WordPress 登陆保护

Web安全一直是一个很需要重视的问题。

一个网站,涉及到太多的技术:HTML、CSS、JavaScript、PHP、ASP、FTP、HTTP、SSL、SQL、Linux等等。从前端到后台甚至到服务器系统,每一个都很可能成为黑客攻击的途径。使用成熟的开源建站系统可以很大程度避免这方面的问题,毕竟成熟的开源系统经得起广大程序员的检验,并能以最快的速度处理反馈回来的BUG。例如本站使用的WordPress,发展到现在不知道已经经历了多少风雨的洗礼,系统越来越健全。在加上我对自己WP建站的经验还是有点自信的,做了一些防护措施,大部分攻击都是能扛下来的。

今晚在乌云上看到2014-01-25公开的WordPress暴力破解登陆的漏洞,在开放投稿注册并且后台支持用户名登陆的WordPress架构的网站上,在前台页面批量获取用户名,用弱口令字典暴力破解。一个Python脚本就可以搞定。

不禁觉得,如果没在WordPress原来的基础上做些设置和修改加强安全性的话,一有一个漏洞爆出来就容易跟着沦陷了。
Continue Reading…

CSS3 实用属性 @font-face, 字体完美主义者的福音

没有做过网页前端的人可能不知道,一个网页,在不同的系统,不同的浏览器下的显示效果有时可能是天差地别的!

照顾到各种系统,各种浏览器,各种访问环境,消除之间的不兼容,做到每个访客都能有一致的体验,是每一个前端工程师写前端代码过程中时时刻刻脑袋中盘旋的念头,同时也是这领域的一条铁令。

一般的兼容问题出在哪?
就我这两年来做前端的经验来看,其实也就是各浏览器对CSS属性的兼容程度不一样。当然有时候字体的问题也是使网页效果大相径庭的要素之一。

一个网页,一般只能显示电脑上已经有了的字体,不同的电脑上面装的字体一般是不一样的。例如已中文字体为例,XP时代系统自带宋体,Vista之后是默认微软雅黑。如果我们为网页设置字体为雅黑,那么XP用户访问的时候由于系统没有雅黑,所以会调用默认的宋体来显示,那这样就和我们的预期很不一样,效果也会大打折扣。

为了解决这个问题,一般前端工程师都会优先选用兼容性最好的字体,例如雅黑,我们称之为Web安全字体;然后针对宋体等字体进行细节优化。尽量让绝大部分访客能获得相对一致的体验。这一直以来都很折磨前端的伙伴。
Continue Reading…

URP 教务系统越权访问漏洞报告

前方高能预警!

这是一个URP教务系统漏洞报告。

觉悟不高的同学请自觉离开。

//正文的分隔符

缺陷编号: WooYun-2013-25424
漏洞标题: URP教务系统信息泄露漏洞–可查询学生的成绩和照片
相关厂商: 北京清元优软科技有限公司
漏洞作者: syjzwjj
提交时间: 2013-06-08 10:41
公开时间: 2013-07-23 10:42
漏洞类型: 未授权访问/权限绕过
危害等级: 中
自评Rank: 12
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org
Continue Reading…