没人想要 XML 里的 ENTITY 部分

如果你的服务器使用RSS源,可以使用这个网址测试你的应用。 今年早些时候,Detectify 的Fredrik和Mathias写了一篇post,解释了他们是怎么在一个传统谷歌产品中发现的一个主要XXE(“XML Ext...

oschina
发布于 2014/12/02 07:35
5
僵尸 SaaS 账号置企业于危险境地

SaaS安全公司Adallom发布了一项报告,分析指出了云应用使用情况相关的安全问题和风险。 Adallom分析了Salesforce、Box、Google Apps和Microsoft Office 365上,在2013年10月到2014年10月之间...

oschina
发布于 2014/11/06 07:09
3
从内存中偷取未加密的 SSH-agent 密钥

如果你曾使用SSH密钥来管理多台机器,那么你可能使用过SSH-agent.这个工具使SSH密钥在内存中持续化,这样用户就不用每次都输入口令。然而,这会导致一些安全风险。root用户可能有权限从内存中...

oschina
发布于 2014/07/22 06:44
8
OpenSSL 项目路线图

本文档旨在描绘出OpenSSL项目的路线图。它是一个会日臻完善的在线文档。它应该被设定理想的目标和里程碑日期。 OpenSSL 项目当前看起来越来越迟滞和封闭。本路线图将尝试通过设定一些带有具体...

oschina
发布于 2014/07/02 06:28
13
如何利用心血漏洞来获取网站的私有 crypto 密钥

现在OpenSSL的心血(Heartbleed)漏洞已经是人尽皆知了: 在最流行的TLS实现之一的OpenSSL中由于缺少的一个边界检查导致了数以百万计(或更多)的Web服务器泄露了内存中的各种敏感信息.这会将登录...

oschina
发布于 2014/04/28 06:15
1
LibreSSL 不再会有 FIPS 模式了

我想我应该提过我们目前的libressl政策将去除 FIPS模式。它被废了,并且不会再回来了。 这并不会真正影响OpenBSD用户,因为我们从来没有启用FIPS进行构建,但别的有些人可能会感兴趣而那么干...

oschina
发布于 2014/04/24 06:59
5
OpenSSL 必死无疑,永远不会有改善

OpenSSL软件包大概有30万行代码,这意味着其中可能仍然存在着大约299个bug,现在就是心脏出血的bug — 这使得几乎任何人都可以检查其通常无权被访问的内部状态 — 它已经被修复了. 这的确是所...

oschina
发布于 2014/04/15 07:06
68
利用 Heartbleed 漏洞劫持用户登录会话

Heartbleed 问题实际上比它现在能被看出来的更糟糕(其实现在看起来已经很坏了)。 Heartbleed (CVE-2014-0160) 是一个 OpenSSL 的漏洞,允许任何远程用户将服务器的一些内存进行转储。是的,...

oschina
发布于 2014/04/09 08:09
19
我们应该从苹果的 SSL Bug 中学习到什么

两年前有一篇标题十分有争议性的文章:“世界上最危险的代码” 。它的主题是什么?SSL,安全电子商务的基础。世界上最危险的软件居然是我们都在日常中或多或少使用过的技术。 这篇文章描述的...

oschina
发布于 2014/03/12 07:25
6
HashFast 开源 Bitcoin ASIC 接口协议

今天,HashFast公司声明了他们正在开源他们用于控制比特币挖掘的专用集成电路的接口协议。这个设计的开源可以让大家很好的理解他们的比特币挖矿模块是怎么操作的,并且还将给驱动开发人员提供...

oschina
发布于 2013/10/31 08:29
5
如何使用 Oauth 实现一个安全的 REST API 服务

场景 想要为开发工程师们开发一个既能满足REST约束条件和原则又不像OAuth OAuth 那样复杂 the complexity ,仅仅使用简单的传值语句或者其它简单但同样安全的方法就能实现的web API? 聪明人会...

叠搭宝箱
发布于 2014/01/09 22:49
4
SD 卡并不如我们想象中安全

硬件骇客 Bunnie Huang在 Chaos计算机俱乐部大会上进行了一次演讲,道出了一些好消息和坏消息。想听好消息么? SD卡包含功能强大、便携的的微控制器,这对骇客和这方面爱好者而言非常有用。那...

oschina
发布于 2013/12/30 07:59
11
开源是 SDN 最大的风险

在我们日常工作中经常给一些大型企业、服务提供商、网络供应商提供建议,以及包括给那些软件开发人员在策略和SDN目标上给出一些建议,我们经常被问及追求开源商业模式或参与一个开源SDN生态系...

oschina
发布于 2013/11/13 08:39
4
使用Python进行无线攻击:第一部分 - “Dnspwn攻击”

引言 前不久,我在Raidersec博客上发布了一篇博客文章,介绍了如何利用Python和Scapy实现绕过鉴权的攻击。我非常高兴写出这篇文章,因为这么做我不仅了解了如何使用aircrack套件,还有机会深...

renwofei423
发布于 2013/11/28 09:48
26
研究人员说开源软件项目需要改善漏洞处理实践

来自安全组织Rapid7的研究人员称,许多开源软件开发者都需要改进他们处理漏洞报告的方式,他们最近发现并报告了7个流行开源软件的多个漏洞。 在一些用户中有这样的想法,即开源软件比商业软件...

oschina
发布于 2013/10/31 08:09
1
电子商务网站开发和设计中的安全和隐私问题

电子商务网站开发和设计,首当其冲必须考虑的是客户安全和隐私问题。你的电子商务网站要能够保证客户信用卡和其他敏感信息处理过程的安全。最好使用SSL加密法,以及安全可靠的支付端口,来完...

oschina
发布于 2013/10/13 21:42
0
SQL 注入攻击

一个客户对我们请求说,请我们来检查一下他的内部网络,这个网络被公司的职员以及客户们来使用。这是一个较大的安全评估的一部分,而且,虽然我们以前从没有真正的使用过SQL注入来破解一个网...

mr_dion
发布于 2013/08/29 08:21
31
SQL注入演练

这篇文章目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己. 1.0 介绍 当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内容...

mr_dion
发布于 2013/08/29 08:20
12
为什么文件上传表单是主要的安全威胁

为了让最终用户将文件上传到您的网站,就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此,在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高您的业务效率。...

mr_dion
发布于 2013/08/29 14:30
45
使用 Spring Security 构建一个 HTTP 基本认证示例

HTTP基础认证(BA)是一种简单的认证机制。当一个web客户端需要保护任何web资源的时候,服务器会发送一个带有401状态码(未授权)的HTTP回应,还有类似WWW-Authenticate: Basic realm="real...

oschina
发布于 2013/09/12 07:38
15

没有更多内容

加载失败,请刷新页面