OpenSSL

0x00 漏洞背景 2020年2月26日，360CERT监测到2020年2月11日Microsoft发布的Microsoft Exchange Server中的远程代码执行漏洞（CVE-2020-0688）漏洞细节已经在互联网公开。 0x01 风险等级 360CERT判断此次安全更新 评定方式 等级 威胁等级 严重 影响面 广泛 360CERT判断此次安全更新针对的漏洞影响范围广泛。建议广大用户及时安装Microsoft Exchange的补丁，以免遭受攻击。 0x02 漏洞详情 该漏洞是由于Exchange Control Panel(ECP)组件中使用了静态秘钥（ validationKey 和 decryptionKey ）所导致的。 所有Microsoft Exchange Server在安装后的 web.config 文件中都拥有相同的 validationKey 和 decryptionKey 。 这些密钥用于保证 ViewState 的安全性。 而 ViewState 是ASP.NET Web应用以序列化格式存储在客户机上的服务端数据。 客户端通过 __VIEWSTATE 请求参数将这些数据返回给服务器。 经过身份验证的攻击者可以从身份验证的 session 中收集 ViewStateUserKey ，并在登录请求的原始响应中获得 _

019.06最新windows7旗舰版系统激活码： 目前市面上的win7旗舰版激活码大部分都已经过期或失效了，下面来分享一些最新的。 win7旗舰版激活密钥： BG2KW-D62DF-P4HY6-6JDPD-DYK3W C7KYW-CBKVC-DPC82-7TPKD-Y8T2C GXRHM-CGB6Y-4WRD9-KFD7C-QXQ2B win7专业版激活密钥： YKHFT-KW986-GK4PY-FDWYH-7TP9 32KD2-K9CTF-M3DJT-4J3WC-733WD 74T2M-DKDBC-788W3-H689G-6P6GT GMJQF-JC7VC-76HMH-M4RKY-V4HX6 win7笔记本序列号： 1、戴尔 DELL 序列号： 342DG-6YJR8-X92GV-V7DCV-P4K27 2、联想 LENOVO 序列号： 22TKD-F8XX6-YG69F-9M66D-PMJBM 3、三星 SAMSUNG 序列号：49PB6-6BJ6Y-KHGCQ-7DDY6-TF7CD 4、宏基 ACER 序列号： YKHFT-KW986-GK4PY-FDWYH-7TP9F或FJGCP-4DFJD-GJY49-VJBQ7-HYRR2 win7激活方法： 1.计算机，右键鼠标，属性，查看自己的windows7版本信息。 2.在属性页面，拉到最下面，更改产品密钥

编者注 由于需要注重安全，则需要对关键信息进行加密，防止被窃取。 Dart 目录结构 ├── test │ ├── resources │ │ ├── rsa │ │ │ ├── private.pem │ │ │ └── public.pem │ │ └── static │ ├── rsaTest.dart 公钥私钥 首先计算机应当具有openssl，生成私钥文件 openssl genrsa -out private.pem 2048 根据私钥生成公钥 openssl rsa -in private.pem -pubout -out public.pem 单元测试 import 'dart:convert'; import 'dart:io'; import 'package:encrypt/encrypt.dart'; import 'package:encrypt/encrypt_io.dart'; import 'package:pointycastle/asymmetric/api.dart'; void main() async { final publicKey = await parseKeyFromFile<RSAPublicKey>('test/resources/rsa/public.pem'); final privKey = await

在设计用户注册登陆系统的时候，密码的安全传输一直是一个需要特别引起注意的地方，很多网站包括大型网站依然还是采用明文传输密码的方式，安全隐患需要注意。当然，为了防止第三人的恶意窃听，不少网站已经启用了HTTPS的加密传输。 那么，对于一些目前还不具备启用https加密传输的网站来说，飘易建议大家在前端采用js rsa加密，后端再采用PHP/JAVA进行RSA解密的方式保证密码的安全传输。 RSA是什么？ RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美国麻省理工学院）开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。目前该加密方式广泛用于网上银行、数字签名等场合。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。 JS前端RSA加密需要用到第三方的加密组件JSENCRYPT： https://github.com/travist/jsencrypt 具体的大家可以到github上看下。 在开始之前，我们先要使用OpenSSL生成一对公钥、私钥，为了方便讲述，飘易还是直接提供一对生成好的公钥、私钥，至于如何生成，网上资料很多了

上周我的自研开源项目开始破土动工了， 《开源项目迈出第一步，10 选 1？页面模板成了第一个绊脚石 》 ，密谋很久才付诸行动，做这个的初衷就是不想让自己太安稳， 技术这条路不进步就等于后退 ，必须要逼着自己学习。 项目偏向于技术实践，因此不会做太多的业务堆砌，业务代码还是在公司学习比较好。现在正在做技术的选型与储备，像比较主流的， 项目前后端分离 、 微服务 、 Springboot 、 Springcloud 等都会应用到项目中，其实很多技术我也不会，也是在反复的查阅资料求证，探索的过程技术提升真的要比工作中快很多，毕竟主动与被动学习是有本质区别的。 这几天打算先把项目的前后端分离架构搭建完成，既然是前后端分离项目就免不了做鉴权， 所以 oauth2.0 是一个我们不得不了解的知识点。 一、OAuth2.0 为何物 OAuth 简单理解就是一种授权机制，它是在客户端和资源所有者之间的授权层，用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后，客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是 OAuth 协议的一个版本，有 2.0 版本那就有 1.0 版本，有意思的是 OAuth2.0 却不向下兼容 OAuth1.0 ，相当于废弃了 1.0 版本。 举个小栗子解释一下什么是 OAuth 授权？ 在家肝文章饿了定了一个外卖，外卖小哥30秒火速到达了我家楼下

TronSmartWallet 开发包适用于平台方高效完成对用户或订单地址上的Trx/TRC20代币的归集工作，无需向用户或订单地址注入Trx即可完成Trx/TRC20代币的归集。官方下载地址： TronSmartWallet PHP开发包 。 1、开发包概述 TronSmartWallet开发包的主要特点如下： 真正的平台型非托管钱包，平台无需管理大量用户地址的密钥并且没有安全性的损失 无需向用户地址注入Trx即可完成Trx/TRC20代币的归集，流程更简单，效率更高 支持在单一交易内完成多个用户地址的归集 TronSmartWallet运行于PHP 7.1+环境下，主要类以及其关系如下图所示： TronSmartWallet的主要代码文件清单见官网说明： http://sc.hubwiz.com/codebag/tron-smartwallet/ 。 2、使用示例代码 2.1 部署工厂合约 TronSmartWallet开发包利用工厂合约SmartWalletFacotry管理用户地址的生成与归集。因此首先需要部署工厂合约。 示例代码 demo/deploy-contracts.php 展示了如何部署SmartWalletFactory合约以及一个用于演示的TRC20代币合约。执行如下命令运行示例代码： php deploy-contracts.php 运行结果如下：

前言 拥抱开源，无私分享，共享技术，相互学习，共同进步，分享更多有深度的文章，欢迎转发分享 四层负载均衡器service回顾 使用四层负载均衡调度器service时，当客户端访问kubernetes集群内部的应用时，数据包走向如下面流程所示 client--->nodeip:port--->service ip:port--->podip:port 客户端-->node节点的ip:端口--->service的ip:端口--->pod的ip:端口 1.Ingress Controller Ingress Controller是一个七层负载均衡调度器，客户端的请求先到达这个七层负载均衡调度器，由七层负载均衡器在反向代理到后端pod，常见的七层负载均衡器有nginx，traefik等，以我们熟悉的nginx为例，假如请求到达nginx，会通过upstream反向代理到后端pod，但是后端pod的ip地址是一直在变化的，因此在后端pod前需要加一个service，这个service只是起到分组的作用，那么我们upstream只需要填写service地址即可 nginx：需要手动加载配置文件 traefik：定期自动加载配置文件，不需要手动干预，在微服务中几乎都会使用这种调度器 2.Ingress 官方： https://kubernetes.io/docs/concepts

Linux服务器运维过程中需要监控系统状况并自动报警，有时有邮件报警的需要，一般Linux发送报警邮件可以通过本地邮箱或外部邮箱服务器，这里用最简单的方法：利用mailx一个小型的邮件发送程序使用外部邮箱即可实现发送邮件功能 1、CentOS服务器默认安装了mailx 若没有安装，使用yum install mailx进行安装 2、vi编辑mail的配置文件/etc/mail.rc set from=xxxxxx@qq.com set smtp=smtps://smtp.qq.com:465 set smtp-auth-user=xxxxxx@qq.com set smtp-auth-password= 你的QQ邮箱授权码 set smtp-auth=login #set smtp-use-starttls 这里是不需要配置的，很多地方没说明，配置了反而会验证失败，所以注释掉； set ssl-verify=ignore set nss-config-dir=/root/.certs QQ邮箱的授权码并非QQ邮箱密码 关于邮箱授权码的说明参考官方帮助文档： https://service.mail.qq.com/cgi-bin/help?subtype=1&&no=1001256&&id=28 3、还需要添加邮箱证书到本地 # 创建证书目录 [root@localhost ~]#

作者：知道创宇404实验室翻译组 原文链接： https://blog.malwarebytes.com/cybercrime/2020/10/fake-covid-19-survey-hides-ransomware-in-canadian-university-attack/ 最近，我们观察到了Silent Librarian APT黑客组织针对 全球范围内大学 的 网络钓鱼 活动。10月19日，通过伪装的COVID-19调查，我们确定了针对哥伦比亚大学（UBC）员工的新型网络钓鱼文档，该文档是一个会自动下载勒索软件并勒索受害者的恶意Word文件。幸运的是，基于UBC网络安全团队的迅速对应措施，该网络钓鱼活动并未成功。 一、COVID-19强制性调查 黑客组织通过mailpoof.com服务器创建电子邮件地址，进而在Box.net和DropBox中注册帐户。不直接通过电子邮件发送假调查，而是将文档上传到Box和DropBox并使用其共享功能进行分发。这可能是为了规避会阻止来自信誉低电子邮件的网络钓鱼过滤器。黑客组织声称自己是管理员，并通过文件共享功能中发表以下评论： 晚上好，伙计们！管理员正在与您共享一项关于对组织应对流行病的反应的看法的强制性调查，请务必在周一前提交并尽快填写！ 文末附带物资申请表格，包括：手套、洗手液、口罩或消毒喷雾剂。只需签名并输入所需物资的数量便可获取

Word报告是实现信息系统的核心功能点，如果自行开发这类报表模板，不仅需要考虑数据如何准备、报表如何设计，还要自行实现打印和导出等功能，其难度不亚于直接用代码去画报表。 而通过编写代码“画出”的报表，不仅效率不高、后期维护的工作量巨大、不易维护和修改，一旦客户需求有所改变，就需要调整系统源码，给项目交付带来不可预测的风险。 因此，系统中关于Word模板的设计工作需要一款具备强大报表设计能力、无需编码、提供可视化设计器的报表工具来承担。 那么，到底该如何选择一款更易于使用和维护的Word报表工具呢？通过前文分析Word报表的技术难点和开发思路，不难看出，选择一款“好用”的 Word报表工具需要满足如下功能： 分页设计 ，报表设计器必须支持分页设计模式，支持以页为单位独立的设计每页报表内容。 页眉页脚独立区域设计， 由于页眉页脚展示了报表标题和页码等信息，所以必须完整复刻，报表设计器需要保证页眉页脚的显示格式和显示位置不变。 能够无失真的打印报表， 检验报告作为Word报告常见的模板类型，不仅要存于电子档，还需要打印出来存档使用，因此，检验报告对于打印的要求极为严格，需要无失真打印。 条码支持， 不仅仅是Excel类报表，Word报告也需要嵌入条码、二维码等信息，因此在选择工具时需要支持常规的条码格式，不限于：QRCode(二维码)、Code39码、Codabar码、Code25码