大型網站架構..net 架構師.rabbitMQ.redis.行動開發.APP開發教學.PHP Laravel開發..net core C# 開發.架構師之路.Delphi開發.資料庫程式.進銷存.餐飲POS系統
前陣子看到Google說會優先搜尋網站使用https://SSL加密傳輸,前幾天看到遠振資訊的虛擬主機在CPanel支援免費的SSL憑證功能”Let’s Encrypt SSL”。
操作的方式很簡單分享給大家,但如果有需要做進一步的金流服務。大家可以考慮付費的SSL憑證 🙂
CPanel頁面的安全有一個 Let’s Encrypt SSL
點入後,會看到區塊是 your domains with Let’s Encrypt certificates(也就是你已經使用SSL憑證的網域)以及Issue a new certificate(你要加入的網域)
從你要加密的網域名稱點選+Issue
他會問你其他的domain要不要加入,例如: 勾選 abc.com,他會問 www.abc.com要不要
確定後按issue
這樣就完成了!是不是很簡單
以往許多人喜歡在資料庫的密碼欄使用明碼儲存,但站在資訊安全角度來說不是挺安全的,可以產生一個Salt值後,增加安全性。
[php]
// 隨機產生一組長度為10的Salt值
$salt = substr(md5(uniqid(rand(), true)), 0, 10);
// 存入資料庫的密碼欄,使用Salt值加上md5雜湊後存回資料庫
$new_password = md5(md5($old_password.$salt));
[/php]
使用者登入後,先從資料庫讀出salt值,接著再一樣加上salt值加上md5後比對就可以了!
php4fun是一個很好玩的PHP資訊安全小測試的網站,提供8道不同的題目,您要從出現的訊息以及原始碼中找到漏洞進而解答取得目標。
以第一題為例,頁面上出現Invalid password!。
看一下原始碼
[html]
<!–
#GOAL: get password from admin;
error_reporting(0);
require ‘db.inc.php’;
function clean($str){
if(get_magic_quotes_gpc()){
$str=stripslashes($str);
}
return htmlentities($str, ENT_QUOTES);
}
$username = @clean((string)$_GET[‘username’]);
$password = @clean((string)$_GET[‘password’]);
$query=’SELECT * FROM users WHERE name=\”.$username.’\’ AND pass=\”.$password.’\’;’;
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
die(‘Invalid password!’);
}
$row = mysql_fetch_assoc($result);
echo "Hello ".$row[‘name’]."</br>";
echo "Your password is:".$row[‘pass’]."</br>";
–>
Invalid password!
[/html]
了解是要取得admin…..接下來就要思考透過sql injection的技巧去解題了。
php4fun
昨天 Inside 硬塞的網路趨勢觀察 發了一張照片,是目前當紅的八點檔天下女人心找了駭客進入鑑定中心的畫面被抓包。
其實可以直接進這個網站 http://hackertyper.com/ ,打開成全螢幕後。鍵盤隨便亂打旁人都可以讓您變超級駭客XD
打開終端機,輸入 sudo killall -HUP mDNSResponder 。
sudo指令需要輸入管理者密碼,記得管理者密碼不能空白,否則無法執行
FoxyProxy Standard https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/
Firebug https://addons.mozilla.org/en-US/firefox/addon/firebug/
Web Developer https://addons.mozilla.org/de/firefox/addon/web-developer/
User Agent Switcher https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/
Live HTTP Headers https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/
Tamper Data https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
Hackbar https://addons.mozilla.org/en-US/firefox/addon/hackbar/
WebSecurity https://addons.mozilla.org/en-us/firefox/addon/websecurify/
xAdd N Edit Cookies https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/
XSS Me https://addons.mozilla.org/en-us/firefox/addon/xss-me/
SQL Inject Me https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/
FlagFox https://addons.mozilla.org/en-us/firefox/addon/flagfox/
CrytoFox https://addons.mozilla.org/en-US/firefox/addon/cryptofox/
xAccess Me https://addons.mozilla.org/en-US/firefox/addon/access-me/
晚上在進行外掛升級時,因為還沒升級完成就按關閉,出現[暫時因例行維護而無法存取。請稍後再來。]
原因是在做升級或維護時,在根目錄會出現 .maintenance的檔案,系統在看到有這個檔案出現的狀況下,就會顯示訊息。
解決的方法:
記得定時要備份檔案跟資料庫
隨著資訊越來越普及的關係,大家都習慣把資料放在網路上。像電子郵件、mail、通訊軟體等等,而這些服務都需要透過密碼認證才能進入,不過大家有思考您的密碼夠安全嗎?
這是Intel公司的一個有趣服務,可以檢測一下您的密碼是否夠安全。
壽山為了驗證之前以注音符號打句子,但不切換成注音輸入的密碼。的確是易記又安全的方法!
例如:我愛豐原葫蘆墩(ji394z/m06cj6xj62jp)就要花1500823093年才能破解!
