Archive for the ‘网络安全’ Category

很久很久没有关注网络安全方面的信息了，偶然看到乌云被关了，于是看了下乌云的微博，看到了这个漏洞，本地测试了下无力巨大，找了个目标进行了测试可能数据量不够效果不明显。

攻击的原理很简单, 目前很多语言, 使用hash来存储k-v数据, 包括常用的来自用户的POST数据, 攻击者可以通过构造请求头, 并伴随POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表.
Read more

CSDN600W用户数据泄露，人人网500W用户数据泄露，最近接连的黑客泄露用户名信息的发生，也许有人会鄙夷那些黑客的毫无道德，也许有人会困惑为何黑客会如此短时间内泄露如此多的数据呢？

几百万数据的窃取无论从数据量还是时间跨度来看都非常专业，黑客完全不必公开这些数据去黑市卖一个好价格。在这个是简单发生这么一件事，所有的真相直指一件事情——网络实名制。在世界上唯一实行“互联网实名制”的韩国，所有大网站都要求用户用真实姓名和身份证号码进行注册。结果，2011年7月，韩国发生了前所未有的信息外泄案件。韩国SK通讯旗下的韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，约3500万名用户的信息外泄。泄露的用户信息非常详尽，包括用户名、名字、生日、电话号码、地址、加密的密码和身份证号码等。该案件涉及面广，几乎牵涉到了所有韩国网民。

想象一下，如果中国互联网业实行了网络实名制，那么这次大规模泄露事件将是何等恐怖？最近在Twitter上已经公布了中国互联网网络实名制的技术方案，预计明年将会正式开始。而正在这时，中国的黑客用自己的方式警告当局者——千万别一意孤行，否则后果不堪设想。

文章写得有点晚，漏洞是前几天看到的。

漏洞大致情况是在人人网发布日志的时候，在插入图片地址的地方放入人人网登出连接。（如果想做点修饰的话，可以把地址转化为短地址），然后发表日志。所有浏览了该日志的用户全部都自动登出了。

我刚测了不到半小时，想看看还有什么其他的利用价值的时候，漏洞就被补上了。如果把地址换成新浪微博的登出地址，浏览后新浪微博也同样会被登出，应该请求图片的时候，访问了那个地址，把session给清空了，但其他操作都不能执行。

首先解释下什么是GFW，全称Great Firewall，是对中华人民共和国政府在其管辖互联网内部建立的多套网络审查系统（包括相关行政审查系统）的称呼。主要致力于GFW的院校有北邮和上交（Sroan:都是些不要脸的学校），主要公司有启明星辰（002439）等。

在分析之前先大致介绍下GFW一些常用屏蔽方法。

1、DNS劫持

DNS劫持主要表现为访问一些不存在的网站或者访问出现故障的时候会挑战到114这种垃圾搜索上，或者访问谷歌页面却掉到了度娘的页面上。

解决办法：使用国外的DNS，比如谷歌的8.8.8.8

2、DNS污染

举个例子比如解析一个域名 www.sroan.com 正确解析出来的IP是1.1.1.1，但是DNS污染后解析出来的IP是2.2.2.2

解决办法：加密代理访问

3、IP封锁

比如访问国外一个IP无法访问，PING不通，tracert这个IP后发现，全部在边缘路由器（GFW）附近被拦截。换言之，GFW直接拦截带有这个IP头的数据包。

解决办法：加密代理访问

4、TCP连接重置

这个是GFW最擅长的方法，比如你在谷歌中输入一些所谓的敏感词，GFW发现你发送的请求中包含有敏感词，马上reset你的链接，并断开1分钟，于是在1分钟内你无法登陆上谷歌了。还有一种重置并不是基于敏感词的，因为使用https协议后数据经过加密无法再过滤，所以GFW发现使用https协议就直接断开服务，比如谷歌文档。

解决办法：加密代理访问

5、HTTP会话劫持

使用电信的用户应该会比较多的体验到：每次重新连接上网后，返回第一个页面的顶部经常是有广告的。这是因为无耻的电信劫持了你的HTTP会话，在返回数据中加入了那些广告。

以上5种是GFW比较常见的功能，其次分析下谷歌问答的情况，谷歌问答通过GFW审核后的情况后，问答地址(http://www.google.com.hk/wenda/)无法访问，但是谷歌香港（http://www.google.com.hk）是可以正常访问的。那基本可以排除DNS劫持、DNS污染、HTTP会话劫持、IP封锁。那只有基于关键词的TCP连接重置，首先想到的是“wenda”和“/wenda”，在谷歌中输入相关关键词发现可以正常访问。

看来是把域名也带上了，在谷歌中搜索www.google.com.hk/wenda,出现无法访问的信息。

至于为什么谷歌中输入google.com.hk/wenda可以正常搜索，但是无法访问呢？（不带WWW），那是因为谷歌设置了google.com.hk重定向到了www.google.com.hk，所以最后总结下来是GWF通过基于关键词“www.google.com.hk/wenda”对谷歌问答进行TCP连接重置导致其无法访问。

只要在浏览器里输入http://www.google.com.hk///wenda/ 就可以看见能“正常”访问了。

PS：本人长期帮助他人访问任何网站，小姑娘优先。

今天心血来潮参加了一个模拟股指期货比赛，初始资金有100W，一开盘就一路下跌，我想大概跌倒3000点就差不多了，没想到那些庄家心狠一路继续下挫。让我心情十分犹豫，突然发现这个模拟股指期货交易有个BUG，就是我在其他地方打一个负数，然后复制过去再提交，竟然可以成交，于是我下了-10000手，于是我的就保证金也变成了负几千万，这样我就等于有无限制的钱了。心一恨，10分钟内拉到涨停，那个叫舒畅啊，也终于体验到了所谓大户的感觉，其他玩家只能眼睁睁地看着我拉上涨停。不过很快系统就暂停了，我的账号也被删除了，系统这个弱智的漏洞也被弥补了。

还有一件事就是今天在超市买了样东西竟然被刷了两次，花了2个小时再把钱退回来，试想如果程序能够辨别商品是否被刷过还会发生这种浪费消费者时间的事么?

WebGoat是一个平台无关的Web安全漏洞实验环境，该环境需要Apache Tomcat和JAVA开发环境的支持。它分别为Microsoft Windows和UN*X环境提供了相应的安装程序，下面我们将根据操作系统分别加以介绍。

　　安装Java和Tomcat

 　　需要注意，从版本5开始，这一步可以省略，因为它们自身带有Java Development Kit和Tomcat 5.5。首先安装Java，您可以从http://java.sun.com/downloads/安装和部署合适的版本，最低版本要求为1.4.1，然后安装Tomcat，您可以从http://tomcat.apache.org/download-55.cgi安装和部署Tomcat。

 　　安装到Windows系统

 　　1.将WebGoat-OWASP_Standard-5.2.zip解压至合适的目录中。

 　　2.若要启动Tomcat，切换至前面存放解压后的WebGoat的目录，然后双击webgoat.bat即可。

 　　3.启动浏览器，在地址栏输入http://localhost/WebGoat/attack 。注意，这个链接地址是区分大小写的，务必确保其中使用的是大写字母W和G。

 　　安装到Linux系统

 　　1.将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。

 　　2.将webgoat.sh文件中的第17、19和23行中的“1.5”改为“1.6”。

 　　3.因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：     

 　　(1). 当作为root用户运行在80端口时，使用：  

 　　sudo sh webgoat.sh start80          

　　sudo sh webgoat.sh stop

　　(2). 当运行在8080端口时，使用：           

 　　sh webgoat.sh start8080         

　　sh webgoat.sh stop

　　安装至OS X（Tiger 10.4+）系统

 　　1.将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。

 　　2.将webgoat.sh文件中的第10行中的“1.5”改为“1.6”。

 　　3.因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：    

 　　(1).当作为root用户运行在80端口时，使用：         

 　　sudo sh webgoat.sh start80     

　　 sudo sh webgoat.sh stop

　　(2). 当运行在8080端口时，使用：         

 　　sh webgoat.sh start8080       

　　sh webgoat.sh stop

　　安装至FreeBSD系统 

 　　1.使用下面的命令来安装Tomcat和Java ：      

 　　cd /usr/ports/www/tomcat55     

　　sudo make install

　　2. 安装Java JDK的时候，可能需要手工方式进行下载，届时系统会给出详细的提示。  

 　　3. 将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。 

 　　4. 将webgoat.sh文件中的第17、19和23行中的“1.5”改为“1.6”。  

 　　5. 因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：    

 　(1).当作为root用户运行在80端口时，使用：

 　　sudo sh webgoat.sh start80       

    sudo sh webgoat.sh stop
 

 

　　(2). 当运行在8080端口时，使用：             

　　sh webgoat.sh start8080        

　　sh webgoat.sh stop

　　运行方法

　　1. 启动浏览器，并在地址栏输入http://localhost/WebGoat/attack，注意这里使用的大写的字母W和G。

　　2. 登录时，用户帐号使用guest，密码为guest。

PS：建议使用8080端口，以免冲突，如果安装后地址栏输入http://localhost/WebGoat/attack无法打开，可输入地址栏输入http://localhost/WebGoat/进行登录 会自行跳转

         WebGoat下载

WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序，旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的，因此可以安装到所有带有Java虚拟机的平台之上。此外，它还分别为Linux、OS X Tiger和Windows系统提供了安装程序。部署该程序后，用户就可以进入课程了，该程序会自动通过记分卡来跟踪用户的进展。当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效危险的HTML注释……等等！

　　我们希望通过WebGoat帮助测试人员掌握以下技能： 

　　◆理解web应用程序中的各种高级交互过程 

　　◆确定出有助于发动攻击的客户端可见数据 

　　◆识别和理解能将应用程序暴露在攻击之下的数据和用户交互 

　　◆对这些交互进行测试，并暴露出它们的漏洞 

　　◆攻击应用程序以演示和利用服务器的弱点

 　　对于WebGoat来说，它的安装过程就是下载和解压缩，然后就可以使用了。然而，一些用户可能更喜欢下载war文件。下面就所有的安装方式分别做详细的说明。

WebGoat下载地址: http://code.google.com/p/webgoat/downloads/list

织梦的管理员账号和密码保存于数据库表dede_admin里
密码乍一看以为是经过MD5加密的，但是奇怪的竟然有20位！
仔细分析下，原来密码经过MD5加密后为32为，去掉了前5位和后7位，所有就20位了.
那如何使用呢？
也很简单去除前3位和最后一位就是有效MD5密码了。
比如8f2531f09a5c31f529c4
化简后得531f09a5c31f529c
解密后为Sroan

Godaddy的空间支持压缩打包和解压缩。
今天我用winrar压缩后，花了10分钟时间压缩，上传到空间后，大概有100MB，但是无法解压缩，原来只支持格式zip，于是把RAR文件换成了zip，但还是无法解压缩，看来必须压缩的时候就是ZIP格式。于是又重新压缩，上传。幸好GODADDY速度还是很快的，平均上传速度有200多K。解压缩速度也很快，本地压缩需要10分钟，服务器上解压缩只需要1分钟。看来Godaddy的服务器还是很不错的。

1.为什么硬盘安装？

因为我比较灰主流。硬盘装速度太快了，十分钟不到就完了。磁盘都不转，一点发热量都没有，真没意思。唉……

2.需要准备什么？

2.1 ubuntu 的iso 。版本你自己选吧。我就用的9.04

2.2 在vista下建立好分区吧。至少两个空闲分区：一个挂载系统。另一个作为swap分区

2.3 从iso中提取到的 initrd.gz/vmlinuz文件

这个我要说明一下：在8.04版或者debian的硬盘安装中，这两个文件还要额外去下载。因为光盘里面的检索方式和磁盘检索不同

2.4 grldr：这个到grub4dos网站下载,下载最新版，解压后提取就行

2.5 ntldr：这个在那个啥，网站上自己去找吧。我也有，都传到这里（http://www.uushare.com/user/hadnt/file/2128846）了。

2.6 修改过的menu.lst / boot.ini 文件。

3. 具体安装过程

这个大家参见这两个地方

http://www.pcpop.com/doc/0/242/242833_1.shtml （直接看第三/四页就成）

http://hi.baidu.com/%C7%E5%B7%E7%EC%C5/blog/item/6365ffbe4285210219d81f2f.HTML

我就重点解释下对menu.lst 的改写：

------------------------------

title Install Ubuntu

root (hd0,0)

kernel (hd0,0)/vmlinuz boot=casper iso-scan/filename=/Ubuntu-9.04-desktop-i386.iso ro quiet

splash locale=zh_CN.UTF-8

initrd (hd0,0)/initrd.gz

----------------------------------

root(hd0,0) hd0 : 第一块磁盘 0:第一个分区 (活动的主分区)

iso-scan/filename=/Ubuntu-9.04-desktop-i386.iso 这个就是 iso-scan 命令，实际上你只要把iso放到一个NTFS目录，它就自己可以检索到这个iso。

假设你把2 中需要的文件都放到了D盘，那么，把(hd0,0) => (hd0,4)。 这个4你可以通过winfgrub 来查看，或者在你没有改过磁盘驱动器号的时候默认为 0-3为主分区，4为第一个逻辑分区。

就是说这些文件其实放哪里都无所谓，不过放到根目录下更方便一点而已

4. 安装遇到的问题

这个只有一个 ：

貌似是 /isodriver 正被其它程序占用，当时脑袋锈逗了，只想到是不是挂载的iso要卸载，于是

sudo umount /media/cdrom

提示：小样！压根还没有挂载呢

后来在论坛上看人提示才回过神来：

sudo umount /isodriver

5.安装之后的上网问题

厄，我都没解决，怎么告诉你啊？

等哥搞定了告诉你们。。。。。。

不过 flex021 这里做了个总结，适用于 whu 的锐捷上网：

http://bbs.whu.edu.cn/wForum/disparticle.php?boardName=Linux_Unix&ID=19833&pos=1