amxku 发表的文章

nginx 配置错误而导致目录遍历漏洞

一个很鸡肋的目录遍历漏洞,不知道算不算是漏洞,前提条件是必须是子目录、开启了autoindex,并且alias指定目录的时候加了"/",才能利用成功。这是因为配置不规范造成的

server {
    listen    80;
    server_name sebug.net;
    index index.htm index.html;
    root  /home/wwwroot/www;
    access_log off;
    location /paper {
           alias /home/wwwroot/paper/;
           autoindex on;
       }
}

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但是如果访问http://sebug.net/paper../, 这个的话就会遍历/home/wwwroot/这个目录了

这个要利用,很有难度。nginx

关键词: nginx

携程招聘安全工程师

职位描述:
1. 各类安全问题和安全事件的跟踪和分析
2. 定期的安全风险评估和检测
3. 跟踪和分析新的安全漏洞、安全技术

职位要求:
1. 熟悉Web安全
2. 具有一定的编程能力
3. 对常见的Web编程语言要有一定的解读能力
4. 跟踪和分析最新安全相关的技术
5. 有良好的团队合作精神,有责任感,有较好的沟通能力,主动性强

优先条件:
1. 有相关的安全工作经验
2. 乐于分享,各类流行技术的热心参与和内容贡献者

工作地点:上海
联系方式:qwluo(at)ctrip.com

邪恶的采集

最近有一台服务器被一些采集快拖死了,整了几天了,也没有找到比较好的办法来处理

下午无意中想到,能否让客户端必须先写入cookie或是加载js后,才能正常进入网站。因为爬虫或采集基本都不能正常写入cookie或加载JS

通过判断cookie的方式来进行一些限制,在用户打开站点时,写入cookie,然后通过cookie中的值来进行判断,如果不匹配就返回空,除开搜索引擎的爬虫,如果客户端无法写入这个cookie也就无法正常加载站点。测试下来基本ok,但是因为要在用户第一次打开的过程中写入cookie,就必然有一次跳转的动作,用户体验不是太好

还有就是通过AJAX的方式GET一个值给python,然后python进行验证,验证不通过则返回为空,这个我没测试,理论上是行得通的。我这暂时用了cookie的方式,虽然用户体验差了点,但至少能保证大部分真实用户的正常访问

不知道各位看官有没有什么比较好的办法?谢谢

BTW:这Firefox升级的太猛烈了,升级到8.0.1后,FCKeditor直接挂掉了,杯具,第一次用HTML写blog,NND,突然想起了《社交网络》,回归原始社会了哦,杯具,漏洞目录

把站点迁移到了Linode日本 Tokyo IDC

看到很多朋友都有迁移过去了,速度确实不错,ping值保持在100左右

自己也测试了下,东京的机房比较近,速度确实还不错,Linode的服务确实也不错,推荐下

迁移、购买好像都没啥说的,网上也有比较多的教程。我在购买的时候还担心支付问题,没想到国内的信用卡也可以直接支付;今天上去看他们有保存信用卡卡号、有效期等信息,看不出有没有存CVV,有点玄乎;已经发邮件过去询问了

BTW, 我的 Linode referral code: c4c36f1a2d3b525013a28fca90433f1c47ae0739

如果你也准备购买,不妨用一下我的 referral code :) dir

开源WEB应用的指纹识别

主要是对开源WEB应用提供一个版本识别的工具(web应用指纹识别)

现在仅支持(后续将会持续跟进):

  • DedeCMS
  • discuz
  • phpcms
  • php168
  • ecshop
  • shopex

测试地址http://sebug.net/chweb/

感谢一些朋友们的帮忙,感谢

关键词: web指纹 , sebug

top10

sebug web安全漏洞 top10

国内开源web程序安全风险 top10

更多数据参考漏洞分布/漏洞趋势分析

也来个top10,仅供参考,漏洞

关键词: sebug

WEB指纹识别的一些方法

最近看了些相关的东西,和一些朋友也研究了下

总结下,主要为4种模式:
1、网页中发现关键字
2、特定文件的MD5(主要是静态文件,不一定要是MD5)
3、指定URL的关键字
4、指定URL的TAG模式

参考:http://sebug.net/ssv/Web_Application_Finger_Printing

指纹识别的准确率主要看规则库是否够全面,扫描代码的效率是否够高,速度是否够快

个人拙见,欢迎拍砖,@dir

关键词: web指纹

WEB指纹识别

对于WEB的指纹识别,好像都是检查特定文件的MD5等来进行版本的识别,前面有见过Supterhei也是用类似的方式来实现了对DEDE的一些版本的识别

分析了下WhatWeb也是类似的方式来实现的,也问了些朋友,思路都比较类似,想了想也找不到别的什么思路

AppPrint好像主要是检查Banner的

各位看官有什么别的方式方法么 @ssv

希望各位看官能给些意见,感谢

关键词: web指纹