微軟 IIS 6.0 發現 HTTP.sys (作業系統核心漏洞,可引發 DoS 攻擊),漏洞編號CVE-2015-1635,也是美國漏洞資料庫(NVD)評分為10分、風險最高的漏洞之一,與先前的 Heartbleed 及 Shellshock 同級。
註:手上沒有 M$ 的 Server 可以測試,所以此篇純粹紀錄測試法,就不作驗證了
標籤: security
GitHub 遭受的 DDoS 攻擊紀錄 - 2015
GitHub 前幾天有發生掛掉的情況,沒想到居然是被 DDOS 攻擊打掛的,但是已經這種規模的網站,很難想像是如何打掛的,有文章說明囉~
官方新聞:
- Large Scale DDoS Attack on github.com
- The attack began around 2AM UTC on Thursday, March 26, and involves a wide combination of attack vectors.
- GitHub System Status
Apple 專案的保密工作是如何做的?
蘋果的保密是有名的嚴謹,連外包廠商都很難知道到底是要作什麼(雖然還是有很多消息洩漏),Apple 對保密工作都是怎麼做的呢?
Linux Glibc GHOST 漏洞偵測、修補 CVE-2015-0235
這次爆發出的漏洞,狀況有點麻煩,因為漏洞是在 Glibc Library,所以程式更新完後,還會需要整台重新開機才可以。
線上檢測 Android APK 的安全性
APK 檔案裡面有要求哪些授權? 有哪些可能有安全性的問題? 可以參考此網站, 將 APK 傳到此網站看看~
Norse - IPViking Live 即時觀看 全球網路的攻擊活動
網路主機的攻擊一直都是打個不停的狀態,這麼說很難感受到的話,看看這個網站呈現的動畫,應該就能感受到了~
查看個人資料是否有被外部網站洩露的網站 - Have I been pwned?
每次看到網站資料洩漏時, 就都需要抓一份來檢查, 看看自己的資料有沒有在洩漏名單裡面, 這個網站把這件事情做成服務囉~
註: 拿 Username 或 Email 搜尋, 他就會秀出是在哪次的洩漏清單裡面.
相關新聞可見下述:
- Troy Hunt: “Have I been pwned?” – now with RSS! - 這個服務有提供 RSS 可以訂閱囉~
- HIBP (Have I been pwned?) 有 RSS feed 可以訂了
Apache2 與 Nginx 移除 SSLv2、SSLv3 支援
SSL (v2、v3) 最近有些安全性問題產生, 建議 Web Server 和瀏覽器都不要支援 SSLv2 和 SSLv3, 那到底有何影響? 又該怎麼做呢?
Linux SSH 於信任網段 跳過 兩階段認證檢核
Linux SSH 加上 Google 的兩階段認證 可見此篇: Linux SSH 加上 Google 兩階段認證服務檢核
不過於 內部網路 或者 確定信任的網段, 希望可以忽略掉 兩階段認證的檢核, 要怎麼忽略此檢查?
Linux SSH 加上 Google 兩階段認證服務檢核
Linux 的 SSH (OpenSSH) 想要使用 Google 的兩階段認證來確保登入安全, 要如何設定?
- 註1: 登入時, 除了自己的密碼外, 另外需要輸入每分鐘會改變的驗證碼 (若有 Key 就不需要)
- 註2: 不知道兩階段認證是什麼, 可以參考此篇文章: 如何啟用 Google 兩階段驗證密碼 與 問題解決