安全 -- IT技术博客大学习 -- 共学习共进步！

不知从何时起，人们开始热衷在网页里模仿传统应用程序的界面。无论控件、窗口还是交互体验，纷纷向着本地程序靠拢，效果越做越绚。然而华丽的背后，其本质仍是一个网页，自然掩盖不了网页的安全缺陷。当网页特效蔓延到一些重要数据的交互 —— 例如账号登录时，风险也随之产生。因为它改变了用户的使用习惯，同时也彻底颠覆了传统的意识。

• XSS 前端防火墙 —— 内联事件拦截

几乎每篇谈论 XSS 的文章，结尾多少都会提到如何防止，然而大多万变不离其宗。要转义什么，要过滤什么，不要忘了什么之类的。尽管都是众所周知的道理，但 XSS 漏洞十几年来几乎从未中断过，不乏一些大网站也时常爆出，小网站更是家常便饭。而本文介绍的则是另一种预防思路 —— 通过前端监控脚本，让每一个用户都参与漏洞的监控和上报。

• FakeID签名漏洞分析及利用(Google Bug 13678484)

BlueBox于2014年7月30日宣布安卓从2010年以来一直存在一个apk签名问题[1]，并且会在今年Blackhat上公布细节。利用该漏洞可以提升权限，突破沙箱限制。我在细节公开之前对这个漏洞进行成功利用，在此分享一些漏洞利用的细节。

• launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )

前几天在试用gitx这个软件时偶然看到Google修复了一个漏洞，并记为Google Bug 7699048。这是一个AccountManagerService的漏洞，利用这个漏洞，我们可以任意调起任意未导出的Activity，突破进程间组件访问隔离的限制。这个漏洞影响2.3 ~ 4.3的安卓系统。一．关于AccountManagerService AccountManagerService同样也是系统服务之一，暴露给开发者的的接口是AccountManager。该服务用于管理用户各种网络账号。这使得一些应用可以获取用户网络账号的token，并且使用token调用一些网络服务。

• 安全无小事－－技术团队防守一二三

一个互联网技术企业，绝对不是老板出多少钱就一定不会再出现安全漏洞的，也不是老板出的钱越多就代表越重视的，真正的重视体现在研发人员的日常工作中。你的企业没有出现过安全问题，不代表你的团队没有短板，更不代表你的线上没有漏洞，更不代表你的用户数据没有在黑市上买卖。不在乎有没有漏洞，就是认真。

• 2014年1月21日中国互联网DNS瘫痪事件原因分析

2014年1月21日下午，全国的互联网都瘫了。百度、新浪等等，什么网站都打不开。这么大范围的严重的事故真的让人瞠目结舌，我以为被是美国黑客入侵了。事实嘛……你听我慢慢说来。

• 公钥私钥加密解密数字证书数字签名详解

在签名的过程中，有一点很关键，收到数据的一方，需要自己保管好公钥，但是要知道每一个发送方都有一个公钥，那么接收数据的人需要保存非常多的公钥，这根本就管理不过来。并且本地保存的公钥有可能被篡改替换，无从发现。怎么解决这一问题了？由一个统一的证书管理机构来管理所有需要发送数据方的公钥，对公钥进行认证和加密。这个机构也就是我们常说的CA。认证加密后的公钥，即是证书，又称为CA证书，证书中包含了很多信息，最重要的是申请者的公钥。

• OpenSSL HeartBleed漏洞原理漫画图解

所谓heartbleed的说法，源自于「心跳检测」，就是用户发通过起TSL 加密链接，发起 Client Hello询问，测服务器是否正常在线干活(形象的比喻就是心脏脉搏)，服务器发回Server hello，表明正常建立SSL通信。每次询问都会附加一个询问的字符长度pad length，bug来了，如果这个pad length大于实际的长度，服务器还是会返回同样规模的字符信息，于是造成了内存里信息的越界访问。

• 中国黑客传说：天生我材

这不是小说，而是根据我的亲身经历、亲眼见闻、亲自访谈而写成，没有杜撰的情节，也没有集多人的事迹于一人身。世界比你想象的更大。

• 安全问题的本质

设计任何安全方案，最终都必须要有一个东西是「假设可以信任的」，只是看这个「可信任」的东西被攻击成功的概率大小。如果不这么做，则做不出任何的安全方案。

• webgame中常见安全问题、防御方式与挽救措施

在webgame中，装备复制、金币复制的漏洞是如何形成的？如何规避这类问题？如何做好网页游戏的入侵防御？挽救措施有哪些？当安全事故发生之后，如何才能最小化减少运营商损失？

• 挖漏洞有什么社会价值？

其实这个问题可以从「挖漏洞」推广到「黑客工具」。比如说一些「和谐稳定」的漏洞利用Exploit，要想写好可得花老大劲了，还能上升到「艺术」的层次；又或者是号称「军工级」的无进程无端口无文件的后门 —- 各种大杀器 —- 这些用于攻击的黑客工具，极尽繁复精巧之能，但都是用于破坏的，对于社会的意义在哪里？

• 以keystore方式为play!应用建立单向/双向SSL

据play!官网介绍，play!内置容器支持HTTPS协议，有两种实现方式，一种是X.509方式，另一种是keystore方式。不过官网上对整个流程的配置并不完整，下文主要介绍后一种方式的配置全过程，以免各位被网上过时文章误导。

• 深入浅出Session攻击方式之一 – 固定会话ID

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session ID来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序(只要该session id还是有效的，也就是没有被系统重新生成或者销毁)。通过这种方式，攻击者就不需要捕获用户的Session id(该种方式难度相对稍大)。

• QR二维码的攻击方法与防御

原文贴图太多，微信对不可信地址图片又拒绝访问，偷个懒，直接QR码作为目前被广泛使用的二维码，它为用户带来便捷的同时，也成为了恶意软件、网络钓鱼等攻击的携带者和传播者。为此，了解QR码编码方式，分析其潜在攻击方法并提出低于方案具有重要的意义。本文介绍了QR的编码结构和编码过程，阐述了具体篡改QR码的操作步骤，论述了不同的QR码应用场景下的潜在的攻击方式，提出了针对编码解码器的改进方案和引入第三方管理这两类方式来抵抗QR码的攻击。贴微信地址：查看文章

• 使用Http-only Cookie来防止XSS攻击

HttpOnly并不是万能的，首先它并不能解决xss的问题，仍然不能抵制一些有耐心的黑客的攻击，也不能防止入侵者做ajax提交。为了降低跨站点脚本攻击带来的损害，通常需要将HTTP-only Cookie和其他技术组合使用。如果单独使用的话，它无法全面抵御跨站点脚本攻击。

• Perl 程序源码怎么加密

我见到很多人有一些需求。就是想给自己的程序加密。比如商业程序和一些记录着关键信息的程序。这样让自己的源代码不可读，但又不想对程序的性能靠成什么大的影响。当然在 Perl 中也有一堆的方法来实现这个功能。因为我写的跳板程序直接给 Key 写到程序本身，所以我不希望别人能见到我的 SSH 的 Key 。所以我对整个程序进行一定程度上的加密是很有必要的。在 PHP 中有一个很出名的东西叫 Zend,给整个程序加密成不可见的,我们现在自己来实现一个简化的 Zend。在 Perl 中我们有各种好用的模块帮我们实现这种功能。我现在给大家来介绍一个使用 Filter 模块来实现的这个源代码加密功能。

• IIS写权限利用续以及写权限漏洞来由解释

很多人也许觉得IIS PUT这玩意不值一提啊...其实不然，身在乙方，给客户做安服的时候总是遇到IIS写权限的问题，一方面WVS7.0已经可以扫描并且使用POC成功写入漏洞目标，另一方面无聊的土耳其或者印度尼西亚黑客总是喜欢利用写权限上传txt或者html到漏洞目标，以示对方的hack技术的强大。

• open_basedir后可能存在的安全隐患

目前php站点的安全配置基本是open_basedir+safemode，确实很无敌、很安全，即使在权限没有很好设置的环境中，这样配置都是相当安全的，当然了，不考虑某些可以绕过的情况。本文讨论两点开启open_basedir后可能导致的安全隐患（现实遇到的），一个也许属于php的一个小bug，另外一个可能是由于配置不当产生的。

• 腾讯执行的感悟（安全方向）

第一次去腾讯参加安全闭门会议的时候，晚宴上腾讯的CTO张志东跑来和我们一起吃饭。当时我才二十一、二岁，当benjurry煞有其事介绍我和中国最大互联网公司的CTO握手时，紧张的心情可以想象。不过也就这件小事，可以侧面反应腾讯高层对安全的支持程度。我从没见过其他大型互联网公司的最高层领导者会跑来和安全圈子里的人混在一起。