最新消息:非无江海志,潇洒送日月

江海志的文章

系统安全

Intel SGX 新技术学习研究资料总结

1年前 (2018-03-03) 1124浏览 0评论

SGX是Intel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性,从SGX提出后,其吸引了一批系统和网络安全的研究者,NCCGroup的博客对SGX方面的资料进行了一个初步的总结,对研究者学习SGX技术具有很好的引导作用。这里主要根据该博文对SGX进行简单的整理。 目前并没有基于SGX的产品出现,不过学术界已经给出了一些应用来说...

HTTP/2之服务器推送(Server Push)实例分析
网络安全

HTTP/2之服务器推送(Server Push)实例分析

1年前 (2018-03-02) 781浏览 0评论

HTTP/1.X出色地满足互联网的普遍访问需求,但随着互联网的不断发展,其性能越来越成为瓶颈。IETF在2015年发布了HTTP/2标准, 着重于提高HTTP的访问体验, HTTP2优势主要包括: 二进制传输、头部压缩、多路复用和服务器推送(Server Push)。 截止目前, 大部分CDN厂商已经宣布支持HTTP/2,然而”支持”大多省略了服务器推送(ServerPush)...

IOS应用开发中的一些https注意事项
网络安全

IOS应用开发中的一些https注意事项

1年前 (2018-01-30) 1300浏览 0评论

苹果在 WWDC 2016 上宣布:2016 年底将要求所有 APP 适配苹果的 App Transport Security,简单地说就是除了特殊情况(浏览器、第三方服务、媒体)外,APP 跟服务端的通信必须使用 HTTPS 协议,否则 iOS 9 和 macOS 10.11 起,操作系统将有能力阻止所有的明文 HTTP 请求。在上面的 session 中,苹果还对具体的细节...

谷歌广告(Google AdSense/ AdWords)可能遭遇恶意利用
网络安全

谷歌广告(Google AdSense/ AdWords)可能遭遇恶意利用

1年前 (2018-01-29) 1165浏览 0评论

安全研究人员最近注意到大量的网站被莫名其妙地跳转到某几个特定的网站,经过调查,罪魁祸首居然是谷歌广告联盟(Google AdSense)。 上周末,我们注意到大量站长的网站都被跳转到了某个“杂志网站”,有些用户点击链接或者载入新网页时会被随机地跳转。这些用户都称,打开网页会显示个一两秒,然后就会跳转了。 lemode-mgz .com假冒“福布斯” 我们对这些网站进行了安全...

网络安全

Web前端之iframe详解以及相关的安全问题分析

1年前 (2018-01-29) 1038浏览 0评论

iframe基本内涵 通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。 <iframe src="demo_iframe_sandbox.htm"></iframe> 但是,有追求的我们,并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属性 iframe常用属性: 1.framebo...

网站开发者需要注意的几个热点安全问题
网站建设

网站开发者需要注意的几个热点安全问题

1年前 (2018-01-26) 1460浏览 0评论

下面一系列的漏洞都可以对网站造成威胁。有一些广为人知、攻击手段简单,所以很容易被利用来进行攻击。有一些漏洞需要特别关注,避免在你的站点出现。 1. SQL 注入 或许这是最知名的漏洞. 从根本上来说, 他允许网站攻击者注入 SQL 到你的代码中. 如果你的代码就想这样: $post_id = $_POST['post_id']; $sql = "DELETE FR...

Discuz面包屑导航去掉分区链接
网站建设

Discuz面包屑导航去掉分区链接

1年前 (2018-01-24) 1438浏览 0评论

Discuz X2论坛的面包屑导航是类似:首页>论坛>分区>版块>帖子这种形式,而分区链接对于我们来说用处不大,所以可以想去掉,这样权重集中到版块和首页上。 需要修改的地方有三个:主题列表页、帖子页面和发帖页面。 1.主题列表页:默认的主题列表页是 首页>论坛>分区>版块,我们要修改为 首页>论坛>版块,并且将论坛的链接中...

权限控制:Roles Versus Groups
系统安全

权限控制:Roles Versus Groups

1年前 (2018-01-23) 1082浏览 0评论

Author: Ravi Sandhu The question of what is different between roles and groups inevitably arises. Attendees at the workshop felt that if this workshop can settle this issue, that al...

Heap Spray原理浅析
编程开发

Heap Spray原理浅析

2年前 (2017-10-15) 1004浏览 0评论

Heap Spray定义基本描述 Heap Spray并没有一个官方的正式定义,毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在shellcode的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的...

编程开发

Heap spay 堆喷射 攻击研究

2年前 (2017-10-15) 1014浏览 0评论

浏览器是互联网世界最主要的软件之一,从IE6到IE11安全攻防在不断升级,防御措施的实施促使堆喷射技巧不断变化。写这篇博文想好好整理并实践一下这些年的堆喷射技巧。   文章主要参考《灰帽黑客》,近几年的安全大会的一些演说,一些安全团队的blog,当然由于水平有限,如有错误,欢迎指教。   1.Windows XP下的IE6和IE7的堆喷射都是老生常谈了,最直接继承了Skylin...

linux利用cron脚本来定时执行任务方法
编程开发

linux利用cron脚本来定时执行任务方法

2年前 (2017-09-23) 1139浏览 0评论

Linux中,周期执行的任务一般由cron这个守护进程来处理。cron读取一个或多个配置文件,这些配置文件中包含了命令行及其调用时间。cron的配置文件称为“crontab”,是“cron table”的简写。 1. cron服务【Ubuntu环境】 查看cron状态 1 sudo  service cron status  开启cron ...