncpfs-devel postgresql-devel libssh-devel subversion-devel

hydra下载地址：http://www.thc.org/releases/hydra-7.3.tar.gz
# tar zxvf hydra-7.0-src.tar.gz # cd hydra-7.0-src # ./configure # make # make install
hydra支持GUI图形界面，不过习惯还是命令好用。

三、参数说明
hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service [OPT] -R 继续从上一次进度接着破解。 -S 采用SSL链接。 -s PORT 可通过这个参数指定非默认端口。 -l LOGIN 指定破解的用户，对特定用户破解。 -L FILE 指定用户名字典。 -p PASS 小写，指定密码破解，少用，一般是采用密码字典。 -P FILE 大写，指定密码字典。 -e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探。 -C FILE 使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数。 -M FILE 指定目标列表文件一行一条。 -o FILE 指定结果输出文件。 -f 在使用-M参数以后，找到第一对登录名或者密码的时候中止破解。 -t TASKS 同时运行的线程数，默认为16。 -w TIME 设置最大超时的时间，单位秒，默认是30s。 -v / -V 显示详细过程。 server 目标ip service 指定服务名，支持的服务和协议：telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等。 OPT 可选项

四、各种用法实例

简单演示：

破解成功，直接显示结果，上图画红线的地方就是破解出来的密码，也可以通过参数-o输出到文件里。如果字典够强大，结合社工，密码不用很久就出来。

1、破解ssh：
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip ssh hydra -l 用户名 -p 密码字典 -t 线程 -o save.log -vV ip ssh
2、破解ftp：
hydra ip ftp -l 用户名 -P 密码字典 -t 线程(默认16) -vV hydra ip ftp -l 用户名 -P 密码字典 -e ns -vV
3、get方式提交，破解web登录：
hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip http-get /admin/ hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns -f ip http-get /admin/index.php
4、post方式提交，破解web登录：
hydra -l 用户名 -P 密码字典 -s 80 ip http-post-form "/admin/login.php:username=^USER^&password=^PASS^&submit=login:sorry password"
hydra -t 3 -l admin -P pass.txt -o out.txt -f 10.36.16.18 http-post-form "login.php:id=^USER^&passwd=^PASS^:<title>wrong username or password</title>"
（参数说明：-t同时线程数3，-l用户名是admin，字典pass.txt，保存为out.txt，-f 当破解了一个密码就停止， 10.36.16.18目标ip，http-post-form表示破解是采用http的post方式提交的表单密码破解,<title>中的内容是表示错误猜解的返回信息提示。）

5、破解https：
hydra -m /index.php -l muts -P pass.txt 10.36.16.18 https
6、破解teamspeak：
hydra -l 用户名 -P 密码字典 -s 端口号 -vV ip teamspeak
7、破解cisco：
hydra -P pass.txt 10.36.16.18 cisco hydra -m cloud -P pass.txt 10.36.16.18 cisco-enable
8、破解smb：
hydra -l administrator -P pass.txt 10.36.16.18 smb
9、破解pop3：
hydra -l muts -P pass.txt my.pop3.mail pop3
10、破解rdp：
hydra ip rdp -l administrator -P pass.txt -V
11、破解http-proxy：
hydra -l admin -P pass.txt http-proxy://10.36.16.18
12、破解imap：
hydra -L user.txt -p secret 10.36.16.18 imap PLAIN hydra -C defaults.txt -6 imap://[fe80::2c:31ff:fe12:ac11]:143/PLAIN

增加無線網路的安全性

Thu, 03 Jan 2013 00:54:22 CST

在「 Don’t Have a False Sense of Security: 5 Insecure Ways to Secure Your Wi-Fi」這篇文章裡面提到了五個「不安全的安全措施」：

使用 WEP。
隱藏 SSID。
過濾 Mac Address。
使用 Static IP。
使用 WPA 或 WPA2 但仍使用短密碼或弱密碼。

無線網路不太好搞啊… 有些公司是直接限制無線網路只能連到 VPN server，利用 IPSec VPN 或是 SSLVPN 保護。

华为内部的Web安全原则

Fri, 16 May 2014 15:06:41 CST

Web安全原则 1.认证模块必须采用防暴力破解机制，例如：验证码或者多次连续尝试登录失败后锁定帐号或IP。说明：如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败的次数”可配置，支持在锁定时间超时后自动解锁。 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。说明：防止用户通过直接输入URL，进行URL越权，请求并执行一些页面或servlet；建议通过过滤器实现。 3. 登录过程中，往服务器端传递用户名和口令时，必须采用HTTPS安全协议（也就是带服务器端证书的SSL）。只提供本机接入、登录，做设备管理使用的场景暂时不要求。说明：如果在客户端和服务器间传递如帐号、口令等敏感数据，必须使用带服务器端证书的SSL。由于SSL对服务端的CPU资源消耗很大，实施时必须考虑服务器的承受能力。 4. 对用户的最终认证处理过程必须放到服务器进行。 5. 用户产生的数据必须在服务端进行校验；数据在输出到客户端前必须先进行HTML编码，以防止执行恶意代码、跨站脚本攻击。对于不可信的数据，输出到客户端前必须先进行 HTML 编码。 6. 使用主流Web安全扫描工具扫描Web服务器和Web应用，不存在“高”级别的漏洞。 7. 非嵌入式产品的Web应用，应使用预编译语句PreparedStatement代替直接的语句执行Statement，以防止SQL注入。数据库安全外购数据库、开源数据库、华为自研数据库都应进行安全配置，保证不出现安全漏洞。 1.数据库口令禁止使用数据库厂商的缺省口令，且口令复杂度需满足“口令安全要求”。数据库若存在多个默认帐号，须将不使用的帐号禁用或删除。 2. 使用单独的操作系统帐号来运行数据库；数据库中的敏感文件（如：Oracle数据库的init.ora、listener.ora等）需要严格控制访问权限，只能被数据库进程运行帐户和DBA帐户读写；对数据库帐户授予的权限进行严格清晰的划分，所有数据库帐户只能具备执行其任务的最小权限；对于有监听器功能的数据库（如Oracle的listener.ora）需要设置监听器密码或者设置为本地操作系统验证。 3. 使用主流或华为指定的系统扫描软件进行安全扫描，不存在“高”级别的漏洞。敏感数据保护系统对敏感数据的存储、传输和处理需保证数据安全，并遵从适用国家和地区的法律和法规要求。敏感数据定义：包括但不限于口令、银行账号、个人数据（单独使用该数据或者结合其他信息可以识别某个活着的自然人的数据，包括：最终用户姓名、帐号、主叫和被叫号码、通信记录、话单、通信时间、定位数据等）。 1. 口令不允许明文存储在系统中，应该加密保护。在不需要还原口令的场景，必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。口令文件必须设置访问权限控制，普通用户不能读取或拷贝加密的内容。如果帐户文件/数据中含有口令又必须所有用户可访问，则需将帐户文件/数据与口令文件/数据分开。注：对于业界第三方主流软硬件（如操作系统、数据库、Web容器）自身提供的口令功能，不受本条限制。 2. 在非信任网络之间进行敏感数据（包括口令，银行帐号，批量个人数据等）的传输须采用安全传输通道或者加密后传输，有标准协议规定除外。 3.禁止使用私有加密算法。说明： 1) 对称加密算法建议使用：AES192及以上强度； 2) 密钥交换算法建议使用：DH1024； 3) 数字签名算法建议使用：DSA1024、ECDSA192； 4) 非对称算法建议使用：RSA2048、ECC192； 5) HASH（哈希）算法建议使用：SHA256及以上强度； 6) HMAC（基于哈希的消息验证码）算法建议使用：HMAC-SHA256； 4. 用于敏感数据传输加密的密钥，不能硬编码在代码中。在敏感数据的安全传输上，优先使用业界的标准安全协议（如SSH v2/TLS1.0/SSL3.0/IPSec/SFTP/HTTPS等），并确保密钥可配置；如果是由产品自身实现安全传输过程，则优先使用Diffie-Hellman密钥交换算法，如果使用预置共享密钥等其他方法，也必须保证该密钥可配置和可替换。 5. 禁止在日志、话单等文件中记录口令、银行账号、通信内容等敏感数据； 6. 尽量避免在日志、话单中记录个人数据，如果必须记录个人数据，则所有数据必须进行结构化存储或适合于进行匿名化提取； 1）尽量避免在日志中记录个人数据，如果必须记录，在个人数据之前或之后加统一的标记，以区别于其他非个人数据。 2）尽量避免在话单中记录个人数据，如果必须记录，则话单必须进行结构化存储，字段间必须由统一的分隔符分开，每行的字段按列严格对应。 7. 有个人数据导出功能的产品发布时必须同时提供对个人数据进行过滤或匿名化处理和功能或工具； 8. 严格限制导出功能的权限，对导出功能的使用必须有日志记录。 9. 涉及个人数据的采集/处理的功能须提供安全保护机制（如认证、权限控制、日志记录等），并通过产品资料向客户公开。 10. 在正常业务流程和标准协议之外，禁止出于故障定位目的进行用户精确位置信息定位。如需处理用户精确位置数据，应有华为的明确需求，并在方案设计时，给予用户随时撤回同意的机会。口令安全策略管理 1. 设置口令时，默认检测口令复杂度，口令至少满足如下要求： 1) 口令长度至少6个字符（特权用户至少8个字符）； 2) 口令必须包含如下至少两种字符的组合: －至少一个小写字母；－至少一个大写字母；－至少一个数字；－至少一个特殊字符：`~!@#$%^&*()-_=+\|[{}];:’”,<.>/? 和空格 3) 口令不能和帐号或者帐号的逆序相同；若设置的口令不符合上述规则，必须进行警告。 2. 系统必须提供锁定用户的机制。可选择如下两种方式之一：方式一：当重复输入错误口令次数（默认3次，次数系统可以设置）超过系统限制时，系统要锁定该用户。 [...]

在 HTML 內嵌 JSON object 時要注意的事情…

Mon, 06 Jan 2014 16:23:19 CST

有時候我們會因為效能問題，在 HTML 內嵌入 JSON object，而不是再多一個 HTTP request 取得。

但「嵌入」的行為如果沒有處理好，就產生非常多 XSS attack vector 可以玩。

首先最常犯的錯誤是使用錯誤的 escape function：

<!DOCTYPE HTML>
<html>
<body>
<script>
var a = "<?= addslashes($str) ?>";
</script>
</body>
</html>

這樣可以用 </script><script>alert(1);// 攻擊 $str。因為 addslashes() 並不會過濾到這個字串，而產生這樣的 HTML：

<!DOCTYPE HTML>
<html>
<body>
<script>
var a = "</script><script>alert(1);//";
</script>
</body>
</html>

而這個字串會造成 DOM parser 解讀上產生不是我們預期的行為：

可以看到在字串裡面的 </script> 被拆開了。

這是因為瀏覽器會先拆解產生 DOM tree，再把 <script></script> 內的程式碼交給 JavaScript engine 處理。所以在一開始產生 DOM tree 的時候，是看不懂 JavaScript 程式邏輯的…

正確的方法是用 json_encode() 處理，因為 PHP 的 json_encode() 預設會把 / (slash) 變成 \/ (這是 JSON spec 裡合法的轉換)：

<!DOCTYPE HTML>
<html>
<body>
<script>
var a = <?= json_encode($str) ?>;
</script>
</body>
</html>

這會產生出：

<!DOCTYPE HTML>
<html>
<body>
<script>
var a = "<\/script><script>alert(1);//";
</script>
</body>
</html>

但上面這段 HTML 與 PHP code 仍然有問題，如果 $str 是 <!--<script 時，你會發現 DOM 又爛掉了：

<!DOCTYPE HTML>
<html>
<body>
<script>
var a = "<!--<script>";
</script>
</body>
</html>

而 escape.alf.nu 的 Level 15 就是利用這個問題，再加上其他的漏洞而完成 XSS 攻擊。

為了這個問題去 StackOverflow 上問：「 Why does <!–<script> cause a DOM tree break on the browser?」，才又發現上面這段 code 並不是合法的 HTML5 (先不管 head & title 的部份，補上後仍然不是合法的 HTML5)。

原因在於 DOM parser 對 <script></script> 的特殊處理：「 4.3.1.2 Restrictions for contents of script elements」。(話說這段 ABNF 差點讓我翻桌…)

解法是在 <script></script> 的開頭與結尾加上 HTML 註解：(這剛好是 HTML 4.01 建議的方法)

<!DOCTYPE HTML>
<html>
<body>
<script>
<!--
var a = "<!--<script>";
-->
</script>
</body>
</html>

那段 ABNF 的目的是希望可以盡可能往後找到 --> 與 </script> 結尾的地方。

當然你也可以用 json_encode() 的 JSON_HEX_TAG 把 < 與 > 硬轉成 \u003c 與 \u003e 避開這個問題，但這使得呼叫 json_encode() 時要多一個參數 (而非預設參數)，用起來比較卡…

這個問題會變得這麼討厭，是因為 DOM parser 與 JavaScript 語法之間有各自的處理方式，然後又有些 pattern 是之前的 spec 遺留下來的包袱 (像是 HTML 4.01 在「 18.3.2 Hiding script data from user agents」裡有提到用  包裝 <script></script>)，變成在設計 HTML5 時都要考慮進去相容…

之前會習慣用  包裝 <script></script> 倒不是這個原因，而是因為不這樣做的話， jQuery 在 IE 使用 html() 時遇到有 <script></script> 的字串會爛掉，所以後來寫的時候變成習慣了…

反而因為這個習慣而避開了這個問題…

超難搞啊…

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

Thu, 10 Apr 2014 08:47:00 CST

OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own)

這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料，利用傳送 heartbeat 的封包給伺服器，在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料，因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等，因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。

註: 此篇文章非常清楚說明問題、應對措施, 該如何做等等, 在此就不詳述, 只紀錄幾個要做的事情.

Debina / Ubuntu Linux 需要做的事情

dpkg -l | grep openssl # 確認 OpenSSL 版本是否是 openssl 1.0.1e-2+deb7u4 (Debian Wheezy) / openssl 1.0.1-4ubuntu5.11 (Ubuntu 12.04)
使用下述檢測工具測試
1. Heartbleed test: Test your server for Heartbleed (CVE-2014-0160)
2. 自我測試工具: http://s3.jspenguin.org/ssltest.py 或備份, ex: python ssltest.py ifttt.com
檢測是否有問題:
- 有問題, 請到上述文章去看有哪些事情要作.
- 沒有問題, 請執行套件升級:
  1. apt-get update
  2. apt-get upgrade # 注意 openssl、libssl.
  3. 更新後的版本是:
    - Debian Wheezy: openssl 1.0.1e-2+deb7u6
    - Debian Jessie: openssl 1.0.1g-1
    - Ubuntu 12.04: openssl 1.0.1-4ubuntu5.12
    - Ubuntu 13.10: openssl 1.0.1e-3ubuntu1.2
注意: OpenSSL 1.0.1 ~ 1.0.1f 和 1.0.2-beta 使用這些版本建出來的 SSL Key 會需要重新產生建立

Windows 8.1 新安全特性之一，原生指纹识别支持

Wed, 05 Jun 2013 08:44:04 CST

就在微软正在召开的 TechEd 2013 北美会议上，其中一场 Session 便是介绍 Windows 8.1 中改进的那些安全特性。在 TechEd 现场演示中，演讲者 Chris Hallum 真机演示了 Windows 8.1 原生指纹识别的种种使用场景。

在 Windows 8.1 中，指纹识别功能已经原生支持于系统，比如可以指纹锁定某文件夹或应用，也可以快速登录指纹绑定的账户（或远程登录），或是在商店购买内容前的验证 – 微软也正在探索更多使用场景。

Windows 8.1 中新的 PC 设置界面：

微软也称软将提供 API 供开发者加强 Windows Store 应用的隐私保护，比如在一些敏感应用中或即将显示敏感信息前提供指纹扫描要求。根据高级产品推广经理 Michael Niehaus，微软正在和两至三家指纹识别模块生厂商，和更多 PC OEM 合作共同来做好这一平台。

指纹识别也会让 Windows 登录变得更加简单。对于宅男宅女来说，指纹锁定文件夹也可以完全代替各类“先进性学习资料”的目录保护。（via The Verge）


微软宣布 Windows 8.1 企业功能更新详情	Windows 8.1 原生支持 Miracast 无线显示和 Internet 共享	微软宣布 Windows 8.1 新全局搜索	微软正式确认开始按钮加入 Windows 8.1	Windows 8.1 首次披露细节补充
无觅

南京追究泄露PM2.5数据者责任

Thu, 17 Nov 2011 10:08:00 CST

wmr 写道 "11月14日，“南京气象”官方微博发布了一条气象预报。此条信息特别提到了南京市PM2.5的范围是>=75微克/立方米：“近日南京大气层结构稳定，虽天气晴好，但PM2.5细微颗粒物浓度大都在75微克/立方米以上，请注意自我防护……”。此条信息不久后被删除。南京气象台解释说他们的确在监测PM2.5数值，但以科研为目的，不宜公布。江苏省环保部门则表示，需要国家将PM2.5正式纳入评价指标并公布具体监测标准后，环保部门方可发布。国际卫生组织建议的健康线是10微克每立方米。据报道，擅自发表数据者已被追究责任。记者闾丘露薇在《南都周刊》撰文表示北京市环保局也一直在测量PM2.5数据，但不得公布。"

中国的网络战能力被夸大了

Wed, 02 Nov 2011 15:42:00 CST

澳大利亚国立大学战略与防务研究中心教授Desmond Ball发表了一篇研究报告(PDF)，认为中国的网络战攻击能力十分有限，它自身的网络安全存在显著缺陷，更容易受到攻击。 Ball称，虽然最近几年中国完成了多起引人注目的成功入侵、拒绝服务攻击和网站内容纂改，但它的攻击能力非常原始。他们使用的病毒和木马很容易在造成破坏前被检测出和清除掉。没有证据证明中国的网络战士兵能渗透进高度安全的网络，或者是秘密偷窃或伪造敏感数据。中国的网络战能力具有破坏性，但并不能完成复杂的信息战任务，无法有系统的削弱对手的指挥控制、空中防御、情报网络和资料库。换句话说，只有在先发制人的时候他们才会表现的最为突出。

在 Ubuntu Server 上尝试 Nagios3

Mon, 19 Dec 2011 08:47:23 CST

Nagios (据说)是业内一流的系统监控软件框架. 但我这样一个非一流的 Linux 系统管理员, 之前由于管理的系统实在是少. 加上 Linux 自身的强壮, 于是似乎不怎么管也不会出事. 进而, 我之前一直都没有应用 Nagios 的良好动机.

最近, 负载我这小 blog 的VPS有些小小的情绪化行为. 可能是大环境不好吧. 于是我打算用 Nagios 监控一下.

在2009年我买了一本<Linux Networking Cookbook>, 上面对 Nagios 的讲解倒是蛮详细的, 但也有些吓人: 从编译开始的... 我在 Ubuntu Server 上测试了一下, 貌似很简单的. 首先:

$sudo apt-cache search nagios

发现当前的版本是 nagios3 了, 于是:

$sudo apt-get install nagios3

过程中会要求输入一个 password, 其实就是教程里使用 httpasswd 生成的用于保护 nagios 的口令. 之后使用浏览器查看:

http://localhost/nagios3

就能看到基本的监测界面了. 相当简单吧. 下一步如果要添加额外的需要监控的网站, 仅需要利用现有的 generic-host 模板设置新站点信息即可, 例如:

define host{
use       generic-host
host_name    raynix
alias        raynix
address       184.82.236.44
}

然后, 记得要把上面的配置存到一个.cfg文件, 并复制或者链接到 /etc/nagios3/conf.d 文件夹. 定义了 host, 然后需要把 host 添加到需要检测的主机群(host group)里就完成了. 例如要将 raynix 添加到 http-servers, 这样就可以让 nagios 检测主机 raynix 上的 httpd 服务了.

打开: /etc/nagios3/conf.d/hostgroups_nagios2.cfg (为什么是 nagios2 呢?)

define hostgroup {
hostgroup_name http-servers
alias HTTP servers
members localhost,raynix
}

然后重新启动 nagios3 服务, 就可以以缺省的设置对主机 raynix 的 http 服务进行监测了. 另外如果要接收提示邮件的话, 需要修改 /etc/nagios3/conf.d/contacts_nagios2.cfg.

Feed enhanced by Better Feed from Ozh

天涯四千万用户帐号泄漏，密码为明文

Mon, 26 Dec 2011 08:45:00 CST

天涯网站证实其用户数据库遭泄漏，黑客泄漏了大约1.7G的资料，包括了天涯4000万用户的用户账号、密码、邮箱。而再次令人吃惊的是密码是明文。天涯的声明称，“由于历史原因，天涯社区早期使用过明文密码，此次被盗的数据为2009年之前的备份数据。2010年之后，我们升级改造了天涯社区用户账号管理功能，解决了天涯社区用户账号的各种安全性问题。”这与CSDN的声明极其相似。为什么这些大网站都提到2009年进行了备份？为什么密码全是明文？现在又不是1999年，密码加密也不是什么难事。这些巧合不由让人浮想联翩：2009年官方曾经下达过许多整顿互联网的通知，关闭过大量网站，甚至一度要求所有电脑安装绿坝，封锁掉了Twitter和Facebook 等网站，国内大网站可能还接到一些特殊的要求。

严重灰霾污染7年后为肺癌高发期

Sat, 26 Nov 2011 20:40:00 CST

你是传奇写道 "广州气象专家吴兑研究发现，出现灰霾严重的年份后，相隔七年就会出现肺癌高发期。空气中的PM2.5吸入人体后，会进入血液和肺泡，对呼吸系统和心血管系统造成伤害。吴兑说，肺癌死亡率从上60年代至今上升了许多，但同时和肺癌密切相关的吸烟率却在下降，“灰霾将取代吸烟，成为肺癌致病头号杀手”。11月的一次国际气象会议上，环保部副部长张力军承认：如果增加PM2.5监测指数，全国70%城市空气质量不达标。不过来自北京市的观点并不一致：针对肺癌6年来高居北京群癌之首，北京市卫生局副局长毛羽认为吸烟是首要诱因。去年广州市职业病防治院副院长刘移民建议空气污染严重时，出门应佩戴R95口罩。"

八款优秀的 Chrome 安全及隐私扩展让你过个太平春节

Thu, 05 Jan 2012 08:02:47 CST

年关将至，各位除了出门在外要小心保管好身上财物，对于浏览器安全也不可忽视，尤其近期天朝互联网风卷残云，剩下一片狼藉。为了过一个太平的春节，各位可以把 Chrome 通过各种扩展武装起来，为自己的安全保驾护航。Chrome 生态圈活跃度可谓强势，Firefox 的扩展数量和质量的优势已经被慢慢蚕食，makeuseof 网站为我们精选了 8 款优秀的 Chrome 安全及隐私扩展，废话少说，让我们来一探究竟吧。（点击扩展标题可直接进入扩展下载页）

NotScripts

NotScripts 能阻止网页上的 JavaScript 运行。如果你信任某个网站，也可将其加入白名单。使用此扩展能有效预防 JavaScript 的代码攻击，但是如果禁用 JavaScript ，大多数网站都无法正常浏览。

但是出于 Chrome 对扩展的一些限定，NotScripts 也有一些限制，但他的功能已经很接近于 Firefox 上的 NoScript。其中一个限制是使用前你必须要在一个文本文件中为白名单设置一个密码，以防止其他网站恶意窥探你的白名单。其次，行内脚本（Inline Scripts）是无法被阻止的。

NotScripts 也可以阻止~~万恶之源~~ flash 的运行。如果你想单单屏蔽 flash，可以尝试 FlashBlock。

Adblock Plus

大名鼎鼎的 Adblock Plus 是不会错过的，除了屏蔽广告，该扩展也已经默认屏蔽跟踪脚本。这个相比 NotScripts 更有针对性，但是缺点是只能预防已知攻击威胁。

Ghostery

Ghostery 不仅仅是个屏蔽跟踪脚本的扩展，他还能提供各种信息。只要你浏览的网内有广告网络或者跟踪脚本，Ghostery 就会弹窗并提供相关信息，内容有广告信息，链接，隐私政策和 opt-out 页面。 Ghostery 的特别之处是他以对用户友好的方式提供了网站背后的信息。（其实除了 nerd 和 geek 们，不太会有人去看那些繁琐的信息吧。。）

Ghostery 也可以自定义设置屏蔽哪些广告网络。一个或者全部，都由用户自己做主。

KB SSL Enforcer

KB SSL Enforcer 与 Firefox 上的 Electronic Frontier Foundation’s HTTPS Everywhere 非常相似。很多网站提供 https 但没有默认强制用户转向到 https 页。该扩展内置了支持 https 网站的列表，一旦你访问这类网站，他变会自动将页面转向到更安全的 https。

WOT

Web of Trust，简称 WOT，为众多网站提供了由用户提交的信任评分。在输入你的个人信息前，你可以通过该扩展看看其他用户对他的评分如何，如果评分略低，你在提供隐私信息前可以先掂量一下了。

Vanilla Cookie Manager

该扩展和 NotScripts 路数一致，默认屏蔽所有的 cookie。一样也拥有白名单功能。Cookie 不但能跟踪你是否在线，也能保存你的个人喜好和登陆信息，很多网站需要依靠 cookie 来正常运行。对此敏感的用户可以用该扩展达到宁可错杀一千不可漏过一个的境界。

SaferChrome

当网站尝试以明文来传输你的密码或者信用卡账号时，SaferChrome 会试图警告你。一个“正常”的网站当然都会以密文来传输用户的敏感信息。

该扩展也会在用户浏览 Twitter 和 Facebook 的时候强制转向到其 https 站。不过术业有专攻，KB SSL Enforcer 显然在这个用途上是个更合适的选择。

墙裂推荐天朝用户安装该扩展。

Proxy Switchy!

最后一个介绍的天朝用户的熟面孔。Proxy Switchy! 能帮助用户快速的切换各种代理。在浏览某些特定网站时该扩展还能自动启用特定代理。我朝用户搭梯子首选。

小提示：

用户可以结合自己的实际情况，通过不同的扩展搭配，来达到最适合自己的安全效果。

别忘了 Chrome 的匿名浏览方式。扩展只能帮助远端窃取你的信息。想要在本地上不留蛛丝马迹，还需匿名浏览方式配合。

加强自我的密码管理，这方面最近文章已经很多了，看官们可以搜索一下。

祝各位读者过个安全愉快的春节 ^ ^

Via makeuseof

Pic via geekyard

© Yimin 发表于谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2012. | 6 条评论 | 永久链接 | 关于谷奥 | 投稿/爆料
Post tags: Chrome Extension, Google Chrome, privacy, Security

黑客能用开源硬件打开百万旅馆房间门

Thu, 26 Jul 2012 14:45:00 CST

利用开源硬件Arduino控制器，再加上少许编程能力，Mozilla软件工程师Cody Brocious在拉斯维加斯举行的Black Hat安全会议上称，黑客能够迅速打开钥匙卡保护的旅馆房间门。400万使用Onity公司的可编程钥匙卡的旅馆房间面临入侵风险。修正漏洞并非易事，因为钥匙卡没有固件可升级。如果旅馆想保护用户，他们必须更换钥匙卡。Brocious发现，Arduino控制器能读取卡上储存的32位密钥，不需要认证。

因安全漏洞，微软建议用户禁用 Windows Gadgets

Thu, 12 Jul 2012 08:07:58 CST

本周初微软发布了一则安全公告，告知用户可能会因为“不安全”的 Windows Sidebar 和 Gadgets 恶意代码而受到攻击。 Computerworld 称研究员将在本月底的 Black Hat 大会上公开这些安全漏洞。

微软暂时给出的解决方案是：禁用 Windows Sidebar 和 Gadgets 小工具功能。该安全问题涉及 Windows Vista 和 Windows 7，微软提供了 Fix It 自动执行程序（ KB 2719662）来禁用 Gadgets 功能，下载通过管理员权限运行即可。

另外，Tom Warren 的可靠消息源透露，微软已经决定在 Windows 8 正式版中删除 Windows Gadgets 功能，目前还未经微软确认，也不知是否和此安全问题相关。考虑到 Gadgets 的官方发布平台 Windows Live Gallery 已经关闭，微软剔除该功能并不意外。（via The Verge）

Google员工发现Adobe Reader的60个漏洞

Sat, 18 Aug 2012 20:54:00 CST

HOST 写道 "Google员工Mateusz Jurczyk和Gynvael Coldwind在检查Chrome浏览器的PDF引擎时，发现了无数漏洞。他们进一步检查了Adobe Reader，结果发现约60个可以让程序崩溃的漏洞，其中约40个可以被攻击者利用。Adobe得知消息后承诺尽快修补，但本周二发布的最新版程序仍然有16个已知漏洞存在。为了证明这一点，Mateusz和Gynvael将这些漏洞模糊化后并公开。Google雇员告诫用户不要随便使用Adobe Reader打开外界PDF文件。"

（总结）硬RAID、软RAID的区别详解

Tue, 19 Jun 2012 21:40:20 CST

PS：今天有童鞋问RAID相关的问题，总结记录一下，本人建议在生产环境中就用硬RAID，别用软RAID，除非特殊需求。一般在生产环境中RAID0、1、5、6、10用得最广泛。web服务器或者应用服务器，可以用RAID0或RAID1，重要的数据库服务器建议用RAID5或RAID10。

什么是RAID?

RAID是英文Redundant Array of Independent Disks的缩写，翻译成中文即为独立磁盘冗余阵列，或简称磁盘阵列。简单的说，RAID是一种把多块独立的硬盘（物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。组成磁盘阵列的不同方式成为RAID级别（RAID Levels）。

为什么我们采用RAID?

那些需要在硬盘上保存大量数据的人(例如一个普通的管理人员) ，采用 RAID 技术将会很方便。采用 RAID 的主要原因是:

· 增强了速度
· 扩容了存储能力(以及更多的便利)
· 可高效恢复磁盘

硬RAID与软RAID的区别：

硬RAID：通过用硬件来实现RAID功能的就是硬RAID，比如：各种RAID卡，还有主板集成能够做的RAID都是硬RAID。

软RAID：通过用操作系统来完成RAID功能的就是软RAID，比如：在Linux操作系统下，用3块硬盘做的RAID5。

补充：RAID 也有全软、半软半硬与全硬之分，全软RAID 就是指RAID 的所有功能都是操作系统（OS）与CPU 来完成，没有第三方的控制/处理（业界称其为RAID 协处理器――RAID Co-Processor ）与I/O 芯片。这样，有关RAID 的所有任务的处理都由CPU 来完成，可想而知这是效率最低的一种RAID 。半软半硬RAID 则主要缺乏自己的I/O 处理芯片，所以这方面的工作仍要由CPU 与驱动程序来完成。而且，半软半硬RAID 所采用的RAID 控制/处理芯片的能力一般都比较弱，不能支持高的RAID 等级。全硬的RAID 则全面具备了自己的RAID 控制/处理与I/O 处理芯片，甚至还有阵列缓冲（Array Buffer ），对CPU 的占用率以及整体性能是这三种类型中最优势的，但设备成本也是三种类型中最高的。

一、性能

这可能是最重要的一个方面，用RAID就是为了提高性能。从理论上说，使用RAID0可以获得使用单硬盘双倍的速度，用软／硬RAID0都可以接近这个速度。使用软RAID的CPU占用率要高一些，所以在性能上，硬RAID要领先。

二、稳定性

做RAID是为了追求性能，所以一般使用7.2k转或者10k、15k转的硬盘。而市面上主流7.2k硬盘的发热量普遍较大，同时在机箱里放上两块，散热就已经是个问题，更何况是三块。毕竟稳定压倒一切，要是硬盘被烧毁就得不偿失了。况且，有些机箱根本放不下三块硬盘。因此使用硬RAID的稳定性要高一些。

三、兼容性

目前主流的服务器新版操作系统基本都支持软RAID，但是如果操作系统出了问题，软RAID就挂了。硬RAID的兼容性要好很多，万一系统出了问题，做系统维护、数据恢复也方便多了。

四、安全性

软RAID安全性不好，当有一块硬盘损坏时，它不能实现重建的功能，而且它的局限性也很在，而硬RAID有硬盘丢失时，它可以实现重建，以及如果RAID卡损坏时，它可以通过更换RAID卡，实现不丢失数据的功能。

主板集成RAID与外插RAID卡RAID的区别：

一、性能

主板集成的RAID，它的性能以及它的速度是通过主板的CPU与内存来实现的，它会占有主板一定的带宽，会影响整机的性能，而外插RAID卡，它本身由自己的CPU和内存，所以它的数据处理大部分都会由自己处理，不会影响主板上的CPU与内存速度，总体看来，外插的RAID卡的RAID要比主板集成的RAID快得多。

二、安全性

主板集成的RAID它的安全性不能够得到保证，比如：我们用P8SCT主板做一个SATA RAID，不论你做RAID几，它是通过更改主板的BIOS选项做成的，所以一旦主板损坏、主板的CMOS电池掉电、无意更改了主板BIOS的设置都会带来RAID的丢失，通过主板做成的RAID，一旦丢失，将会不能恢复，后果是非常严重的，而外插的RAID卡做成的RAID就不会因为主板损坏、主板的CMOS电池掉电等现象对数据造成影响，所以外插的RAID卡，它的安全性远远大于主板集成的。

查看你的硬件支持哪些RAID设备的命令：
dmraid -l
查看多重磁盘信息：
cat /proc/mdstat

结论：在选择用那种RAID形式时，首先根据客户的需求，整机的价位以及这台机器客户最终用于做什么，几种情况而定。硬Raid通过raid卡进行数据交换，占用系统I/O极小，数据的交换与运算都是通过RAID卡来完成的。而软RAID是通过软件模拟RAID子系统来完成数据交换与运算的，需要占用系统I/O，占用系统资源大。本人建议大部分情况使用硬RAID，别用软RAID，除非有特殊情况需要使用软RAID。

关于RAID各个级别的原理和图解请参考维基百科如下链接，解说得很好！

http://zh.wikipedia.org/wiki/RAID

http://en.wikipedia.org/wiki/RAID

（总结）CentOS 5.x/6.x下安装配置PPTP VPN服务器及常见问题

Fri, 15 Jun 2012 10:11:36 CST

PS：昨天因同事需求，搭建个PPTP VPN服务器做测试，以前搭建过OpenVPN，现在发现其实PPTP VPN搭建更简单，总结一下：

VPN的英文全称是“Virtual Private Network”，中文翻译是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows等软件里也都支持VPN功能， 一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

PPTP全称为Point to Point Tunneling Protocol — 点到点隧道协议，是VPN协议中的一种。

一、CentOS 5.x/6.x下PPTP VPN服务器安装

1、安装相关软件包
32位版：
# yum install -y ppp libpcap iptables # wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.rhel5.i386.rpm # rpm -ivh pptpd-1.3.4-2.rhel5.i386.rpm
64位版：
# yum install -y ppp libpcap iptables # wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.rhel5.x86_64.rpm # rpm -ivh pptpd-1.3.4-2.rhel5.x86_64.rpm

2、配置文件编写
①、配置文件/etc/ppp/options.pptpd
# mv /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak # vim /etc/ppp/options.pptpd
输入以下内容：
name pptpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 require-mppe-128 proxyarp lock nobsdcomp novj novjccomp nologfd idle 2592000 ms-dns 8.8.8.8 ms-dns 8.8.4.4
#这里的DNS可以查看服务器本机使用的DNS地址。

②、配置文件# /etc/ppp/chap-secrets
# mv /etc/ppp/chap-secrets /etc/ppp/chap-secrets.bak # vim /etc/ppp/chap-secrets
输入以下内容
# Secrets for authentication using CHAP # client server secret IP addresses myusername pptpd mypassword *
注：这里的myusername和mypassword即为PPTP VPN的登录用户名和密码，改成你自己的。

③、配置文件/etc/pptpd.conf
# mv /etc/pptpd.conf /etc/pptpd.conf.bak # vim /etc/pptpd.conf
输入以下内容：
option /etc/ppp/options.pptpd logwtmp localip 192.168.80.1 remoteip 192.168.80.11-30
注：为拨入VPN的用户动态分配192.168.80.11～192.168.80.30之间的IP

④、配置文件/etc/sysctl.conf
# vim /etc/sysctl.conf
修改以下内容：
net.ipv4.ip_forward = 1
保存、退出后执行：
sysctl -p

3、启动PPTP VPN 服务器端：
# /etc/init.d/pptpd start

4、设置iptables规则并重启：
# vim /etc/sysconfig/iptables
加入下列规则：
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT -A POSTROUTING -s 192.168.80.0/255.255.255.0 -o eth0 -j MASQUERADE
重启防火墙：
# /etc/init.d/iptables start

二、Win7下PPTP VPN客户端设置

步骤不详说了，直接看图：

PPTP VPN服务器接入常见问题总结：

1、VPN客户端拨入时出现721错误：

这种情况大数多原因为客户系统，如果为WINXP并且安装了SP2，则可能会出现这种情况，解决方法为：修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\，其中其中是 WAN 微型端口 (PPTP) 驱动程序的网络适配器，在此项中新建一个DWORD 值ValidateAddress，然后设置为0即可。
服务器端PPP协议配置不正确也会导致此类错误。

2、VPN客户端拨入时出现800错误：

这种情况大数多原因为客户系统连接服务器时使用域名，因临时DNS无法解析而出现这种错误，可更换DNS试一下，如果还是出错此类错误，则可能是无法连接到VPN服务器，可能是VPN服务器关闭或出现故障，也可能是客户电脑上的防火墙阻止了VPN连接请求，可关闭防火墙试一下。
有些使用中转服务器连接到VPN服务器的客户端，也可能出现此类错误，原因为中转服务器中转功能出现故障。

3、VPN客户端拨入时出现619错误：

这种情况大数多原因为客户机连接Internet的网关（如家庭宽带路由或公司上网网关路由或防火墙）NAT-T功能关闭或对VPN支持性不好，主要是对GRE及PPTP协议的NAT-T不支持。可打开网关路由的NAT-T功能，如果还是出现错误，则需要更换网关设备，现在市面上大多数设备已经支持。

4、VPN客户端拨入时出现691错误：

这种情况大数多原因为客户机连接VPN服务器异常中断，因多数服务器限制一个帐户同时只有一个人使用，所以一旦异常断开，则需等待3分钟左右。有些VPN服务器没有设置异常断线检查功能也可能导致用户一旦异常断开后很长时间不能连接。所以解决办法为在服务器上设置异常断线检查程序或功能。

5、VPN客户端拨入时出现733错误：

这种情况大数多原因为客户机拨入VPN服务器后无法获取IP地址，可修复DHCP服务器或设置静态IP地址或地址池。

6、VPN客户端拨入时出现734 ppp链接控制协议终止：

这种情况多数为VPN服务器配置有问题，如果是PPP配置有问题，不支持MPPE加密或支持度不好。请重新编译PPP及MPPE相关程序。对于用于游戏代理的用户，可不使用加密（需在服务器端不要求加密）。

7、VPN客户端拨入时出现718错误：

拨入时用户名和密码出错误，有时也因为服务器端认证服务出现故障。

国外hash（MD5、NTLM、LM、SHA）密码在线破解网站

Sun, 02 Sep 2012 10:00:09 CST

PS：这是国外的hash密码在线破解网站列表，支持多种类型的hash密码，目前可查询破解的hash包括：MD5、NTLM、LM、SHA1、SHA 256-512、MySQL、WPA-PSK 。

MD5
MD5Decrypter(uk)
Plain-Text
Crackfoo -NNC
Hashcrack
Gdata
MD5this
MD5crack
Noisette
Joomlaaa
Igrkio
MD5decrypter
Shell-Storm
NetMD5crack
XMD5
TheKaine
InsidePro
MD5pass
Generuj

AuthSecu
MD5decryption
Schwett
Crackfor.me
MD5-db
Drasen
Gromweb
MD5hood
MD5.my-addr
MD5online
Macrosoftware
Bokehman
MD5-decrypter
Thoran
C0llision
Rednoize
web-security-services
MD5-lookup
CMD5
Tmto
Shalla
Hash-Database
Bokehman
Benramsey
Digitalsun
Kalkulators
StringFunction
Toolz
Fox21
Gat3way
Sans
Appspot
HashCracking.ru
Anqel
Offensive-Security
Altervista
Xanadrel
Beeeer
Kinginfet
AskCheck
hash-cracker.com
agilobable.pl
MD5finder
Wordd
MD5Rainbow

(IRC Bots)
Overclock
plain-text.info (irc.Plain-Text.info #rainbowcrack – irc.rizon.net #rainbowcrack)
md5.overclock.ch (irc.rizon.net #md5)
c0llision.net (irc.after-all.org #md5crack – ircd.hopto.org #md5crack – ix.dal.net #md5crack)

NTLM
MD5decrypter(uk)
Plain-Text
NiceNameCrew
HashCrack
Tmto
Fox21
LMCrack
hash-cracker.com

LM
Plain-Text
NiceNameCrew
HashCrack
C0llision
Tmto
Fox21
LMCrack
Offensive-Security

SHA1
MD5Decrypter(uk)
Rednoize
Web-Security-Services
SHA1-Lookup
CMD5
Tmto
Hash-Database
Toolz
Sans
HashCracking.ru
AskCheck
http://www.stringfunction.com/sha1-decrypter.html
hash-cracker.com

SHA 256-512
Shalla
Hash-Database
AskCheck

MySQL
HashCrack
CMD5
HashCracking.ru

WPA-PSK (free)
MD5Decrypter(uk)
WPA2Crack.com
(costs $$$)
WPACracker
Question-Defense

黑客利用社交工程技术发动攻击

Mon, 31 Oct 2011 14:42:00 CST

Burberry Scarf 写道 "《华尔街日报》报导，当防火墙日益严密，网络罪犯或黑客开始借助低技术方法渗透进安全系统。克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称，他即将离婚，担心妻子用假名开设了账户。这种情况完全可能，但在这个案例中，派滕却撒了谎。不疑有诈的公司客服代表将用户账号和其他详细信息交给了派滕，令人感到后怕。派滕其实是一位网络渗透测试安全专家。随着银行和其他大型企业开始投入大量资金建设防火墙，并使用复杂的技术来加强系统安全，黑客们逐渐将目光转向了这些企业的员工。派滕所使用的方法在安全领域被称作“假托技术”(pretexting)或“社交工程”，这已经成为企业目前面临的最大威胁之一。"

IT瘾security推荐

Linux 打算合併 /dev/random 與 /dev/urandom 遇到的問題

Metasploit Framework 6.1.32+20220303 (macOS, Linux, Windows) -- 渗透测试框架

世界上最广泛使用的渗透测试框架

版本比较

Open Source: Metasploit Framework

Commercial Support: Metasploit Pro

下载地址

网络数字身份认证术

用户密码

密钥对和证书

证书生成过程演示

双向认证 mTLS

相关文章

Burp Suite Pro 2021.10 (macOS, Linux) -- 查找、发现和利用漏洞

简介

功能介绍

Manual penetration testing features 手动渗透测试功能

Advanced/custom automated attacks 高级/自定义自动攻击

Automated scanning for vulnerabilities 自动扫描漏洞

Productivity tools 生产力工具

Extensions 扩展

下载地址

Spring Security中用JWT退出登录时很容易犯的错

Session会话

无Session会话

为什么退出登录无法获取当前用户

解决方法

ZeroSSL 也提供免費的 SSL Certificate (DV) 了

HTTPS網站被Chrome打臉？

關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

看我如何黑掉你的路由器

相关文章

SecTools 2011年的Top125款网络安全工具排行榜

1、 Wireshark (#1, 1)

2、 Metasploit (#2, 3)

3、 Nessus (#3, 2)

4、 Aircrack (#4, 17)

5、 Snort (#5, 2)

6、 Cain and Abel (#6, 3)

7、 BackTrack (#7, 25)

8、 Netcat (#8, 4)

9、 tcpdump (#9, 1)

10、 John the Ripper (#10, unchanged)

语音命令崩溃银行电话线

（总结）Linux下的暴力密码在线破解工具Hydra详解

增加無線網路的安全性

Related Posts:

华为内部的Web安全原则

在 HTML 內嵌 JSON object 時要注意的事情…

Related Posts:

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

Debina / Ubuntu Linux 需要做的事情

相關網頁

Windows 8.1 新安全特性之一，原生指纹识别支持

南京追究泄露PM2.5数据者责任

中国的网络战能力被夸大了

在 Ubuntu Server 上尝试 Nagios3

天涯四千万用户帐号泄漏，密码为明文

严重灰霾污染7年后为肺癌高发期

八款优秀的 Chrome 安全及隐私扩展让你过个太平春节

黑客能用开源硬件打开百万旅馆房间门

因安全漏洞，微软建议用户禁用 Windows Gadgets

Google员工发现Adobe Reader的60个漏洞

（总结）硬RAID、软RAID的区别详解

（总结）CentOS 5.x/6.x下安装配置PPTP VPN服务器及常见问题

国外hash（MD5、NTLM、LM、SHA）密码在线破解网站

黑客利用社交工程技术发动攻击