遠振資訊支援免費SSL

前陣子看到Google說會優先搜尋網站使用https://SSL加密傳輸,前幾天看到遠振資訊的虛擬主機在CPanel支援免費的SSL憑證功能”Let’s Encrypt SSL”。

操作的方式很簡單分享給大家,但如果有需要做進一步的金流服務。大家可以考慮付費的SSL憑證 🙂

CPanel頁面的安全有一個 Let’s Encrypt SSL

1456362301514

點入後,會看到區塊是 your domains with Let’s Encrypt certificates(也就是你已經使用SSL憑證的網域)以及Issue a new certificate(你要加入的網域)

1456362384414

從你要加密的網域名稱點選+Issue

1456362488385

他會問你其他的domain要不要加入,例如: 勾選 abc.com,他會問 www.abc.com要不要
確定後按issue

1456362537402

這樣就完成了!是不是很簡單

1456362697833

 

 

 

讓資料庫密碼加上鹽(Salt)值

以往許多人喜歡在資料庫的密碼欄使用明碼儲存,但站在資訊安全角度來說不是挺安全的,可以產生一個Salt值後,增加安全性。

// 隨機產生一組長度為10的Salt值
$salt = substr(md5(uniqid(rand(), true)), 0, 10);
// 存入資料庫的密碼欄,使用Salt值加上md5雜湊後存回資料庫
$new_password =  md5(md5($old_password.$salt));

使用者登入後,先從資料庫讀出salt值,接著再一樣加上salt值加上md5後比對就可以了!

php4fun找出PHP漏洞小遊戲

php4fun是一個很好玩的PHP資訊安全小測試的網站,提供8道不同的題目,您要從出現的訊息以及原始碼中找到漏洞進而解答取得目標。

以第一題為例,頁面上出現Invalid password!。

看一下原始碼


<!--
#GOAL: get password from admin;
error_reporting(0);
require 'db.inc.php';

function clean($str){
	if(get_magic_quotes_gpc()){
		$str=stripslashes($str);
	}
	return htmlentities($str, ENT_QUOTES);
}

$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);

$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
	die('Invalid password!');
}

$row = mysql_fetch_assoc($result);

echo "Hello ".$row['name']."</br>";
echo "Your password is:".$row['pass']."</br>";
-->
Invalid password!

了解是要取得admin…..接下來就要思考透過sql injection的技巧去解題了。
php4fun

http://php4fun.sinaapp.com/

Firefox網路安全測試必裝的幾個插件

FoxyProxy Standard https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/

Firebug https://addons.mozilla.org/en-US/firefox/addon/firebug/

Web Developer https://addons.mozilla.org/de/firefox/addon/web-developer/

User Agent Switcher https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

Live HTTP Headers https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/

Tamper Data https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

Hackbar https://addons.mozilla.org/en-US/firefox/addon/hackbar/

WebSecurity https://addons.mozilla.org/en-us/firefox/addon/websecurify/

xAdd N Edit Cookies https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/

XSS Me https://addons.mozilla.org/en-us/firefox/addon/xss-me/

SQL Inject Me https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/

FlagFox https://addons.mozilla.org/en-us/firefox/addon/flagfox/

CrytoFox https://addons.mozilla.org/en-US/firefox/addon/cryptofox/

xAccess Me https://addons.mozilla.org/en-US/firefox/addon/access-me/

 

 

WordPress出現:暫時因例行維護而無法存取。請稍後再來

晚上在進行外掛升級時,因為還沒升級完成就按關閉,出現[暫時因例行維護而無法存取。請稍後再來。]

maintain

 

原因是在做升級或維護時,在根目錄會出現 .maintenance的檔案,系統在看到有這個檔案出現的狀況下,就會顯示訊息。

解決的方法:

  • 等幾分鐘,系統會從維護狀態轉一般狀態
  • 直接到根目錄把.maintenance砍掉

記得定時要備份檔案跟資料庫

您的密碼夠安全嗎?How Strong is Your Password?

隨著資訊越來越普及的關係,大家都習慣把資料放在網路上。像電子郵件、mail、通訊軟體等等,而這些服務都需要透過密碼認證才能進入,不過大家有思考您的密碼夠安全嗎?

password-checker

這是Intel公司的一個有趣服務,可以檢測一下您的密碼是否夠安全。

壽山為了驗證之前以注音符號打句子,但不切換成注音輸入的密碼。的確是易記又安全的方法!

例如:我愛豐原葫蘆墩(ji394z/m06cj6xj62jp)就要花1500823093年才能破解!

result