分类：安全漏洞

2017
10-13

Nginx不安全配置可能导致的安全漏洞

前言：Nginx (enginex)是一个高性能的http和反向服务器，也可以作为IMAP/POP3/SMTP服务器。tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上，针对大访问量网站的需求，添加了很多高级功能和特性。在渗透测试过程中发现很多网站使用了nginx或者tenginx来做反向代理，ningx的配置文件nginx.conf的一些错误配置可能引发一些安全漏洞。下面是总结的一些可能引发安全问题的错误配置，并且推荐了github... 继续阅读 >

2017
06-08

三个案例看Nginx配置安全

之前在Sec-News中推荐了一个开源程序https://github.com/yandex/gixy，作用是来检测Nginx配置文件中存在的问题。正好Pwnhub上周的比赛也出现了一道题，包含由Nginx配置错误导致的漏洞。所以我挑选我觉得比较有趣，而且很有可能犯错误的三个典型案例，来说说Nginx配置文件的安全。另外，本文所涉及的三个案例，均已上线到Vulhub（https://github.com/phith0n/vulhub/tree/master/nginx/insecure-configuration），阅... 继续阅读 >

2014
12-12

能存活19年的bug不是bug——有感于微软宣布修复了一个存在了19年的安全漏洞

近日，各大网站，包括新浪、腾讯、网易、搜狐都报道了一则关于微软宣布修复了一个存在了19年的安全漏洞的新闻，以腾讯科技为例，它的标题是《微软修复已存在19年的漏洞》。对于一个软件制造界外的人来说，这是一个大快人心的消息，就跟一个隐藏了19年的纳粹分子终于被抓住的新闻一样轰动。但以程序员为职业的我，听到这样一个消息，却有一种非常不解、甚至是荒谬、搞笑的感觉。从软件生产的角度讲，如果一个bug能存活19年，那... 继续阅读 >