Follow me on GitHub

安全发表的日志

掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞

从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。

在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。

先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:

  1. 构造请求到关注接口;
  2. cookie中带有用户信息(用户已经登录)。

More >

我的云端路

不久前,Google Chrome OS上网本的推出造成了不小的轰动,虽然目前看来还是象征意义大于实际运用,但这至少说明“云”离我们越来越近,无论你愿不愿意,做没做好准备。

接触“云计算”这个词算是比较早了,07年初 ,寒假那段时间,没事就拿着手机看资讯,关注得比较多的是远景论坛和硅谷动力。那时候就觉得“云”这概念挺火,好多专门的板块,之后也陆陆续续有接触到一些相关信息,看着看着也就有了些自己的理解。

有这样一个比方,云计算的到来就好比是从古老的单台发电机模式转向了电厂集中供电的模式。通过集中化处理,产生更高的效率,同时保证灵活的通信。

个人认为目前能接触到的主要有云计算和云存储两个方面的服务。云计算就比如新浪微博开放平台More >

华为新员工入职时信息安全保密手册

一、新员工入职信息安全须知

新员工入职后,在信息安全方面有哪些注意事项?

接受“信息安全与保密意识”培训;
每年应至少参加一次信息安全网上考试;
办理员工卡;
签署劳动合同(含保密职责);
根据部门和岗位的需要签署保密协议。

员工入职后,需要办理员工卡,员工卡的意义和用途是什么?

工卡是公司员工的身份证明,所有进入华为公司的人员,在公司期间一律要正确佩戴相应的卡证。 工卡还有考勤、门禁验证等作用。 工卡不仅关系到公司形象及安全,还关系到员工本人的切身利益,一定要妥善保管。 More >

Tears

重返学校,给自己的电脑雷到

经历6个多小时火车上的颠簸加上一个多小时公交车的拥挤,Kainy终于是到了自己宿舍啦,本来这时候挤火车就又幸苦,自己的行李精简到只有一个包了,可人算不如天算,还是逃离不了手提电脑显示器的命运,同学从家里带台式机去学校,偏偏路上有与他们走散,提着19寸液晶显示器奔到5楼宿舍。

刚松一口气,就得收拾自己的床位啦,弄到电脑机箱时居然使得宿舍跳闸掉,扳起电闸,连电脑的排插居然“喷”地冒起了火花,着实吓了我一跳,本以为是擦柜子时候布没拎干 或是排插滴入水了,换过一个后,居然又是大团的火花,吓得Kainy和舍友们哇哇大叫,仔细一看才发现机箱的电源线给烧了个洞 。。。 估计是寒假回去前为图省事,没把电线收起,又怕灰尘,就把电线插头用塑料袋包起,然后里面潮气出不来,在插头缝隙里结成水,短路啦。。。  所以大家以后有封闭环境下长期未使用的电器拿出时千万别急着通电,通电前先透透气。。。

还有就是刚才本博客出现了短暂的无法访问现象,网页头部可以出来,网页内容却无法显示,可能是前天

转发:中共中央近日印发《中国共产党党员领导干部廉洁从政若干准则》

后被盯上了吧,嗨。。。 悲哀。

传百度收购雅虎,有图为证。

1 More >

safety

关于沙箱技术(沙盒技术)

今天在cnbeta上看到一篇文章说chrome所以是浏览器安全标准的原因中提到了“沙盒”这个东东,于是百度谷歌了些资料,归纳如下:

沙箱其实就是一个硬盘过滤文件驱动,具体来说,就是你把要写的东西写到了硬盘上,但实际上并没有写到硬盘,而是到了一个转存处,读取内容需要判断是沙箱开启之前就存在的内容还是开沙箱之后写入的内容,要分别从不同的地方读取内容,重启之后把转存的地方清零。

文件过滤的驱动编写和加载方法(网上找到的,关键词是bitmap):就是一小块一小块的扇区,bitmap每一位对应磁盘上的一个扇区,N位就有N个扇区,这个位如果为0,就认为这个扇区的数据没有被存储到其他地方,如果为1就是存到了其他地方,写的时候把bitmap置1,读的时候就从bitmap为1的扇区从转存的地方读回来,如果为0就还是从原设备读取数据,重启后bitmap恢复为全0。

沙盒的一个具体应用提到的是Google Native Client,下文介绍其设计思路: More >

移动设备浏览当前页