Monthly Archives: April 2010

Apache基金会被攻击,密码遭窃

首先见到这个消息是来自于朋友的网站开源中国社区,然后顺着消息的来源,找到了apache官方发言,这是一起典型的XSS跨站攻击(不清楚的同学可以google一下什么是XSS跨站攻击),整个过程apache官方描述得很清楚,最有趣的是,apache描述那家叫做http://www.slicehost.com虚拟主机的公司, Unfortunately, SliceHost did nothing and 2 days later, the very same virtual host (slice) attacked Atlassian directly. 难道这是虚拟主机商的通病?个人在这里只是总结一下前辈们的经验。 1.input is a devil (一位资深的安全专家感言)。 特别是互联网上,对于所有来自于用户的输入,都应该先把用户想象成黑客,而不是你认为的忠实用户。 2.密码的复杂度,和密码修改的策略。 没有破解不了的密码,只是时间问题。 3.计算机服务应该尽量保证独立。 这就是虚拟机,虚拟服务等虚拟概念大行其道的原因。 4.如果家里放了贵重的东西,那么出门前请锁好门,花点钱买一条好警犬,这样还不够,在家里装上监视器。 5.计算机真正最大的安全问题,来自于内部(一位资深的安全专家感言)。 这条规则虽然和本文关系不大,但是个人深有体会,黑客要花1小时,1天甚至1年才能破解的密码,内部人员却只需要几秒钟就能将它泄漏。 小贴士:推荐一款安全监控软件fail2ban

Posted in Linux, Program | Comments Off on Apache基金会被攻击,密码遭窃