安全

今天下班，突然看见同事小胖乐呵呵地手里拿着一张“盘”，我好奇地跑了过去，问他：“嘿，小胖，你不会又买**片了吧？！小心让你爸妈看见，有你好果子吃的！“结果他一脸坏笑地对我说：”傻猫（我的外号），我告诉你吧，提心吊胆看**片的日子将一去不复返了!“他接着得意洋洋地说道：”以前就算文件隐藏了，我爸妈还是能发现我下载的好东东，如今有了这玩意，再也不用为看**片发愁了！“我不管三七二十一趁他不注意抢过来一看封面上赫然印着几个大字：”山丽防水墙5..0最新版！”我喃喃道：“哥们行啊，连着最新的it产品你都知道。”他立马得意地对我说教道：“你out了，防水墙这玩意可是如今it界最流行的，尤其是山丽网安出品的防水墙5.0，更是行业王中王，虽然网上有单机版的但功能有限，想得到全功能的，得花不少米！”我疑惑地问道：“山丽，我家用的就是他们公司出品的杀毒软件安铁诺。可这个防水墙，兄弟我孤陋寡闻了，还望胖哥你多多赐教！”小胖他立马当起了老师：“不敢不敢听我细细道来。” “ 防火墙是阻挡外网的入侵，而防水墙则相反是不折不扣的内网安全警察，可以通过权限、各种文档加密解密方式对个人pc或公司电脑进行有效地监控保护，使你的资料绝对保密，别人连看都看不了（看到的会是乱码），山丽正式最早涉及内网安全领域的！如果你想更深入地了解防水墙的话，你可以登陆山丽官网查询！”“我靠，你不会要对你的电脑实施企业级的保护吧？”

2015年上半年， 网络安全 问题毫无疑问已经成为了互联网行业关注的重点。在短短一年多的时间里，网络安全问题就从隐患转而呈现出爆发之势，即使是网易、支付宝、携程这样的互联网行业巨头也仍然无法避免遭受损失，而对于中小企业，特别是创业公司，更是困难重重。 对于很多创业公司而言，安全问题基本无从谈起。主要有以下几点原因： 1、安全技能和安全团队缺失。企业新创，安全团队及安全技术支持的相关建设被远远的抛在了脑后； 2、企业安全意识薄弱，初生牛犊不怕虎； 3、安全资源投入不足，没"钱"咱不做安全； 4、安全建设切入点偏颇。下狠心投入了大量资金买了据说很NB的设备，结果却是完全不知道具体能干嘛； 而这些问题所导致的结果就是—— 黑客入侵如“探囊取物”。 2013年近70家新崛起网贷平台因为黑客事件倒闭。 2014年，超过160家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。 2014年3月,世界最大比特币交易平台, MT.Gox被盗75w的比特币 损失数亿,正式宣布倒闭. 2014年8月国内著名的山寨币交易所比特儿遭到攻击，被盗5000万个NXT(未来币), 交易亏损1000万元. 抛开这些血淋淋的案例，其背后涉及到的初创企业更是不计其数，关门倒闭也早已成为家常便饭。面对这些问题以及糟糕的现状，初创企业是否真的就只能任黑客“宰割”？ 作为国内知名安全厂商

#APP漏洞扫描用地址空间随机化 ## 前言 我们在前文 《APP漏洞扫描器之本地拒绝服务检测详解》 了解到阿里聚安全漏洞扫描器有一项静态分析加动态模糊测试的方法来检测的功能，并详细的介绍了它在针对本地拒绝服务的检测方法。 同时， 阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术 。如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛。 本文主要介绍该项技术的原理和扫描器的检测方法。由于PIE的实现细节较复杂，本文只是介绍了大致的原理。想深入了解细节的同学可以参看潘爱民老师的书籍《程序员的自我修养》。 ## PIE是什么 PIE(position-independent executable)是一种生成地址无关可执行程序的技术 。如果编译器在生成可执行程序的过程中使用了PIE，那么当可执行程序被加载到内存中时其加载地址存在不可预知性。 PIE还有个孪生兄弟PIC(position-independent code)。其作用和PIE相同，都是使被编译后的程序能够随机的加载到某个内存地址。区别在于PIC是在生成动态链接库时使用(Linux中的so)，PIE是在生成可执行文件时使用。 ## PIE的作用 #### 安全性 PIE可以提高缓冲区溢出攻击的门槛。它属于ASLR(Address space layout

###2016/07/01:要想限制容器里用户的权限，有两种方法： 让你在容器里做个凡人(这个方法对于有些需要root的容器是不适合的) 。 具体的就是，指定容器里用户的uid:gid，使得容器里压根不存在root用户。 $ docker run -it -u 1000:1000 ubuntu groups: cannot find name for group ID 1000 #这个错误没关系 I have no name!@fcaadb40ddd0:/$ id #执行id命令看看结果。 uid=1000 gid=1000 groups=1000 （这里的uid:gid和主机的不一样，具体的怎么关联的不太清楚。一般来说这个就足够了，但是也许会有什么应用需要root权限，这时就需要下一步要说的方法来限制权限了） 让你在容器里做玉皇大帝， 但是这个玉皇大帝和所有凡人，都只是被映射到茫茫宇宙中一片卑微甚至虚空的身份上 。 就算容器里有个孙悟空突破了限制做了玉皇大帝，那也翻不出如来佛的手掌。 具体的就是，把容器里的root等用户映射成主机那边的指定的一片uid:gid。 ###2017/01/20:忽然想起来看看，容器里以root运行的进程，在外面看来到底是什么？是一个进程。那是什么用户身份呢？也是root，只是capabilities受到很多限制，理论上依然危险。

距离XcodeGhost导致的严重安全问题被发现还不到一个星期，据观察，中招的App不管官方承没承认被感染，大部分都已最快速度更新了版本，但是，问题真的完结了吗？ 整个XcodeGhost事件，互联网圈一直争论不休，从最早的“到底谁中招”慢慢演变成“中招后到底有什么影响”，关于直接的安全问题很多大牛意见纷纷，有的极大低估这次事件威胁，当然也有尽力描述事情严重性的，例如腾讯与公众号“歪理邪说”的霍炬。在腾讯的分析里面，说到OpenUrl可以弹出一个带有固定电话号码的弹窗，上面有“拨打”和“取消”，这看似没有公害的漏洞其实暗藏危机，而“歪理邪说”的霍炬的更是从“墙”、信任和欺骗的角度描写此次事件，看完以后我只想用他的一句话表达我的心情：“ 千万不要低估安全问题能造成的后果，尤其是在中国特殊的网络环境下 ”。 事实上，形势确实依然严峻，就在今日凌晨3点，第一个发布XcodeGhost事件的“乌云网”再次发布了相关文章，文章标题就叫“你以为服务器关了这事就结束了？”。凌晨3点，再次发声，其中的深意与担忧不言于表，借用作者的原话来描述就是：“虽然XcodeGhost作者的服务器关闭了，但是受感染的app的行为还在，这些app依然孜孜不倦的向服务器（比如init.icloud-analysis.com，init.icloud-diagnostics.com等）发送着请求

本文目标： 大致了解 Java byte code 以及 Assembly. 简单概述如何反编译 Java Class 二进制文件的反编译 回答 “ 难道真的不能保护程序源码吗？ ” Java Byte Code： 使用命令 javap -c <ClassName> 来把 Java 源代码编译为 Java Byte Code 要编译 Java 源代码必须保证所在机器上有 JVM 环境 不同的操作系统必须安装相应的 JVM 环境 Java Byte Code的简单语法： iconst_0 : push 0 onto the stack istore_1: pop the top of the stack as variable 1 goto: jump to line iload_1: push variable 1 onto the stack bipush, ldc: push value onto stack if_icmplt: if 1 St item on stack > 2 nd jump to line Ifeq: if 1 st item on stack > 2 nd jump to line 更多语法请自己 Google. 反编译： 反编译通常执行编译器的相反动作 —---- 即把含有相对抽象的底层代码（通常指那些被设计用来给计算机读取的语言）转化为高级语言代码

无论你准备何时跳槽，开始你下一段职业生涯，你在准备面试时可能经常会犯的10个错误，犯没犯过，只有自己知道！ 1.只在电脑上练习 如果面试官要考核你的技术，很有可能会要求你在白板上写代码，而不是电脑上。所以，你就不能只在电脑上练习。电脑上的编译器会自动发现你的语法错误，但是白板不会。 拿出笔和纸来练习下如何写代码。如果你自我检查之后，觉得程序正确，再将它们输入到电脑里，看看是否和原先设想的一样。 2.不为可能提出的问题做准备 面试之前一定要为可能提出的问题做准备。问题可能涉及你曾经的项目，你遇到的不同问题以及如何解决这些难题。你的回答会影响面试官对你的技术能力的印象。 在面试之前先好好回顾自己做过的项目，将自己的主要事迹整理一下。 3.不做模拟面试 原因显而易见。我们最好能排练一下在面试的时候会问哪些问题。还有，在正式面试时，虽然面试官会向你提问，但是同时，你也可以向他们提出问题，所以你要问哪些问题一定要事先准备好。这篇文章 五个程序员求职者的最佳提问 中可以帮你找到合适的问题。 4.一味地背诵解决方案 如果你准备事先记住问题答案期待到时候能派上用场，那我劝你别瞎子点灯——白费蜡了。因为刚好抽到你背的那个答案的概率微乎其微。 相反，准备方案还需要花费你很多时间和精力。Remember，你现场发挥得越好，你本身的价值就越高。 5.说话声音小 一般而言，说话声音小会让人感觉你的思路不清晰

3 月，跳不动了？>>> eBay CEO作序推荐《web商务安全设计与开发宝典》：对称加密系统 使 用密码的目的是防止信息在传输和存储过程中被除目标接受者以外的任何人读取和理解。理想情况下，未经授权的个人永远都不能对一个加密信息进行解密。实际 上，读取加密通信只是一个时间函数，但未经授权的个人破解一个加密信息需要付出相当大的努力，花费大量的时间，所以不太切合实际。等到他破解了该消息的时 候，这个消息所包含的信息可能已没什么价值了。 使用密码可以实现机密性、完整性、身份验证和不可抵赖性。在不可抵赖中，发送者不能否认发送或者签发过带有数字签名的文件。不可抵赖能够证明某人发送或者签署过数字文件。 加密技术主要有两种，对称密钥(密钥或者私用密钥)加密和非对称密钥(公钥)加密。在对称密钥加密中，接收者和发送者共享一个共同密钥。在非对称密钥加密 中，发送者和接收者各持一个私用密钥和一个公开密钥，私用密钥他们各自私自保存，公开密钥公开放置，供想与他们通信的人使用。公开密钥和私用密钥有数学关 系，理想情况下，拥有公开密钥的人不能导出私用密钥。由于非对称密钥加密中涉及大量的计算，所以对称密钥加密系统往往比非对称密钥加密系统运行得快。 流 密码和分组密码是构成对称加密系统的两个主要类型的算法。流密码使用一个单一密钥K来加密一个明文消息M，后者是一串按顺序被处理的串行数据串。这个消息

3 月，跳不动了？>>> 大家在使用MongoDB的时候有没有碰到过性能问题呢？这里总结了MongoDB性能优化的五个步骤，希望能够有所帮助。 第一步：找出慢语句 一般来说查询语句太慢和性能问题瓶颈有着直接的关系，所以可以用MongoDB的性能分析工具来找出这些慢语句： db.setProfilingLevel(1, 100); 第二步：使用explain分析 通过使用explain来对这些慢语句进行诊断。此外还可以mtools来分析日志。 第三步：创建索引 分析完之后需要创建新的索引(index)来提升查询的性能。别忘了在MondoDB中可以在 后台创建索引 以避免collections 锁和系统崩溃。 第四步：使用稀疏索引来减少空间占用 如果使用sparse documents，并重度使用关键字$exists，可以使用 sparse indexes 来减少空间占用提升查询的性能。 第五步：读写分离 如果读写都在主节点的话，从节点就一直处在空置状态，这是一种浪费。对于报表或者搜索这种读操作来说完全可以在从节点实现，因此要做的是在connection string中设置成secondarypreferred。 小结 这些方法虽然能够起一定的作用，但最主要的目的还是为架构上的提升争取点时间罢了。 来源： oschina 链接： https://my.oschina.net/u

3 月，跳不动了？>>> 【编者按】本文最早发布于 SecureMac 博客，主要介绍网络浏览器存储了哪些用户数据，这些数据对用户的隐私有何影响。文章系国内 ITOM 管理平台 OneAPM 编译呈现。 随着我们一步步地探入充满摄像头的世界(还有谷歌眼镜)，隐私问题继续升级。此外，红灯摄像机和带有GPS功能手机的出现，开启了一个新的时代：我们在公共场合的一举一动都可能被追踪，而这并不是唯一需要担心的事情；我们还要考虑每次上网时留下的数字痕迹，无论是在家或在办公室。 但是，浏览器究竟知道我们的哪些信息呢？电脑里的互联网文件有什么意义？我们应该担心吗？为了回答这些问题，我们需要了解电脑里的网页浏览器文件内存储的隐私信息的本质，以及对于某些不法分子，这些信息是如何获取的。 ##互联网数据和临时文件 你可能听说过网络临时文件——在你上网后留下的数据痕迹。电脑上到处都是这类文件，它们包含着你的网络浏览习惯，占据着宝贵的硬盘空间。 我们每次访问一个网页，具体的数据就存储在我们的硬盘上。其目的是，当我们下次再访问时，网络可以立即加载，因为电脑已经存储了大部分网站内容。 ##信息存储快速概述 因此，网页浏览器知道你浏览过哪些网站(你可以在浏览器的历史页面中看到)。还有什么？其他信息可能包括： 你的地理位置 定期访问网站的书签 购物车信息 下载的文件 图片和视频内容 最近的互联网搜索 登录名和密码