Tag Archives: 安全漏洞

29 heartbleed

用C语言写的程序不安全

关于C语言内存管理薄弱的问题几年前我们就讨论过。有人试图反驳,说现代各种操作系统或runtime平台的进步,对内存管理的风险提供了各种保护,比如地址空间随机化,还有各种诸如Valgrind这样的工具可以发现内存访问bug,大大削弱危险程度。我十分推荐大家重新阅读一下那次讨论。

Posted in 批评评论 | 11 Comments
8

Heartbleed 心脏出血

任何能上网的人都可以通过这个”心脏出血(Heartbleed)”bug读取你的服务器的内存信息——只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥,还会泄露用户的用户名和密码,以及用户正在使用的内容信息。

Posted in 新闻资讯 | Leave a comment
13 software_bug

事后诸葛亮:如何写出没有bug的软件

网上对苹果iOS7操作系统中最新暴露出的一个严重安全漏洞的讨论读起来十分有趣。是什么导致了这样一个弱者的bug?下面是网友们总结出的几个原因: 用C语言很难写出正确无误的程序,, 苹果公司的程序员不用心, 编码风格中允许忽略大括号, 苹果公司里没有正规的代码审查, 使用了goto语句….

Posted in 批评评论 | 3 Comments
153

实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站

前几天微软skype的官方博客网站被黑客突破,虽然很快进行了修复,但从网友截屏的图片来看,应该一些抗议美国国安局监听行为和反对微软在软件里隐藏后门的黑客所为。微软skype的官方博客使用的是Wordpress平台

Posted in 技术技巧 | 10 Comments
106

中间人攻击(man-in-the-middle attack):你和互联网中间的第三人

最近看到国外有一篇有趣的文章,是关于“中间人攻击(man-in-the-middle attack)”的,本想原文翻译,但里面有大量的政治敏感度内容,不宜在本网站公布,这里仅摘译出技术相关的部分内容,供大家探讨。大概是1月26号早上8点左右,在新浪微博和Twitter上相继有中国用户报告说在访问GitHub.com网站时出现无效SSL证书警告提示。后续不断的证据显示,这是由于受到“中间人攻击(man-in-the-middle attack)”造成的。

Posted in 技术技巧 | 26 Comments
76 oracle-hq

安全专家说:现在到了该彻底重写Java的时候了

一些成熟的产品,比如Java或Adobe公司的几款软件,在过去的很长的时间里已经被无数人的手动过。“这些产品变得如此庞大,被如此多的程序员 维护过,导致这些软件的出品人基本上对这些软件里应该有的东西失去了控制。”Botezatu说。

Posted in 批评评论 | 22 Comments

我是如何入侵一个银行并挣了40大元的

“你们的活做的的很差。这上面说发现了几个“严重”安全问题。怎么能会这样。我们是家银行呀!”John说——他是一家本地银行里负责安全的官员。我曾建议他扫描一下银行的网站,看有没有漏洞,以防万一,他扫描完后把我找来讨论报告里发现的问题。

Posted in 心得体会 | 3 Comments