技术相关

信息安全风险评估项目工序与流程

by amxku
2009-01-07
http://www.luoq.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!

一、项目启动
二、确定工作范围
三、制定整体实施计划
四、管理评估阶段
五、技术评估阶段
六、数据整理
七、项目验收

» 阅读全文

关键词: 流程 , 风险评估 , 信息安全

依然Check MD5(md5sum for pl)

md5sum-for-pl
校验文件的准确性.
两个使用了不同的函数,在执行效率上checkmd5sum.pl 比checkmd5sum_find.pl要快。
1.checkmd5sum.pl
2.checkmd5sum_find.pl

» 阅读全文

关键词: 原创 , 审计 , 安全 , perl

Check MD5(md5sum for php)

CheckMD5.php代码

  1. <?php    
  2. /******************************************************************    
  3. Check MD5(md5sum for php)    
  4. 2008-11-09    
  5. luoq.net    
  6.    
  7. 校验文件的准确性.    
  8. 在网站被入侵后,检查文件的准确性。    
  9.    
  10. *UIX下可以用md5sum * >md5sum 来得到所有文件的md5值,然后把两次得到的    
  11. MD5值来进行对比。    
  12.    
  13. 在代码检查方面那么有一丁点用处,别的没什么用。    
  14. ******************************************************************/     
  15. echo '<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>';  
  16. echo '<title>Check MD5(md5sum for php)</title>';     
  17. check_md5(".");     
  18.     
  19. function check_md5($directory){     
  20.     $check_md5_dir = @opendir($directory);     
  21.     echo '<ul>';     
  22.     while ($file = @readdir($check_md5_dir)) {     
  23.     if ($file != "." && $file != "..") {     
  24.     if(is_dir("$directory/$file")){     
  25.         echo '<li><strong>'.$file.'</strong></li>';     
  26.         tree("$directory/$file");     
  27.     }else{     
  28.         echo '<li>'.$file.' ==> '.md5_file("$directory/$file").'</li>';     
  29.     }     
  30.     }     
  31.     }     
  32.     echo '</ul>';     
  33.     closedir($check_md5_dir);     
  34. }     
  35. ?>  

关键词: 代码 , 原创 , 审计 , 安全 , php

aix安全

http://www.12258.net/thread-713-1-1.html

paper写得不错。学习中,就是太长了,两百多页啊。

关键词: security , aix , 安全

基于Public特权来保护Informix的安全

by amxku
2008-10-29
http://www.luoq.net

informix中,有三个数据库特权级别:DBA、Resource 和 Connect
Connect 特权允许用户访问数据库以及添加、修改和删除数据。
Resource 特权授予用户所有 Connect 特权,还授予创建新的表、索引和过程的特权。
DBA 特权包括 Connect 和 Resurce 特权,还授予用户把 Resource、Connect 或DBA 特权授予其他用户的权力。具有DBA 特权的用户还可以删除数据库中的所有对象或完全删除数据库。

Informix在数据库、表和列级都应用了安全措施。但是所有安全措施都基于用来连接数库的用户名。Informix 使用关键字 public 表示应用于所有用户的特权。public关键字是一个非常强大的工具,可以开放对数据的访问。

» 阅读全文

关键词: informix , 原创 , 安全

PHP in the Register Globals

by amxku
2008-09-28
http://www.wolfexp.net

php中用户的输入数据为 GET、POST 和 COOKIE 三种,一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off,但现在还是有部分在php.ini中将register_globals 的设为on,所以这里就存在了一些隐藏的风险。

register_globals 本身并没有安全风险。但如果将register_globals设为on,在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中,将创建 GET、POST 和 COOKIE 传递到 PHP 脚本的所有变量。各种变量都被注入代码。再加上 PHP 在使用变量之前是无需进行初始化的,如果开发人员没有好的编程习惯,这就使得更容易产生一些安全风险。

» 阅读全文

关键词: 脚本 , 原创 , 安全 , php

猥琐的notclickjacking

很猥琐的submitjacking,在群里看到的。应该不是owasp里提到的clickjacking,但也挺有意思,OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking

XML/HTML代码
  1. <form name="my_form_tres" action=""  
  2. onSubmit=window.open("http://www.example.com")>  
  3. <input type="submit" id="my_submit_button_tres"  
  4. style="position:absolute;left:0px;visibility:hidden;"/>  
  5. <a href="http://www.breakingpointsystems.com"  
  6. onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake   
  7. link (onmouseup and click)</a>    
  8. </form>  

可参见http://www.planb-security.net/notclickjacking/

关键词: submitjacking , 脚本 , 技术

autosuggestion tag for sablog

先看效果图

» 阅读全文

关键词: autosuggestion , 原创 , sablog , php