技术相关

XSS 前端防火墙

XSS 前端防火墙 —— 内联事件拦截

XSS 前端防火墙 —— 可疑模块拦截

XSS 前端防火墙 —— 天衣无缝的防护

XSS 前端防火墙 —— 整装待发

XSS 前端防火墙 —— 无懈可击的钩子

前端黑客很专业

MySQL的一些notes

http://toaza.com/a/26
http://www.dbanotes.net/arch/friendfeed_mysql.html
http://toaza.com/a/75

对于大规模的日志分析处理,各位看官都用什么做存储,Hadoop?HBase?或是有其他的好的思路么?

基于用户投票的排名算法

阮一峰的基于用户投票的排名算法系列

基于用户投票的排名算法(一):Delicious和Hacker News

基于用户投票的排名算法(二):Reddit

基于用户投票的排名算法(三):Stack Overflow

基于用户投票的排名算法(四):牛顿冷却定律

基于用户投票的排名算法(五):威尔逊区间

基于用户投票的排名算法(六):贝叶斯平均

nginx 配置错误而导致目录遍历漏洞

一个很鸡肋的目录遍历漏洞,不知道算不算是漏洞,前提条件是必须是子目录、开启了autoindex,并且alias指定目录的时候加了"/",才能利用成功。这是因为配置不规范造成的

server {
    listen    80;
    server_name sebug.net;
    index index.htm index.html;
    root  /home/wwwroot/www;
    access_log off;
    location /paper {
           alias /home/wwwroot/paper/;
           autoindex on;
       }
}

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但是如果访问http://sebug.net/paper../, 这个的话就会遍历/home/wwwroot/这个目录了

这个要利用,很有难度。nginx

关键词: nginx

邪恶的采集

最近有一台服务器被一些采集快拖死了,整了几天了,也没有找到比较好的办法来处理

下午无意中想到,能否让客户端必须先写入cookie或是加载js后,才能正常进入网站。因为爬虫或采集基本都不能正常写入cookie或加载JS

通过判断cookie的方式来进行一些限制,在用户打开站点时,写入cookie,然后通过cookie中的值来进行判断,如果不匹配就返回空,除开搜索引擎的爬虫,如果客户端无法写入这个cookie也就无法正常加载站点。测试下来基本ok,但是因为要在用户第一次打开的过程中写入cookie,就必然有一次跳转的动作,用户体验不是太好

还有就是通过AJAX的方式GET一个值给python,然后python进行验证,验证不通过则返回为空,这个我没测试,理论上是行得通的。我这暂时用了cookie的方式,虽然用户体验差了点,但至少能保证大部分真实用户的正常访问

不知道各位看官有没有什么比较好的办法?谢谢

BTW:这Firefox升级的太猛烈了,升级到8.0.1后,FCKeditor直接挂掉了,杯具,第一次用HTML写blog,NND,突然想起了《社交网络》,回归原始社会了哦,杯具,漏洞目录

开源WEB应用的指纹识别

主要是对开源WEB应用提供一个版本识别的工具(web应用指纹识别)

现在仅支持(后续将会持续跟进):

  • DedeCMS
  • discuz
  • phpcms
  • php168
  • ecshop
  • shopex

测试地址http://sebug.net/chweb/

感谢一些朋友们的帮忙,感谢

关键词: web指纹 , sebug

top10

sebug web安全漏洞 top10

国内开源web程序安全风险 top10

更多数据参考漏洞分布/漏洞趋势分析

也来个top10,仅供参考,漏洞

关键词: sebug

WEB指纹识别的一些方法

最近看了些相关的东西,和一些朋友也研究了下

总结下,主要为4种模式:
1、网页中发现关键字
2、特定文件的MD5(主要是静态文件,不一定要是MD5)
3、指定URL的关键字
4、指定URL的TAG模式

参考:http://sebug.net/ssv/Web_Application_Finger_Printing

指纹识别的准确率主要看规则库是否够全面,扫描代码的效率是否够高,速度是否够快

个人拙见,欢迎拍砖,@dir

关键词: web指纹