(险些有没有蹭上这个热点,如果你不想听我废话,请直接拉到文章最后查看) …[阅读更多]
我眼中的微信应用号:享受流量红利,未来发展可期(一)
早在2016年1月张小龙在“微信公开课”上表示要推出应用号,让开…[阅读更多]
【紧急插播】如何在支付宝收费省钱买冰棍
就在昨天,支付宝突然宣布从2016年10月12日起,对个人用户超出免费额度(初始额度20000元…[阅读更多]
聊聊让浏览器爆炸的十二行代码
前两天,…[阅读更多]
最近互联网上发生的一些断网事件所想到的
前段时间的养猪场产品全线瘫痪,据说是线缆被挖; 昨天花钱宝大面积瘫痪,据说因为杭州萧山的一根光缆被挖断了; 今天上午携程的服务器被一边上传一边物理删除的渣都不剩; 下午艺龙、途牛、去哪儿同时遭到黑客DDoS攻击…… 这不,刚刚又听说知乎客户端、蓝翔官网都出了问题。 其实很多问题,比如线缆被挖断,这些事情不可控但又似乎又是可控的。多做几个不同方向的ISP备份链路似乎就可以避免。 但是透过现象看本质,目前很多公司都把资源向产品一线倾斜,忽略或者很少向安全领域倾斜。造成出现问题后不能及时处理。 另外对于一个互联网公司来说,严格的备份和恢复流程及权限似乎也是必须的。有消息说这次携程的问题就是因为携程的攻城狮们在处理乌云最近公布的一个关于携程的漏洞时某小哥误删根目录下某文件所出现的诡异事件(线上数据全部被删,再次发布依旧被删。现在我好想知道这个技术人员是谁~会火)
灾难级漏洞预警:不小心被开启的上帝模式
通常来说银行的安全控件是保护电脑的,但这一次它给大家带来灾难性的安全问题(WooYun-2015-096339)。 它做了什么 在 IE 中,有一个「safe mode」,默认配置下它一定是开启状态的,但你装了某些银行的控件后他们会把它关闭,目的是为了用户体验,这么做之后你使用网银时就不再需要再确认加载控件了,更重要的是,这个操作是永久的。 这让我想起 14 年的一个漏洞,通杀 IE 3 - 11: 1.获取一个 VBScript 函数的内存地址。 2.通过上一步得到的地址使用第一个漏洞算出「safe mode」的地址。 3.再使用第二个漏洞将「safe mode」设置为 0,开启「上帝模式」。 现在,银行的「安全控件」相当于帮黑客做了这些事。 开启上帝模式后,你浏览器到攻击者的网页时,它可以直接在你的电脑上做任何操作。比如,在电脑上静默下载一个 .exe 然后安装,安装了 .exe 就什么都能干了。 有关「信任域」 严谨来说这个安全问题的还需要一个信任域站点的 XSS(网页内容注入) ,但相比IE漏洞成本是非常的小。 你装上一些 IE 控件后他们通常会把自己的站点添加到 IE 的信任域内,你现在打开 「IE -> 菜单栏 -> 工具 -> Internet 选项 -> 受信任站点 -> 站点」应该是能看到支付宝以及一些银行相关的站点,这些就是「信任域」了,这里面的站点任意一个页面内容可被控制被可能被黑客利用。 漏洞演示 工行控件漏洞演示 http://v.youku.com/v_show/id_XOTA2Njc1ODA4.html (by @童斐 ) 影响范围 浏览器:IE (无版本限制) 银行控件:工商银行 / 建设银行 / 交通银行 / 华夏银行 (持续更新) 修复方式 检测脚本和补丁:fix.js(下载后双击运行) 手动修复: IE -> 菜单栏 -> 工具 -> Internet 选项 -> 受信任站点 -> 点击「默认级别」-> 点击「应用」
免费领取阿里云58-88元开门红包/代金券,全场通用
阿里云是国内云服务器第一品牌,使用支付宝账号登陆可直接验证实名信息。 马云家的力度还是相当大的,3月3日--3月15日,进入活动页面可免费领取阿里云开年红包, 要求是实名认证的账号,用支付宝的账号登陆直接就可以了, 代金券/红包有效期至3月底。 58元可以购买一台国内低配的云服务器。 地址: 戳它
知名杀软Avast被关键字屏蔽
知名免费杀毒软件Avast的域名被关键字屏蔽…[阅读更多]
微软将直播3月2日 MWC 2015 发布会
微软官方已经放出 MWC 2015 微软发…[阅读更多]