安全web扫描工具 skipfish

安全web扫描工具 skipfish

谷歌发布了开源Web安全扫描器Skipfish,帮助Web开发者测试他们的应用是否安全。它的功能类似Nmap或Nessus,不过谷歌声称有这些工具有所区别, 并且在速度上比他们更快。使用Skipfish,可以帮助开发者快速检查的的跨站攻击,SQL和XML注入攻击,然后会系统会成Html 报表 GitHub:https://github.com/spinkham/skipfish 官网:https://code.google.com/archive/p/skipfish/ 安装: cd /usr/src/ ; wget https://storage.googleapis.com/google-
阅读 278 次
如何保护用户口令

如何保护用户口令

我们经常看到某某网站被拖库,从而导致用户口令或口令的HASH值泄露,从泄露的HASH值来看,口令的一次MD5或一次SHA-1居多,且未加盐。通过简单的在线破解查询,可以获得很多用户的原始口令。可见,在对用户的口令防护上,大多企业并没有采取安全上的最佳实践措施。 那么我们应该如何保护用户的口令不受拖库影响呢? 一项安全措施,按照它在达成安全目标上的作用大小,可以分为主保护措施和辅助保护措施。就像电力或电子学当中的主电路、辅助电路,或者医学中的“君臣佐使”。下面分别 来看。 **主保护措施 ** 用户侧(Web前端、客户端)的安全措施,从安全意义上讲,是不可以被信任的,因为用户侧的安全措施都是可
阅读 219 次
libc CVE-2015-7547 检测测试

libc CVE-2015-7547 检测测试

### libc CVE-2015-7547洞的成因及POC使用测试 测试: system:centos6.5 libc version: 2.19 #下载测试代码 git clone https://github.com/fjserna/CVE-2015-7547.git 根据漏洞描述,我们可以做一个假的DNS Server 作为中间人,来验证该漏洞。 # cat /etc/resolv.conf nameserver 127.0.0.1 更改DNS 解析为 127.0.0.1,刷新DNS 缓存 /etc/init.d/network restart /etc/init.d/nscd res
阅读 443 次
libc CVE-2015-7547漏洞的分析和修复方法

libc CVE-2015-7547漏洞的分析和修复方法

**libc CVE-2015-7547漏洞的分析和修复方法** **漏洞概述** glibc中处理DNS查询的代码中存在栈溢出漏洞,远端攻击者可以通过回应特定构造的DNS响应数据包导致glibc相关的应用程序crash或者利用栈溢出运行任 意代码。应用程序调用使用getaddrinfo 函数将会收到该漏洞的影响。 **CVE编号** **CVE-2015-7547** **受影响的系统** 1. CentOS6 所有版本 2. CentOS7所有版本 3. SUSE Linux Enterprise Server 11 SP3 4. SUSE Linux Enterprise Server
阅读 339 次
nfs 那点事

nfs 那点事

NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本 地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。 环境:centos 6.5 安装: yum -y install nfs-utils rpcbind 配置 # cat /etc/exports /data/test 172.16.1.0/24(rw,no_root_squash) 启动服务 service rpcbind restart ; service nfs resta
阅读 196 次
tar 对重要数据加密

tar 对重要数据加密

对sysmail 文件加密,密码设置为:123456,压缩之后的包名为my.tar.gz # ll sysmail -rw-r--r-- 1 root root 6 Dec 4 13:50 sysmail # tar zcf - sysmail | openssl des3 -salt -out my.tar.gz enter des-ede3-cbc encryption password: Verifying - enter des-ede3-cbc encryption password: 解压: #其中有一个-k 选项直接指定密码,不用shell交互,你可以试试 # openssl d
阅读 181 次
Linux 密码,内部系统密码之Token 动态密码

Linux 密码,内部系统密码之Token 动态密码

什么是Token? Token(令牌)是一个身份认证标识,token还有一个特点,那就是存在过期时间的。也就是令牌不是长久有效的。 什么时候能用到令牌技术? 例如我们去餐厅就餐,向前台获取Wifi密码,然后可以享受30分钟的上网服务。30分钟过后密码将失效。 我们公司有很多服务器,密码的管理非常麻烦,有时还会有人事变动,一旦人员发生变动,所有的服务器密码都需要修改一次,非常麻烦,偶尔会有漏改情况,使用堡垒机可以更好的管理密码,但成本非常昂贵。 于是我便想起了Token技术,但购买Token硬件成本也要花费不少钱。Token的原理我很清楚,通过对称算法算出相同对等密钥,我们可以不购买硬件设备,自
阅读 223 次