安全

分类下相关文章

是否需要对上传文件的格式进行限制,不限制是否有风险

我目前正在实现一个文件上传功能,用来接收客户上传文件,然后工作人员后台查看。 但是,我并不确定客户会上传什么格式的文件。 起初我想直接放开限制,即,不限制用户的上传文件格式。但总觉得不对劲,似乎没有看到过哪个网站允许随意上传文件格式。于是网上查了一下,发现这样做确实非常危险。 不限制文件格式的风险包含哪些 上传的 PHP 文件,拿到文件路径之后,允许直接执行。 文件名中包含相对路径的情况,例如,"../../etc/passwd",如果不对文件名进行更改的化,可能覆盖系统文件。例如,/etc/passwd。 预防措施 自动生成文件名。不使用用户的文件名 设置文件类型白 ...

阅读全文...

调用服务端接口被安全狗限速

调用客户会员卡系统的一个接口,大概一秒钟一次的频率,每次调用了 140 次左右时,就会出现超时现象,持续一小时后,又恢复正常。 而在不断超时的这段时间内,使用其他服务器/开发机调用这个接口,又是正常的。只有我们的生产服务器有问题。 我第一反应是可能被服务端限速,或者被加了黑名单。 需要排查的点: 阿里云防火墙是否有相应的安全规则 客户的应用层是否有限速黑名单机制 跟客户公司的技术人员沟通了一下,排除了这两种可能。然后,对方电话跟我说是安装了安全狗。。。可能是这个软件有限速功能。而这个技术人员为了避免给自己找麻烦,拒绝修改安全狗配置。。。让我联系他们销售负责人修改。。。 好吧,(ˉ▽ˉ;). ...

阅读全文...

电子签章

电子签章,由电子印章和数字签名组成。 电子印章 视觉上的实现。就是把公章图片,PS 或后台合成到合同上,看上去跟纸质合同上的盖章一致。 但是,不具有防篡改的能力。 数字签名 用于防合同篡改。最简单的实现就是做本地 md5 hash。每次合同变更都会导致 md5 发生变化。 但是,现实中的实现通常是由三方权威机构提供的数字证书进行加密,及认证。主要是为了保证交易双方的平等关系。 电子签章云服务 看了一下阿里云上的电子签章 API 服务,主要有这么几家 法大大电子签章服务 e签宝电子签名签署服务 云章签章服务开发包 天安云签章SAAS服务 费用上基本都是一次 API 调用一块钱,完全是抢钱的节 ...

阅读全文...

没事就申请地理位置权限的app是如何窃取我隐私并谋利的

今天来了一个假客户,目的是来推销他们的一款软硬件设备。 号称是某国内上市公司的分公司,名字就不说了,名气太大,怕被跨省追捕。最滑稽的是我一直关注这货的股价,以为是国内少有的良心公司,没想到是这个鸟样。 其效果是,在线下放置一个硬件设备,其几百米范围内路过的人,能拿到大概五成的联系方式。然后就可以有针对性的进行电话推销了。 原理很容易猜到,硬件设备提供中心地理位置,流氓app提供周边人群的地理位置,然后把偷偷收集的用户隐私数据,例如电话,姓名,年龄,职业等卖给需要的销售公司。前提这是一个高频使用的 app,否则很难做到后台实时获取地理位置。有哪些高频使用的 app,大家很容易猜到。 所以啊,对于 ...

阅读全文...

网站生产环境禁用掉 .git 目录的访问

这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你 https://accout:password@github.com/project ... 再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。 解决办法 Nginx 上将 .git 目录禁止访问 location ~ /\.git { deny all; } 更彻底的方法,最好将所有的隐藏目录都禁用掉 # or, all . directories/files in ...

阅读全文...

PHP mysql_query SQL 注入预防措施

目前维护的一套 ecshop 系统,由于使用的是 PHP 5.2 加之历史遗留代码安全意识淡薄,所以存在诸多 SQL 注入的隐患(大量拼接 SQL 字符串的行为)。而我入门 PHP 是通过 Laravel 官方教程开始的,没有写过原生 PHP SQL 查询,对如何规避 SQL 注入一无所知。 首先看一下 PHP 官方文档 mysql_query — Send a MySQL query This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or P ...

阅读全文...

一次 PHP 网站被黑的经历

昨天同事发布新功能的时候,发现项目目录下多了两个新的目录。 /html /news 里面是随机字符串命名的 php 文件。看了代码的确不是我们写的,第一反应,我们被黑了! 第一时间的处理措施 排查 Nginx 日志,通过访问 html, news 目录定位可疑 IP, 然后通过历史 log 定位可疑文件 将恶意代码目录,可疑 gif 文件,及 Nginx 日志打包下载 删除恶意代码目录, 及 gif 文件 在阿里云防火墙上屏蔽到恶意 IP 确认是否还存在恶意访问 第二天早上8点又登录服务器确认了一下恶意请求是否还存在 123.126.113.91 - - [16/Feb/2017:16 ...

阅读全文...

Web 安全

Quick Links 全球 IPv4 地址归属地数据库 黑客是怎样入侵你的网站的 SQL 注入问题 一定要确定单引号被转义过了。 https://github.com/sqlmapproject/sqlmap 域名反查 IP http://sameip.org/ web 服务需要注意的 隐藏版本号。例如,Nginx 隐藏目录结构 debug 关闭 static + 相对目录造成代码或者配置文件泄漏 JSON hijacking/JSON 劫持漏洞 hijacking - 劫持 Javascript 获取服务端用户数据的方式分两种 同域下使用 ajax 请求即可 跨域时使用 ...

阅读全文...

近期节日

查看更多节日