德国VPS架设VPN小记(选择Debian德国源要注意)

前日,Vpsroll.com的Winson组织了一次T楼送VPS的活动。从好友QQ群中得知这个消息后,参与了T楼活动。可是由于种种原因,我并没有清楚到Winson的温馨提示:“请在留言中写明QQ号码”……Quicl前天真的忘记写了,抱着试一试的态度参加的。结果,Winson通过各种方法把我的联系方式找到,给我发了领奖的消息。Winson,对不起啦~~我太粗心了

Winson这次派发的VPS有两个地方的,一个是美国,一个是德国。我得到的是德国VPS,使用默认的Debian5查看了一下该VPS的状况发现,呀!真的不赖的配置哦~~晒一晒: Continue reading

WordPress 3.3.1漏洞说明文档

Quicl’sBlog一直在关注着Wordpress的漏洞,并且通过网络搜集第一时间为广大Wordpress用户提供Wordpress漏洞。大家可以访问我的“电脑网络”——“无限相关”内容查找有关网络安全、Wordpress博客漏洞、Wordpress插件漏洞等信息哦。

漏洞公告在这:www.securityfocus.com/archive/1/521359/30/60/threaded
Trustwave发布的,北京知道创宇的官网也贴了个:https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt

20xue.com也第一时间发布了Wordpress漏洞信息:http://20xue.com/?p=2463

下面是北京治堵创宇的漏洞情报:看看最后官方的答复,认为可以忽略。Trust wave避轻就重,还赚了三个CVE,这些漏洞是有场景的:wp没安装过的情况下才可以。来一个个看下。
第一个:PHP Code Execution and Persistent Cross Site Scripting Vulnerabilities via ‘setup-config.php’ page
Trust wave说wp的安装脚本文件有安全风险,安装时可以使用攻击者自己的数据库,安装后登陆wp后台,主题编辑可以写任意PHP代码,然后远程命令执行就是这样来的。而XSS是攻击者通过修改自己数据库里的值(比如评论、文章等)为恶意的XSS脚本,然后用户访问wp就会中招。这个很好理解,只是满足这样攻击场景的太少了……所以这第一个CVE太忽悠。

第二个:Multiple Cross Site Scripting Vulnerabilities in ‘setup-config.php’ page
我写出了POC了,原理是北京知道创宇大牛以前发的一篇《基于CSRF的XSS攻击》,最新的还有效(官方应该不会发布补丁),只是这个场景和第一个一样少的可怜……不过Trust wave与wp官方的重点没放在这。

第三个:MySQL Server Username/Password Disclosure Vulnerability via ‘setup-config.php’ page
暴力破解,这个前提是不是“需要wp没安装过”,我不知道,没测试。有兴趣的同学自己研究。

这次的wp漏洞一点都不精彩,现在流行的还是wp的那些插件漏洞,比较生猛!顺便说了Knownsec Team会在最近发布一个wp xss 0day,影响所有版本,不过要等官方修补之后了。尽请关注我们的官方博客:blog.knownsec.com,新版即将上线!

上面是北京知道创宇公司大牛提供的漏洞情况,该公司的网站挂马检测不错哦。据资料显示,北京知道创宇是微软大陆的唯一安全合作伙伴……Quicl个人感觉非常牛X的说。Wordpress更多漏洞文章访问WordPress爆出SQL注入漏洞 》和《树大招风—WordPress博客攻击》

WordPress 3.3.1 漏洞详细信息

Trustwave’s Spider Labs Security Advisory TWSL2012-002:
Multiple Vulnerabilities in WordPress

原文地址为http://xatu.me/wordpress-3-3-1-%E6%BC%8F%E6%B4%9E%E8%AF%A6%E7%BB%86%E4%BF%A1%E6%81%AF.html

Published: 1/24/12
Version: 1.0

Vendor: WordPress

Product: WordPress
Version affected: 3.3.1 and prior

Continue reading

C与Windows驱动、内核编程、系统安全优秀书籍PDF下载

C与Windows驱动、内核编程、系统安全优秀书籍PDF资源下载由Quicl网络收集整理。仅供个人参考,如需使用请购买正版书籍。本资源如涉侵犯您的合法权益,请及时与Quicl沟通。

Continue reading