V2EX › shiny 的所有回复 › 第 183 页 / 共 314 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 179 180 181 182 183 184 185 186 187 188 ... 314

❮

❯

2016 年 4 月 15 日

回复了 crepesofwrath 创建的主题 › Linux › chmod 777 到底有什么危险

@crepesofwrath 以前小单位，运维也是程序员管， DedeCMS 三天两头出问题，被人提权了还要跑机房，因为他们拔网线…… 经过这样的设置后，后来几年都出过问题，只需要定时去目录里收割 php 木马，看看最近又流行什么木马了。

2016 年 4 月 15 日

回复了 FunnyToy 创建的主题 › SSL › 阿里云上线了 SSL 证书服务

居然不是集成 Let's Encrypt 而是 WoSign ，情怀没了

2016 年 4 月 15 日

回复了 crepesofwrath 创建的主题 › Linux › chmod 777 到底有什么危险

针对 PHP
一、我建议甚至 Web 目录也不要开写权限，只有明确需要写入缓存和静态文件的文件夹才需要写权限。
二、有写入权限的文件夹最好不要开 PHP 解析权限。

有大量安全漏洞的程序（类似 DedeCMS ）经过这样设置，出问题概率降低一个级别。

2016 年 4 月 14 日

回复了 crepesofwrath 创建的主题 › Linux › chmod 777 到底有什么危险

@crepesofwrath 只是一个 SQL 注入点而已。

2016 年 4 月 14 日

回复了 keyfunc 创建的主题 › App Store › 招行的 APP 现在每天早上晚上都会推送他们的财经早晚餐资讯，好烦，能关掉吗？

我直接关了，反正微信也有消费推送

2016 年 4 月 14 日

回复了 crepesofwrath 创建的主题 › Linux › chmod 777 到底有什么危险

前几天在安全渗透测试的时候还用 mysql load_file 去读 php 源文件然后找到源码中的漏洞进后台。
正常情况下 mysql 用户不应该能读取 Web 文件。

再举个例子，前段时间 redis 因为以 root 启动+端口开放到公网，结果能够往 authorized_keys 写数据。
假设 redis 不是 root 启动，但你 Web 目录 777 ，还是有权限往上面写个 WebShell （假设没开 SELinux 或 AppArmor ）

2016 年 4 月 14 日

回复了 goodluck 创建的主题 › 问与答 › 新浪微博爬虫老是被封，换了 IP 和 cookie 也不行

抓的是 m.weibo.cn 还是 weibo.com

2016 年 4 月 13 日

回复了 RqPS6rhmP3Nyn3Tm 创建的主题 › 问与答 › 又被 CC 了，有啥切实有效的预防方法？

@bk201 会被封账号，别问我怎么知道的

2016 年 4 月 13 日

回复了 RqPS6rhmP3Nyn3Tm 创建的主题 › 问与答 › 又被 CC 了，有啥切实有效的预防方法？

@GPU 很多代理，实际上是个人宽带里的设备被扫出来的。我以前家庭宽带架个绑 1080 的树莓派，很快就被扫出来了。

2016 年 4 月 13 日

回复了 RqPS6rhmP3Nyn3Tm 创建的主题 › 问与答 › 又被 CC 了，有啥切实有效的预防方法？

访问页面的时候注入 cookies ，然后打开图片的时候验证 cookies