作者文章: Fenng

CSDN 首页鼓励盗版图书下载

在国内程序员中有一定影响力的 CSDN , 自己也开有网上书店的,居然在首页堂而皇之的推荐盗版下载信息,真是让人哑然失笑.见下图:

CSDN 首页鼓励盗版图书下载

图中红线圈起来的地方点击进去,链接到:
hxxp://blog.csdn.net/ahhoo/archive/2005/11/10/527242.aspx

继续阅读

Oracle Password HASH 算法评估

今天收到邮件通知.Oracle 针对最近的一篇安全论文 An Assessment of the Oracle Password Hashing Algorithm 作出了响应. 这篇给 Oracle 带来麻烦的论文的作者是 SANS 的Joshua Wright 与 伦敦 Royal Holloway College 的 Carlos Cid.SANS在安全领域有很大的影响力. Oracle也不得不头疼. 论文中提到的安全问题主要有以下三个:

  • 弱的密码”盐”(salt) 如果一个用户名字为 Crack, 密码为 password,另一个用户为 Crac , 密码为 kpassword, 通过检查数据字典可以发现,密码居然是一样的! 因为Oracle是在 Hash 之前对用户名字加上密码的整个字符串进行处理的 (我们例子中的用户名字和密码拼在一起是一样的字符串).这给密码带来了不稳定性.
  • 密码不区分大小写 这一点算不上什么发现.Oracle 的密码向来是不区分大小写的.不过这次和Oracle的其他问题一起提出来,是有一点分量的.应用了 Oracle 10g 的 Enterprise User Security 密码是区分大小写的.
  • 弱 Hash 算法 .这部分的信息可以参考此前我介绍过的 Oracle 密码加密方式.因为算法的脆弱性,使得遭受离线字典破解密码的可能性大大增加.

继续阅读

站点更新 Log

虽然过了这么久,还是写一份简单的站点更新日志吧.

访问本站的朋友可能已经发现了站点格局与 UI 的变化:最近把首页从 Blog 那边切换了过来.并且对页面的UI 进行了调整.现在的页面风格我个人感觉还算满意. 原来的老页面暂时还会保留一段时间.随着我把内容逐渐迁移到 MT 中. 旧格式的众多页面就不再保留了:维护太困难. 现在使用 MT 进行后台维护.方便了许多. 交互性更好.

以后站点将跟踪关于 Oracle 与 OpenSource 等相关技术内容.更新相信会频繁一些(但愿这个站点的 IP 不会被屏蔽).目前还有一些内容没有完成:

  • 很多朋友的友情链接还没有加上来. Blogroll 这个插件刚刚使用.模板还需要调整一下.稍安勿躁.
  • RSS订阅地址我已经从在 FeedBurner 上设置为当前的了.可能还是有朋友不知道.
  • 一些内容显示的还有问题(包括相关文章等).旧内容需要一段时间切换过来.
  • Tag Cloud 的输出还做不到.插件测试了几个.都不是很好用.
  • 验证码和自动处理 Comment 的插件还没有完全调试好.

继续阅读

第一个概念性的 Oracle 蠕虫

Oracle 的众多漏洞有被更大范围恶意利用的倾向。10 月 31 日,有一个匿名者在 Full-disclosure(FD) 邮件列表里投递了一篇名为 Trick or treat Larry(很明显是对 Larry Ellison 的一个小玩笑) 的邮件。完全用 PL/SQL 写的蠕虫就这样出现了。专门研究 Oracle 技术安全的专家 Alex 对这个蠕虫结构进行了分析.这个完全用PL/SQL写的代码已经具有蠕虫的基本特征:

  • 1. 利用 utl_inaddr 包得到当前IP地址
  • 2. 查找相同地址段的所有网络地址
  • 3. 通过 utl_tcp 包向 1521 端口发送消息得到 Listener 状态
  • 4. 得到数据库 SID
  • 5. 利用默认密码构建 Database link
  • 6. 如果成功,则在远程数据库服务期创建一个数据对象 (或者其他有危害的操作)
  • 7. 继续第二步循环。尝试感染其它机器

继续阅读