基于约束的SQL攻击

值得庆幸的是如今开发者在构建网站时,已经开始注重安全问题了。绝大部分开发者都意识到SQL注入漏洞的存在,在本文我想与读者共同去探讨另一种与SQL数据库相关的漏洞,其危害与SQL注入不相上下,但却不太常见。接下来,我将为读者详细展示这种攻击手法,以及相应的防御策略。

背景介绍

最近,我遇到了一个有趣的代码片段,开发者尝试各种方法来确保数据库的安全访问。当新用户尝试注册时,将运行以下代码:

使用以下代码验证登录信息:

Read more

跨平台重签ios应用 – python解决方案 isign

A tool and library to re-sign iOS applications, without proprietary Apple software.

For example, an iOS app in development would probably only run on the developer’s iPhone. isign can alter the app so that it can run on another developer’s iPhone.

Apple tools already exist to do this. But with isign, now you can do this on operating systems like Linux.

https://github.com/saucelabs/isign

注意,有些细微的坑,不建议用于生产。

雷蛇键盘配置工具 for linux

polychromatic-razer-controller-app-linux
Gaming on Linux is big business now, and many ardent gamers use a Razer keyboard or mouse.

Razer doesn’t offer any Linux support itself, preferring to leave the nitty-gritty to the open-source community — which many awesome individuals have dutifully done for several years.

Polychromatic is a neat desktop app for managing Razer keyboard and mice on Linux. The app, created by Luke Horwell, is powered by the open-source Razer Chroma Linux Drivers daemon.

Kubuntu council member Aaron Honeycutt came across the tool while trying to get his Razer Blackwidow Chroma keyboard to play nice with Ubuntu.

It supports a number of Razer Blackwidow peripherals, including the Blackwidow Chroma, Ultimate 2013 and Classic keyboards, and the Mamba mouse.

上面一大串英文表示很多娃在使用雷蛇设备玩游戏(linux下真特么能玩?显卡驱动太渣了),但是官方却没有提供linux下的配置工具。
然后感谢大神基于雷蛇的开源实例写了一个linux下的工具。。
重点来了。
安装命令:

安装成功后找到Polychromatic打开,enjoy it..

ubuntu 16.04 安装mysql 5.7后无法用普通账号登陆mysql

ubuntu 16.04 在apt直接安装mysql 5.7过程中没有询问输入密码,安装完成后后无法用普通账号登陆mysql,即使用了mysql_safe启动修改密码也无效
但是用sudo mysql -u root 的话,却可以不提示密码直接登陆。
经过查找后,找到老外的解决方法。。。实际上和我的操作大同小异,反正成功了就好。

1 – First, connect in sudo mysql

2 – Check your accounts present in your db

+——————+———–+
| User | Host |
+——————+———–+
| admin | localhost |
| debian-sys-maint | localhost |
| magento_user | localhost |
| mysql.sys | localhost |
| root | localhost |

3 – Delete current root@localhost account

Query OK, 0 rows affected (0,00 sec)
4 – Recreate your user

Query OK, 0 rows affected (0,00 sec)
5 – Give permissions to your user (don’t forget to flush privileges)

Query OK, 0 rows affected (0,00 sec)

Query OK, 0 rows affected (0,01 sec)
6 – Exit mysql and try to reconnect without sudo

Skype发布新版linux客户端

Screenshot-from-2016-07-13-16-55-35

A quick list of the things you can’t do in the Skype for Linux alpha:

No video calls
No desktop screen sharing
No support for running two clients at once
No 32-bit Linux support
And a quick list of the things you can do:

Instant messaging (inc. group)
One-to-one voice calls
Group voice calls
Add contacts
Use new emoticon packs

猛戳下载

图解https协议

我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。
  HTTPS简介

  HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的,且看下图。

  1. 客户端发起HTTPS请求

  这个没什么好说的,就是用户在浏览器里输入一个https网址,然后连接到server的443端口。

  2. 服务端的配置

  采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择,有1年的免费服务)。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。

Read more