server {
    listen    80;
    server_name sebug.net;
    index index.htm index.html;
    root  /home/wwwroot/www;
    access_log off;
    location /paper {
           alias /home/wwwroot/paper/;
           autoindex on;
       }
}

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录，但是如果访问http://sebug.net/paper../， 这个的话就会遍历/home/wwwroot/这个目录了

这个要利用，很有难度。nginx

下午无意中想到，能否让客户端必须先写入cookie或是加载js后，才能正常进入网站。因为爬虫或采集基本都不能正常写入cookie或加载JS

通过判断cookie的方式来进行一些限制，在用户打开站点时，写入cookie，然后通过cookie中的值来进行判断，如果不匹配就返回空，除开搜索引擎的爬虫，如果客户端无法写入这个cookie也就无法正常加载站点。测试下来基本ok，但是因为要在用户第一次打开的过程中写入cookie，就必然有一次跳转的动作，用户体验不是太好

还有就是通过AJAX的方式GET一个值给python，然后python进行验证，验证不通过则返回为空，这个我没测试，理论上是行得通的。我这暂时用了cookie的方式，虽然用户体验差了点，但至少能保证大部分真实用户的正常访问

不知道各位看官有没有什么比较好的办法？谢谢

BTW：这Firefox升级的太猛烈了，升级到8.0.1后，FCKeditor直接挂掉了，杯具，第一次用HTML写blog，NND，突然想起了《社交网络》，回归原始社会了哦，杯具，漏洞目录

现在仅支持（后续将会持续跟进）：

• DedeCMS
• discuz
• phpcms
• php168
• ecshop
• shopex

测试地址：http://sebug.net/chweb/

感谢一些朋友们的帮忙，感谢

国内开源web程序安全风险 top10

更多数据参考漏洞分布/漏洞趋势分析

也来个top10，仅供参考，漏洞

总结下，主要为4种模式：
1、网页中发现关键字
2、特定文件的MD5（主要是静态文件，不一定要是MD5）
3、指定URL的关键字
4、指定URL的TAG模式

参考：http://sebug.net/ssv/Web_Application_Finger_Printing

指纹识别的准确率主要看规则库是否够全面，扫描代码的效率是否够高，速度是否够快

个人拙见，欢迎拍砖，@dir

分析了下WhatWeb也是类似的方式来实现的，也问了些朋友，思路都比较类似，想了想也找不到别的什么思路

AppPrint好像主要是检查Banner的

各位看官有什么别的方式方法么 @ssv

希望各位看官能给些意见，感谢

前台：php+jquery

后台：Lua（引擎实现了分布式，可以集中调度）

当前任务数量：57
当前请求总数：417660
云端节点数量：3
云端队列分布：40% 40% 0%

测试地址 ：http://open.sebug.net/

现在仅仅是测试中，希望各位看官多多的提一些意见 @dir

http://samy.pl/evercookie/
这其实就是一个给客户端打上永久标记

Specifically, when creating a new cookie, it uses the following storage mechanisms when available:
     - Standard HTTP Cookies
     - Local Shared Objects (Flash Cookies)
     - Silverlight Isolated Storage
     - Storing cookies in RGB values of auto-generated, force-cached
        PNGs using HTML5 Canvas tag to read pixels (cookies) back out
     - Storing cookies in Web History
     - Storing cookies in HTTP ETags
     - Storing cookies in Web cache
     - window.name caching
     - Internet Explorer userData storage
     - HTML5 Session Storage
     - HTML5 Local Storage
     - HTML5 Global Storage
     - HTML5 Database Storage via SQLite
 
    TODO: adding support for:
     - Caching in HTTP Authentication
     - Using Java to produce a unique key based off of NIC info

Anehta的水印(Watermark)机制
http://www.x-woods.com/tutorial/sharedobject.swf
http://onedear.cn/entry/evercookie1.html
http://onedear.cn/entry/evercookie2.html
http://onedear.cn/entry/evercookie3.html

还有些做这一块的厂商：
ThreatMetrix（alibaba有在用）
Arcot（被CA收购了）

这Django确实是不错，比较省事，效率也比较高

今天下午在调试Django和公司文档系统时候，在cookie的处理上有些问题，搞了半天也没搞定。在后面的测试过程中，发现好像Django的CSRF中间件好像有点问题，Django是通过在csrfviewmiddleware中进行相关的验证处理，token是存储在cookie里面。其实验证过程很简单，就是把token POST过去和Cookie中的做比对，，但是问题是都是csrfmiddlewaretoken，post中的也是从cookie里拿的，其实就是同一个值来做比对处理，就相当于你POST “123”过去，他就判断“123”和“123”是否匹配，这他妈的不是和没验证一样。。。

网上找了圈，发现已经有人提到了这个问题。。。15845，不知道Django会不会也和ruby on rails 一样用owasp的csrf Guard 的代码，呵呵

CMNET

CMNET拥有完全的Internet访问权，CMNET就像我们使用电脑连接互联网，CMNET其实就是移动的Internet，分配的IP是公网的地址。采用的实现方式是“终端＋服务器”的工作模式。

CMWAP

CMWAP接入方式只开放HTTP代理协议（80和8080端口）和WAP网关协议（9201端口），仅支持http和WAP协议（数据通过WTLS传输）。采用的实现方式是“终端＋WAP网关＋WAP服务器”的模式。主要的目的是通过WAP网关完成 WAP-WEB的协议转换以达到节省网络流量和兼容现有WEB应用等目的（本文档仅针对WAP1.X）。

在CMWAP中最为关键的就是WAP网关，它起到了代理、数据加解密、编码处理等作用。WAP网关对数据的处理机制请参考下图：

• 手机通过CMWAP上网，需要先到WAP网关（主要是做代理、数据加解密、编码处理），这一部分的数据是通过WTLS来走的，数据是加密传输的，从WAP网关到后端服务器的过程中都是明文传输的（如要保证WAP网关到后端服务器间也是加密传输，需要和SP进行协商处理）。
• 手机通过CMNET上网，就直接达到了Internet上，和ADSL拨号上网基本一样。在这个过程中的所有数据都是明文传输的。
• 如果手机通过WIFI连接上Internet，整个过程和通过电脑连接情况一致

从上面的分析来看，整个过程中最大的风险点在于数据在传输过程中是否进行了加密。现在有部分手机银行等交易类站点中，已经做到了HTTPS + 仅允许通过CMWAP来进行登录、交易，这就保证的整个传输过程中数据的安全性。@dmgapp

doubanclaim340e31fcd083a606个人拙见，欢迎斧正，@amxku

公司现在有很多这种情况存在，因为应用太繁杂，前期在测试时发现了很多这样的问题。其实之前很少关注FilterJS方面的东西，对于这一块的安全问题，仅仅是在owasp的一次会议上看到过对淘宝的攻击演示。

google到了一些相关的资料，学习学习。

OWASP ESAPI for Javascript
Javascript 的输入输出，以及二次渲染问题
owasp-esapi-js
Bypassing OWASP ESAPI XSS Protection inside Javascript

记录下，感叹关注面之窄啊。最近老是感觉时间不够用，怎么回事啊

说是比较容易，但是做起来就麻烦了。具体细节不说了。总之有点难度，还好我们公司的领导现在都还比较重视这一块，这就提供了很大的方便。@amxku

画了个图，共享下，没啥技术含量（根据公司的情况做了些删减），仅供参考，算是抛砖引玉吧。欢迎拍砖。

个人拙见，欢迎斧正，@amxku，luoq.net

The SDL Quick Security References will help you better understand and address common attacks that may be affecting your software, Web sites, and users.

Overview

With the SDL Quick Security References (QSR), the Security Development Lifecycle (SDL) team introduces a series of basic guidance papers designed to address common vulnerabilities from the perspective of multiple business roles - business decision maker, architect, developer, and tester/QA. These papers will help you address a critical business problem now while moving you toward SDL adoption in the future.

PS：有些地方写得还不错，可以参考参考
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=79042476-951f-48d0-8ebb-89f26cf8979d

e.g:
http://www.dedecms.com/plus/list.php?tid=10&pageno=9

系统用intval对$pageno的值进行了处理，但是intval处理过程中，如果为非正整数时，会赋值为0，系统就会出错。

没有对0进行过滤处理。

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 7 - Execute Query False! Select arc.*, tp.typedir,tp.typename,tp.isdefault,tp.defaultname,tp.namerule,tp.namerule2,tp.ispart,tp.moresite,tp.siteurl from `dede_archives` arc left join `dede_arctype` tp on arc.typeid=tp.ID where arc.arcrank > -1 And (arc.typeid='10' Or arc.typeid2='10') order by arc.sortrank desc limit -15,15

22b554cd4fe4a17e53eda4212b2450e2.jpg(缩略图)

邮件必须包含内容：

用户名：如：amxku
电子邮件：如：amxku@sebug.net
站点地址：如：http://luoq.net
服务器ip：如：202.103.24.68

如果系统不进行认证，将无法从sebug服务器上获取到数据。请对系统进行认证。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

├─cache  //系统缓存目录，权限要求777
│  └─templates_c
│

SEBUG安全漏洞数据库 - 致力于信息安全漏洞的研究及收集整理

下载和说明请移步：http://sebug.net/un/

如果$page的参数为负数的话，程序就会出错。如：http://luoq.net/?page=-1

1是数字，-1就是字符了。暂且叫做数值类型转换上的问题吧。不过没有办法利用。哈哈。比较非主流。

建议1.6的用户加上

对$page进行处理吧。非主流，哈哈！

• GB 17859-1999《计算机信息系统安全保护等级划分准则》
• GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》
• GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》
•  GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》
• GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》
• GA 391-2002 《计算机信息系统安全等级保护管理要求》

等级保护基本要求的框架结构

等级划分

       建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别保障平台，对信息系统的安全等级从功能上划分为五个级别的安全保护能力：

• 第一级：用户自主保护级 ；
• 第二级：系统审计保护级 ；
• 第三级：安全标记保护级 ；
• 第四级：结构化保护级 （系统整体安全设计）；
• 第五级：访问验证保护级。

内容组成

       等级保护基本要求的内容分技术和管理两大部分，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。

       风 险评估是以安全建设为出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，通过对用户关心的重要资产的分级、安 全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析，并 通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步 的安全需求方向。

       等级保护的前提是对系统定级，系统定级根据系统信息的机密性、完整性、可用性等三大性来确定。即是“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。

       等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。

       可以简单的理解为等保是标准或体系，评估一种是手段。

       等保其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护 ，而风险评估是帮助用户发现目前的安全现状，以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。

       今天被人问到信息安全中的等级保护和风险评估的区别在什么地方。下午在回来的火车上，一没有美女相伴，也没有传说中的什么艳遇，基于很无聊等各种原因，就有了这篇充数的文章。纯属拙见，有不妥之处还望斧正。

by amxku
2009-03-13
http://www.luoq.net

这完全不可能的。php是不可能直接获取到client的mac的。

首先php完全就是在服务端解释执行的，所以没可能直接获取到浏览端的网卡MAC，因为浏览器默认行为是不会把MAC发送出去的。

要是从数据包的角度来解释的话，一般都是在局域网内部传输时才会包上MAC头，经过路由不断转发，实际上每经过一级设备都被剥去一层，到最后就只剩下TCP/IP的数据头和数据了。MAC只可能是在网络底层的物理层中传输。（也就是说client的mac地址信息是不可能在公网上传输的，公网上的MAC信息是最后一跳设备的接口MAC，见Hell-Phantom评论）

从http协议来讲，也是不可能的。http请求中也不可能带上mac地址。可以看看http协议的相关说明。

所以说php是不可能直接获取到client的mac地址的，php要想得到client的MAC地址，得用到第三方的ActiveX或是用js等。PS：http://www.kenes.com.cn/MAC.html