必威体育下载克里斯蒂安·海尔曼

“安全”标签的文章

备份美味书签

星期四,12月16日,二千零一十

好吧,现在还不是世界末日,但是一份泄露的截图最新的雅虎全体员工证明delicious在公司没有光明的未来。

因此,为了保存我在这个了不起的web服务上投入的多年工作,我正在备份我的数据。有几种简单的方法:

然后,您可以在您选择的浏览器中导入和同步书签,或者将它们上传到谷歌文档。

关于未来?谁知道呢?

新的推特利用了关于山羊的信息——它是如何工作的。

星期天,9月26日,二千零一十

好吧,在最后几分钟里,你会收到一些人的推特,解释他们喜欢通过后门与山羊性交。这是一个Twitter漏洞——可能是有人在做安全谈话时发起的(我知道有些人会非常狡猾)。

开发其实很容易——主要成分是:

  • 允许通过Twitter更新美国石油学会通过iFrAMES得到因此容易受到CSRF攻击
  • PasteHTML.com很容易在没有安全站点的情况下呈现代码并执行它
  • 客户端或Twitter自动应用t.co链接缩短器

执行“蠕虫”的代码驻留在http://pastehtml.com/view/1b7xk3b.html所以Twitter应该联系他们- (我只是做了):





没有什么神奇的——你所做的就是创造两个脚本指向twitter更新的文件美国石油学会并发送一个请求去做一个帖子。由于点击恶意链接的用户通过Twitter认证,您可以代表他发送这些链接。这和去年我在巴黎网站上演示的“不要点击这个按钮”漏洞以及如何获取受保护的Twitter用户更新的技巧是一样的。

这是一个混合的袋子

  • Bad: People stop trusting the t.co shortener after it was actually installed to be a trustworthy link shortener.链接缩短服务没有受到影响——这是一件不能归咎于Twitter的事情。
  • 坏消息:Twitter上有大量错误消息
  • 好的:人们谈论剥削以及它是如何完成的
  • 好:人们会对点击链接有更多的意识
  • 好:Twitter必须加强他们的美国石油学会霍霍CSRF
  • 坏:这将破坏一些实现

没有真正的防御CSRF从用户的角度来看,除了不单击不信任的链接和关闭javascript之外。因为这是一个宽泛的定义,我们会一次又一次地得到这些,除非美国石油学会提供者不允许没有令牌的请求。这个,另一方面,实现一键式的推特或类似解决方案将更加困难。

我中了圈套,同样-特别是我没有期望PasteHTML渲染代码而不是消毒它。

更新正如一些聪明的木屐在评论中指出的那样,JSBin还容易受到将要执行的托管代码的攻击。我要检查恶意链接的一件事是在终端中使用curl:

端子-BASH-67×24(照片)

如果你不认识JS,这对你没有帮助,但如果你这样做了,你可以警告世界。

H4XX0R3D!–我是如何发现自己在经营一个垃圾博客的?

星期三,3月3日,二千零一十

昨天,事实上,在我去基尔本演讲前十分钟,我经历了一个令人震惊的时刻。在我庞大的服务器的一个子文件夹中,我发现了一个提供廉价服务的博客原始设备制造商软件:

我服务器上的幻影OEM博客

所有这些链接迟早都会重定向到FireMicrosoft.net,即属于俄罗斯某个人由GoDaddy主持。

不使文件夹对世界可写

发生的事情是,我有一个非常旧的留言簿脚本,我曾经写过一次,仍然在这个文件夹中运行。当时的伎俩PHP教程,因为这样做容易得多)CHMOD存储平面文件的777文件夹(所有人都有读/写/执行权限)。那对我来说已经足够好了(2000年左右),你猜怎么着?这足以让垃圾邮件发送者存储他们的博客。

静态页面生成-批量

这个博客建立得相当巧妙搜索引擎优化:搜索引擎喜欢静态页面,所以不是访问a分贝-这并没有妥协-他们只是为所有的搜索查询创建了静态页面。毕竟这是关于显示链接和谷歌果汁,不是关于交付内容。最后,我发现我有23487HTML广告垃圾邮件的文件。谢天谢地因为这需要一些时间来删除SFTP.

我昨晚调查过了,我很高兴地说这就是发生的一切。如果我找到一个文件夹来存放我喜欢的任何文件,我也会尝试阅读其他文件,包括PHP组态为例。

作为告密者的谷歌阅读器

有趣的是我是如何发现它的:谷歌Readerbetway体育官方网。我有一个Google博客搜索RSS喂养在每次有人链接到http://wait-till-i.com时都会通知我的读者中,我发现这比如今垃圾邮件发送者似乎只使用的引用通告更有用:

在我得到的这个提要中很多转载自http://vancouverisawesome.com/:

在谷歌阅读器中有很多奇怪的链接指向我的博客

起初我以为这是因为http://winterolympicchords.com——毕竟这是及时的。当我看到这个网站的源代码,然而,我在关门前发现的身体垃圾邮件标签发送者已经向不同的网站注入了广告链接原始设备制造商软件:

      
       
宽度:100%;高度:20 px;Z指数:1;可见性:隐藏“>
[…许多随机的链接 HTML……

起初,我窃笑他们链接到我网站上一个我知道不存在的文件夹,但当我点击链接发现博客时,我的笑容很快消失了。

巴斯德宾的全部东西-如你所见,所有8个地点都受到同样的攻击。

我觉得奇怪的是,VancouVerisawesome上的链接是隐藏的,而且似乎仍然被谷歌编入索引——我记得有一次,由于绝对定位广告,我几乎被逐出了Adsense。同时,链接可能在屏幕的顶部,但文档中的链接在树的下方,万古威士已经有很多链接了。

我已经清理了我的服务器,并联系了其他七个站点的维护人员(对此我有很多“谢谢”)。我还联系了温哥华,他们在底部有垃圾链接。这是一个很常见的攻击(我们在ajaxian.com上发现的,也)针对WordPress安装。

如何避免这一切(以及如何检测)

为了确保不会发生在你身上:

标签:
张贴在一般|11条评论

挪威的水肺攻击,更安全的互联网,鼠标跟踪和SMS API

星期三,2月10日,二千零一十

今天早上让我快乐的事情:

邦德神话终结者,安全性转换,林荫大道Wordpress和一位十岁的科技作家

星期一,1月18日,二千零一十

今天早上让我快乐的事情: