- 博客(5)
- 资源 (1)
- 收藏
- 关注
原创 本周最大的狗血事件是升级openssl 0.9.8v然后又说这个版本没修复漏洞要升级到到到到0.9.8w.
尼玛这么多应用,这么多复杂的系统花好多时间才把所有服务器都升级到openddl0.9.8v,和各应用反复测试不同环境的升级方案,总算搞完了。突然突然突然突然...............说这个版本还是没修复漏洞,又通知要升级到0.9.8w,这是什么事啊,以后再也不相信别人的东西了,一定要自己POC测试一下。这种0day的漏洞,折腾死人。
2012-04-30 19:39:39 2204 1
原创 apache的用多个env作为或条件的配置
一个安全的项目中需要使用一个env 标记来把消息通过log发送到接受者去处理。但是这个log已经被应用方增加了env的条件。那么两个env条件下都进行log如何配置呢?查看apache文档,并没有说明可以支持两个env条件的说明。这个表达式也不知道如何写。env=abc or env=efg ?于是想了一个变通的方法:SetEnvIfNoCase towEnv "abc" env=abcSetEn
2012-04-26 15:47:20 3244
原创 druid发布0.2.1版,增加sql统计的merge功能。
1.增加sql统计的merge功能。 当配置druid.filters.mergeStat=com.alibaba.druid.filter.stat.MergeStatFilter属性时,可以自动把: SELECT * FROM t FROM id = 1; SELECT * FROM t FROM id = 2; ...
2012-04-17 15:51:59 2321
原创 druid发布0.2.1版,增加sql统计的merge功能。
1.增加sql统计的merge功能。 当配置druid.filters.mergeStat=com.alibaba.druid.filter.stat.MergeStatFilter属性时,可以自动把: SELECT * FROM t FROM id = 1; SELECT * FROM t FROM id = 2; 参数化为 select
2012-04-17 15:51:49 6309
原创 hash collision攻击的延续
前段时间的hash collision导致拒绝服务的攻击,各种WEB容器都进行了修补。GET方法因为客房端和服务端本身的实现基本可以限制URL的长度而不至于产生大量key-value。 大多数http服务器和WEB容器都是判断POST数据中参数个数,如x-www-form-urlencoded时判断&的个数,multipart时判断boundary的个数,超过一定个数即认为是攻击。但是只要应用端使
2012-04-10 16:06:55 2436
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人