安全

分类下相关文章

是否需要对上传文件的格式进行限制,不限制是否有风险

我目前正在实现一个文件上传功能,用来接收客户上传文件,然后工作人员后台查看。 但是,我并不确定客户会上传什么格式的文件。 起初我想直接放开限制,即,不限制用户的上传文件格式。但总觉得不对劲,似乎没有看到过哪个网站允许随意上传文件格式。于是网上查了一下,发现这样做确实非常危险。 不限制文件格式的风险包含哪些 上传的 PHP 文件,拿到文件路径之后,允许直接执行。 文件名中包含相对路径的情况,例如,"../../etc/passwd",如果不对文件名进行更改的化,可能覆盖系统文件。例如,/etc/passwd。 预防措施 自动生成文件名。不使用用户的文件名 设置文件类型白 ...

阅读全文...

调用服务端接口被安全狗限速

调用客户会员卡系统的一个接口,大概一秒钟一次的频率,每次调用了 140 次左右时,就会出现超时现象,持续一小时后,又恢复正常。 而在不断超时的这段时间内,使用其他服务器/开发机调用这个接口,又是正常的。只有我们的生产服务器有问题。 我第一反应是可能被服务端限速,或者被加了黑名单。 需要排查的点: 阿里云防火墙是否有相应的安全规则 客户的应用层是否有限速黑名单机制 跟客户公司的技术人员沟通了一下,排除了这两种可能。然后,对方电话跟我说是安装了安全狗。。。可能是这个软件有限速功能。而这个技术人员为了避免给自己找麻烦,拒绝修改安全狗配置。。。让我联系他们销售负责人修改。。。 好吧,(ˉ▽ˉ;). ...

阅读全文...

电子签章

电子签章,由电子印章和数字签名组成。 电子印章 视觉上的实现。就是把公章图片,PS 或后台合成到合同上,看上去跟纸质合同上的盖章一致。 但是,不具有防篡改的能力。 数字签名 用于防合同篡改。最简单的实现就是做本地 md5 hash。每次合同变更都会导致 md5 发生变化。 但是,现实中的实现通常是由三方权威机构提供的数字证书进行加密,及认证。主要是为了保证交易双方的平等关系。 电子签章云服务 看了一下阿里云上的电子签章 API 服务,主要有这么几家 法大大电子签章服务 e签宝电子签名签署服务 云章签章服务开发包 天安云签章SAAS服务 费用上基本都是一次 API 调用一块钱,完全是抢钱的节 ...

阅读全文...

没事就申请地理位置权限的app是如何窃取我隐私并谋利的

今天来了一个假客户,目的是来推销他们的一款软硬件设备。 号称是某国内上市公司的分公司,名字就不说了,名气太大,怕被跨省追捕。最滑稽的是我一直关注这货的股价,以为是国内少有的良心公司,没想到是这个鸟样。 其效果是,在线下放置一个硬件设备,其几百米范围内路过的人,能拿到大概五成的联系方式。然后就可以有针对性的进行电话推销了。 原理很容易猜到,硬件设备提供中心地理位置,流氓app提供周边人群的地理位置,然后把偷偷收集的用户隐私数据,例如电话,姓名,年龄,职业等卖给需要的销售公司。前提这是一个高频使用的 app,否则很难做到后台实时获取地理位置。有哪些高频使用的 app,大家很容易猜到。 所以啊,对于 ...

阅读全文...

网站生产环境禁用掉 .git 目录的访问

这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你 https://accout:password@github.com/project ... 再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。 解决办法 Nginx 上将 .git 目录禁止访问 location ~ /\.git { deny all; } 更彻底的方法,最好将所有的隐藏目录都禁用掉 # or, all . directories/files in ...

阅读全文...

PHP mysql_query SQL 注入预防措施

目前维护的一套 ecshop 系统,由于使用的是 PHP 5.2 加之历史遗留代码安全意识淡薄,所以存在诸多 SQL 注入的隐患(大量拼接 SQL 字符串的行为)。而我入门 PHP 是通过 Laravel 官方教程开始的,没有写过原生 PHP SQL 查询,对如何规避 SQL 注入一无所知。 首先看一下 PHP 官方文档 mysql_query — Send a MySQL query This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or P ...

阅读全文...

一次 PHP 网站被黑的经历

昨天同事发布新功能的时候,发现项目目录下多了两个新的目录。 /html /news 里面是随机字符串命名的 php 文件。看了代码的确不是我们写的,第一反应,我们被黑了! 第一时间的处理措施 排查 Nginx 日志,通过访问 html, news 目录定位可疑 IP, 然后通过历史 log 定位可疑文件 将恶意代码目录,可疑 gif 文件,及 Nginx 日志打包下载 删除恶意代码目录, 及 gif 文件 在阿里云防火墙上屏蔽到恶意 IP 确认是否还存在恶意访问 第二天早上8点又登录服务器确认了一下恶意请求是否还存在 123.126.113.91 - - [16/Feb/2017:16 ...

阅读全文...

Web 安全

Quick Links 全球 IPv4 地址归属地数据库 黑客是怎样入侵你的网站的 SQL 注入问题 一定要确定单引号被转义过了。 https://github.com/sqlmapproject/sqlmap 域名反查 IP http://sameip.org/ web 服务需要注意的 隐藏版本号。例如,Nginx 隐藏目录结构 debug 关闭 static + 相对目录造成代码或者配置文件泄漏 JSON hijacking/JSON 劫持漏洞 hijacking - 劫持 Javascript 获取服务端用户数据的方式分两种 同域下使用 ajax 请求即可 跨域时使用 ...

阅读全文...

近期节日

2019年12月07日 大雪
2019年12月09日 "一二九"运动纪念日
2019年12月09日 世界足球日
2019年12月10日 世界人权日
2019年12月12日 西安事变纪念日
2019年12月13日 南京大屠杀
2019年12月20日 澳门回归日
2019年12月21日 国际篮球日
2019年12月22日 冬至
2019年12月24日 平安夜
2019年12月25日 圣诞节
查看更多节日