Articles tagged with security


  1. 谈智能路由器以及网络安全

    TL; DR 请自行分辨智能路由器的功能与可能引入的安全威胁,并慎重考虑这种设备的应用。

    声明: 本文作者与提到的品牌间没有利益关系。作者仅以网络安全研究人员的身份从技术角度对所提到的产品进行分析。

    最近,市面上出现了一种『智能路由器』。然而,这种智能路由器其实提高了终端用户的安全威胁,并引入了部分新的安全挑战。这类安全威胁主要是引入了第三方信任关系而导致的。

    首先,来纠正一处官方网站上的错误。根据其官方网站,这种路由器是『全球首款带操作系统的路由器』。这种说法,充分的暴露了此路由器生产厂商对于网络协议以及基础架构的不了解。稍微懂一些计算机的工程师便知道,操作系统本身的这个概念便是非常模糊的。但凡可以管理计算机硬件资源、协调用户态应用程序的计算机软件便可以称之为操作系统。从中国大陆市面上最常见的 TP-Link 路由器(至少是作者在国内的时候)到运行互联网核心业务的 Cisco 12000 系列路由器,操作系统也从 VxWorks 到 IOS,没有任何一个是没有操作系统的。

    根据其官方主页的指示,这种路由器有自动升级的功能。对于此类功能,常见的攻击有 DNS 投毒/劫持 DNS 后跳转其升级服务器到攻击者的服务器上,通过伪造升级包的方式发起的攻击。对于没有签名,或者使用弱签名手段的方式进行的签名 …

    More...


  2. BOFH

    一个 BOFH 劫持了 google analytics 的 DNS,在 ga.js 里插入了下面一句话:

    document.write('<iframe src="http://www.renren.com/Logout.do" width="0px" height="0px" border=0 style="display:none;">');
    

    于是,整个网络里的校内就经常被登出了。

    More...


  3. 抓恶意爬虫以及防止恶意爬虫的一点想法

    爬虫很讨厌。

    为什么这么讨厌爬虫呢?是因为这玩意儿会让我的缓存全部失效。你想,平时大部分用户都是访问网站首页的几篇文章而已,突然来个爬虫,爬掉你的整个网站。例如爱范儿,几千篇文章,一篇一篇的爬下去,吃 CPU 不说,爬到后面,缓存干脆命中不到,只好去查询 MySQL,查询是要费时间的,也是要跑 TCP 的, overhead 很大的亲。如果爬的频率一高,机器说不定就会宕机了。

    为了防止爬虫,我的工作也没少做。一是按时分析 HTTP access log,看什么不正常的东西,二是看 collectd,看图形有什么不正常的,三就是封不对的 User-agent。下面是 nginx 封掉的一些讨厌的 bot:

    if ($http_user_agent ~ "Rome") {
        return 403;
    }
    if ($http_user_agent = "Mozilla/4 …

    More...


Page 1 / 1