我们知道“ldd”这个命令主要是被程序员或是管理员用来查看可执行文件所依赖的动态链接库的.是的,这就是这个命令的用处.可是,这个命令比你想像的要危险得多,也许很多黑客通过ldd的安全问题来攻击你的服务器.其实,ldd的安全问题存在很长的时间了,但居然没有被官方文档所记录来下,这听上去更加难以理解了.怎么?是不是听起来有点不可思议?下面,让我为你细细道来. 首先,我们先来了解一下,我们怎么来使用ldd的,请你看一下下面的几个命令: 1 2 3 4 5 6 7 8 9 10 11 12 13 14…

我们知道“ldd”这个命令主要是被程序员或是管理员用来查看可执行文件所依赖的动态链接库的.是的,这就是这个命令的用处.可是,这个命令比你想像的要危险得多,也许很多黑客通过ldd的安全问题来攻击你的服务器.其实,ldd的安全问题存在很长的时间了,但居然没有被官方文档所记录来下,这听上 去更加难以理解了.怎么?是不是听起来有点不可思议?下面,让我为你细细道来. 首先,我们先来了解一下,我们怎么来使用ldd的,请你看一下下面的几个命令: 1 2 3 4 5 6 7 8 9 10 11 12 13 14…

写一个cordova插件 之前由javaWeb转html5开发,由于面临新技术,遂在适应的过程中极为挣扎,不过还好~,这个过程也极为短暂:现如今面临一些较为复杂的需求还会有一丝丝头痛,却没有一开始那么强烈了... 在正式写下文之前,我先感谢公司大boss:王总,感谢他让我进入了一个有挑战性的技术公司 并在这个过程中一直鼓励我不断汲取新技术,同时也指正了我在开发中的一些不太好的习惯,十分感谢! 再~,感谢在开发中给予我太多帮助的杜勇以及孙金~,不论是需求讨论还是具体开发阶段都会给予一些十分有用的思…

签名和权限的作用 Android签名中使用到的一些加密技术有: 公/私钥, SHA1(CERT.SF,MANIFEST.MF), RSA(CERT.RSA), 消息摘要, 移动平台中的主流签名作用: Android平台中是使用自签名 自签名,证书的签名者和证书拥有者是同一人. 自签名的完整性认证 自签名是没有信任模式的,因为自签名信息是自己的,对无法知道该信息是不是安全,我们只能对其的完整性进行认证. 限制安装和运行 下面是限制应用安装和运行的流程 应用安装时 校验是否含签名 –> 没有,禁止安…

本文主要翻译自Security Code Scan的官方Github文档,结合自己的初步使用简单介绍一下这款工具,大家可以结合自己团队的情况参考使用.此外,对.NET Core开发团队来说,可以参考张队的<.NET Core 必备安全措施>看看可以使用哪些方法提高我们.NET Core应用程序的安全性,此文也算是对张队的那篇文章的一个补充.此外,本文不会介绍常见的Web攻击及其场景,有兴趣的园友可以读读参考书<白帽子讲Web安全>一书. 一.Why SCS? 最近公司官网被Goog…

后台权限和底层框架的改造终于完成了,小白也终于可以放下紧悬着的心,可以轻松一下了.这不他为了感谢老菜,又找老菜聊了起来. 小白:多谢老大的帮忙,系统终于改造完成了,可以好好放松一下了. 老菜:呵呵,对于后台管理系统功能,你觉得已经完工了吗?没有什么遗漏的吗? 小白:啊......权限管理完成后不就完了吗?还有功能要弄的吗? 老菜:如果光从使用角度来说,也可能说完成了,但还有一些细节还需要处理的,比如说日志和异常. 小白:前面不是做过日志处理了,将所有的异常都自动写到日志中,方便开发人员分析查看,…

给Ionic写一个cordova(PhoneGap)插件 之前由javaWeb转html5开发,由于面临新技术,遂在适应的过程中极为挣扎,不过还好~,这个过程也极为短暂:现如今面临一些较为复杂的需求还会有一丝丝头痛,却没有一开始那么强烈了... 在正式写下文之前,我先感谢公司大boss:王总,感谢他让我进入了一个有挑战性的技术公司 并在这个过程中一直鼓励我不断汲取新技术,同时也指正了我在开发中的一些不太好的习惯,十分感谢! 再~,感谢在开发中给予我太多帮助的杜勇以及孙金~,不论是需求讨论还是具体…

最近做一个可执行shell调度的需求,要求用户输入shell,然后后台定时调度运行.实现大致为:保存用户的输入,设定时间,crontab定时执行用户的输入.但这里涉及到一个安全问题,如何确定用户的输入是安全的? 最初的想法是过滤危险命令,比如rm -rf /之类的.后来,索性把用户的命令丢到一个特殊文件内,以一个权限很小的用户去执行用户命令就好了. 于是写好的脚本大致如下 sudo runuser -l etl_shell -m -c " function make_dir(){ local d…

最近跟编译工具干上了,可能是问题积累集中爆发的结果. 今天对 ld-linux.so.x 有很大兴趣,想对它多些了解,遂百度之.发现了指令 ldd. 关于 ldd 其实 ldd 是一个脚本,并不是一个二进制文件. 它的原理很简单:当环境变量 LD_TRACE_LOADED_OBJECTS 不为空时,只显示依赖关系,不执行程序.我们可以手动试试. ldd 开启了一个独立的运行空间,设置了环境变量,然后执行程序,把执行的结果返回. 其他的变量(和值)分别对应一些选项: -d, --data-relo…

前言 PHP是一种通用的开源脚本语言,它的语法混合了C,Java,以及Perl等优秀语言的语法.除此之外,它还提供了大量的函数库可供开发人员使用.但是,如果使用不当,PHP也会给应用程序带来非常大的安全风险. 在这篇文章中,我们将会对PHP应用程序中经常会出现的一些问题进行深入地分析,尤其是当我们使用“==”(比较运算符)来进行字符串比较时,可能会出现的一些安全问题.虽然近期有很多文章都围绕着这一话题进行过一些探讨,但我决定从“黑盒测试”的角度出发,讨论一下如何利用这个问题来对目标进行渗透和攻击…