专注ACM/编程——关注我所喜欢的

好友J  17:30:29
又换国际版了
Quicl  17:30:34
??
Quicl  17:30:39
什么？？
好友J  17:30:43
你QQ版本
Quicl  17:30:46
恩
Quicl  17:30:57
TM 2009 容易奔溃
好友J  17:31:01
走向世界
Quicl  17:33:31
Gtalk才算 走向世界
Quicl  17:33:38
只不过认识的人中 用的不多
好友J  17:33:45
msn不算么
Quicl  17:33:51
且 Gtalk 聊天内容不加密 不安全 ……
好友J  17:34:12
哪个安全
Quicl  17:34:33
QQ
好友J  17:34:44
QQ反而安全？
Quicl  17:34:47
QQ在全球来说 都是安全做的很好的
Quicl  17:34:52
本来啊
Quicl  17:34:59
都是用户自己的毛病造成的不安全
好友J  17:35:12
哎~~~无所谓
Quicl  17:35:30
因为MSN用的人 学历比较高 互联网安全保护意识 比较强
好友J  17:35:38
原来如此
Quicl  17:35:49
所以造成了 MSN 以及Gtalk 比QQ 更加安全的 假象
好友J  17:36:01
我一直这样认为的
Quicl  17:36:03
实际上 国外 懂点技术的 不用 MSN之类的 ……
Quicl  17:36:17
都自建ICR聊天室 聊天 ……
好友J  17:36:26
高级
Quicl  17:36:47
恩 这是最安全的民用通讯手段之一
Quicl  17:37:05
客户端的安全与否在于个人
Quicl  17:37:21
数据传输 这个 QQ绝对在全球顶级的厂商之列
好友J  17:37:31
以后进腾讯！
Quicl  17:37:38
虽然他的安全都是高价购买国外顶级安全公司的技术

昨日在 德国VPS架设VPN小记 中我说过，Winson赠送的VPS。不过目前来看，用这个德国的VPS这个做VPN并不是一个明智的选择。试着PING了一下，PING高达500MS …… Fainting，我还是做个英文站吧。不过至此，我的VPN也算做好了，大家可以可以参考一下。下面过程在XenVPS的Debian6中通过验证：

wget http://xatu.com/pptpd_vpn_build.sh

sh pptpd_vpn_build.sh

好了，这是Quicl提供的傻瓜化的一键安装配置VPN哦！下面说说我建好后遇见的问题：

关于800错误：我的VPS地处德国柏林，所以PING值不好也就不足为怪了，所以800错误由于网络连通不畅造成的，和脚本无关；

关于无法验证密码：一定是你的密码没有输入好，记住通过这个脚本来实现的vpn默认账户名称quicl密码vpnok，记住！

好了大家的VPN架设成功了！

前日，Vpsroll.com的Winson组织了一次T楼送VPS的活动。从好友QQ群中得知这个消息后，参与了T楼活动。可是由于种种原因，我并没有清楚到Winson的温馨提示：“请在留言中写明QQ号码”……Quicl前天真的忘记写了，抱着试一试的态度参加的。结果，Winson通过各种方法把我的联系方式找到，给我发了领奖的消息。Winson，对不起啦~~我太粗心了

Winson这次派发的VPS有两个地方的，一个是美国，一个是德国。我得到的是德国VPS，使用默认的Debian5查看了一下该VPS的状况发现，呀！真的不赖的配置哦~~晒一晒： 阅读全文

Quicl’sBlog一直在关注着Wordpress的漏洞，并且通过网络搜集第一时间为广大Wordpress用户提供Wordpress漏洞。大家可以访问我的“电脑网络”——“无限相关”内容查找有关网络安全、Wordpress博客漏洞、Wordpress插件漏洞等信息哦。

漏洞公告在这：www.securityfocus.com/archive/1/521359/30/60/threaded
Trustwave发布的，北京知道创宇的官网也贴了个：https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt

20xue.com也第一时间发布了Wordpress漏洞信息：http://20xue.com/?p=2463

下面是北京治堵创宇的漏洞情报：看看最后官方的答复，认为可以忽略。Trust wave避轻就重，还赚了三个CVE，这些漏洞是有场景的：wp没安装过的情况下才可以。来一个个看下。
第一个：PHP Code Execution and Persistent Cross Site Scripting Vulnerabilities via ‘setup-config.php’ page
Trust wave说wp的安装脚本文件有安全风险，安装时可以使用攻击者自己的数据库，安装后登陆wp后台，主题编辑可以写任意PHP代码，然后远程命令执行就是这样来的。而XSS是攻击者通过修改自己数据库里的值（比如评论、文章等）为恶意的XSS脚本，然后用户访问wp就会中招。这个很好理解，只是满足这样攻击场景的太少了……所以这第一个CVE太忽悠。

第二个：Multiple Cross Site Scripting Vulnerabilities in ‘setup-config.php’ page
我写出了POC了，原理是北京知道创宇大牛以前发的一篇《基于CSRF的XSS攻击》，最新的还有效（官方应该不会发布补丁），只是这个场景和第一个一样少的可怜……不过Trust wave与wp官方的重点没放在这。

第三个：MySQL Server Username/Password Disclosure Vulnerability via ‘setup-config.php’ page
暴力破解，这个前提是不是“需要wp没安装过”，我不知道，没测试。有兴趣的同学自己研究。

这次的wp漏洞一点都不精彩，现在流行的还是wp的那些插件漏洞，比较生猛！顺便说了Knownsec Team会在最近发布一个wp xss 0day，影响所有版本，不过要等官方修补之后了。尽请关注我们的官方博客：blog.knownsec.com，新版即将上线！

上面是北京知道创宇公司大牛提供的漏洞情况，该公司的网站挂马检测不错哦。据资料显示，北京知道创宇是微软大陆的唯一安全合作伙伴……Quicl个人感觉非常牛X的说。Wordpress更多漏洞文章访问《WordPress爆出SQL注入漏洞 》和《树大招风—WordPress博客攻击》

Trustwave’s Spider Labs Security Advisory TWSL2012-002:
Multiple Vulnerabilities in WordPress

原文地址为http://xatu.me/wordpress-3-3-1-%E6%BC%8F%E6%B4%9E%E8%AF%A6%E7%BB%86%E4%BF%A1%E6%81%AF.html

Published: 1/24/12
Version: 1.0

Vendor: WordPress

Product: WordPress
Version affected: 3.3.1 and prior

阅读全文

WordPress 3.3.1最新0day漏洞今日首发，有北京知道创宇发布。该公司为国内顶尖的安全公司，为广大的网络安全爱好者以及Linux下的Web设计员提供比较好的待遇。WordPress3.3.1漏洞详情登陆xatu.me查看。

C与Windows驱动、内核编程、系统安全优秀书籍PDF资源下载由Quicl网络收集整理。仅供个人参考，如需使用请购买正版书籍。本资源如涉侵犯您的合法权益，请及时与Quicl沟通。

阅读全文

BitLocker从字面上就是每个比特都会被Lock！可见这东西强悍吧！

不过由于BitLocker每个bit都会加密，所以加密一个驱动器的时间非常的长……

举个例子，我的LOL都在200KB的速度下下完了，他还在40GB的空间商进行到60%

数据安全这个很不好说，甲乙都不好做。

许多朋友想买VPS，Quicl想说的是，VPS这种独立OS的如果自己配置不好会沦落为别人的肉鸡或者免费VPN的。

没有实力的话找个安全点的机房的提供商玩空间比较好。你可以搜一下Quicl 香港空间 ，我这里有许多的空间资料。

不推荐韩国的，因为中朝关系一旦紧张就容易被黑客DDOS或者其他的方式搞。香港就好多了，台湾就不怎么好了……

现在，万网都把IDC大批迁入香港了，你说香港能不好吗？且，好的香港主机限制主机中放入的违法数据，这样很容易的规避了竞争对手的不良工具了。OK，最后提醒Wordpress多国语言插件还有那个之前说过的一个插件有漏洞……大家能不用插件就不用吧，自己学学代码写些东西挺好的。

WordPress中的顶踩插件Comment rating插件有SQL注入漏洞，请各位及时停止使用Comment rating插件。如果不知道自己用了木有，请检查是否存在wp-content/plugins/comment-rating/ck-processkarma.php这个文件。有的话就删除了吧！许多朋友为了节省页面载入时间对于最近的Wordpress3.3不理睬，Quicl提醒由于3.3之前的程序已经出现许多0day，各位为了自己的博客安全还是更新一下吧。或者有能力的可以精简Jquery库使得3.3也可以迅速加载。博客，安全第一啊！这里是Quicl’sBlog http://20xue.com 为您提供的Wordpress安全咨询！