黑客攻破Apache.org官网 安全问题发人深思

系统安全

感谢素包子的投递
Apache是全球使用最多的Web Server之一,近期Apache的官网被黑客入侵了,素包子根据apache网站的描述,分析了下黑客的思路。大概包含5个过程,虽然道路曲折,但黑客快速通关,一步一步的接近目标,有很多可圈可点的地方,还是相当精彩的。可惜最后people.apache.org没搞下来,否则可以写小说拍电影了,不过男女主角不能是aXi和aJiao。

1、通过跨站漏洞社工了几个管理员,获得JIRA(一个项目管理程序)后台管理权限,并修改相关设置,上传jsp木马。
2、在后台看到其他用户的帐号,通过登陆入口暴力跑密码,破解了几百个帐号。
官方说是“At the same time as the XSS attack”,我不这么认为,我认为是获取后台之后,能看到帐号了,才可以高效率的破解密码。如果不通过后台就可以破解几百个帐号,那这个事情早就发生了。
3、部署了一个JAR,可以记录登陆帐号及密码,然后用JIRA的系统发邮件给apache的管理人员说:“JIRA出现故障了,请你使用邮件里的临时密码登陆,并修改密码”,相关人员登陆了,并把密码修改成自己常用的密码,当然,这些密码都被记录下来了 :)
4、正如黑客所算计的,上述被记录的密码中,有密码可以登陆brutus.apache.org,更让黑客开心和省心的是,这个可以登陆的帐号竟然具备完全的sodu权限,提权都不用提了,直接就是root,真是爽的一塌糊涂啊。而这个被root的brutus.apache.org上面跑着JIRA、Confluence和Bugzilla。
5、brutus.apache.org上的部分用户保存了subversion的密码,黑客用这些密码登陆了people.apache.org,但是并没获得其他权限。这个people.apache.org可是apache的主服务器之一,如果root了这个机器,那基本可以获得所有apache主要人员的密码了。可惜,黑客们功亏一篑。
整个故事到此结束,下面说说Apache是如何发现自己被入侵的。
根据apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜测apache是因为黑客重设了用户密码这个行为才发现被入侵的。
如果说的是黑客重设的是JIRA的密码,那么就是因为黑客做戏没做足全套导致的,可能apache管理人员上去看之后,发现没啥问题,被忽悠了。
如果说的是黑客重设其他密码,我想不到整个过程中还需要重设什么其他的密码。
我还是对apache的安全措施非常好奇,到底是如何发现的?到底是相关人员安全敏感度高呢,还是黑客留下了一些痕迹被安全检查措施发现了。如果是后者的话,检查周期又是多长呢?24小时?
经验教训:
回头再看看黑客的整个攻击过程,素包子相信在细节上会有很多可以吸取教训的地方。从长远来看,可以加强安全意识培训、实施SDL安全开发生命周期、日志集中分析、主机入侵检测系统等等,这些都是需要企业的安全部门长期投入去做的事情;相对短平快的方法是要求重要的人员、重要的应用、重要的系统使用双因素动态密码认证。
更多Apache官网被黑内幕,请访问素包子的网站 http://baoz.net

Google Voice必将重新赢得大众芳心

2011-10-31 10:41 来源: 雷锋网

Google Voice必将重新赢得大众芳心

上周TechCrunch创始人Michael Arrington写过一篇关于Google Voice的文章,说如果苹果手机用户愿意将运营商换成Sprint,那么他们就能享受到Google Voice所带来的好处,之前苹果拒绝在iPhone上使用Google的电话服务,称其复制了自己的功能,而且在Google Voice满足用户需求与打好运营商关系方面,Google也遇到一些困难,它的服务遭到了其他运营商的抵制,除Sprint。

Michael的文章让人想到了09年使用Google Voice的经历,大多数时候短信来得比原本时间要晚,多媒体信息服务对许多用户不开放(除了Sprint,其他运营商都不支持Google的这个服务),一句话,Google Voice要改进的地方还很多。

Google Voice与Gmail整合的功能允许你通过VoIP利用电脑接打电话,其实在几年前,Google就曾为Android开发了一个Google Voice VoIP应用,在内部测试过,但因为怕触怒运营商,终未能面世。Android之前每推出一个新的应用,都会在运营商利益与用户需求之间取得平衡,最好的一个例子就是Android支持本地热点功能。

如果Google能让Google Voice通过3G/4G网络接打电话,那么用户就不太可能付更多的费用来接打电话,那显然会激怒运营商。但是Google可以选择另一种折中的方式——Google Voice可以通过Wi-Fi网络接打电话。

不管怎样,虽然Android的某些应用会影响到Google与运营商的关系,但是Google还是在逐步改变。Google考虑的更多的是在在未来几年让更多的人使用Android设备,而不是让用户享用Wi-Fi热点。这就能重新激起人们对Google Voice的兴趣。

还有一个例子,之前运营商都会在用户手机上自动安装一些应用(姑且称为废物),更荒谬的是你还没法删除这些应用,但从Android 4.0开始后,你就可以删除了,虽然还占用一些空间,但不会在你手机上运行那些应用了,开心?

(annie 供雷锋网专稿,转载请注明!)

谷歌视频涂鸦:Halloween万圣节快乐

2011-10-31 11:05  来源: webziv.com

今天的Halloween万圣节前夕,Google Doodle在Halloween万圣节到来之前,谷歌涂鸦以6个蓝瓜上面印出万圣节的鬼脸,Halloween万圣节是西方的鬼节,谷歌涂鸦Halloween祝大家万圣节快乐!

Halloween万圣节快乐

在不同的浏览器中,我发现谷歌涂鸦:Halloween万圣节涂鸦不一样,上面Doodle是IE6浏览器上的LOGO,下面是火狐浏览器和Google Chrome上的Halloween万圣节涂鸦,好像是个视频。

Halloween万圣节

Halloween万圣节是西方的鬼节,每年的10月31号,有个Halloween,即是万圣节前夕,谷歌涂鸦值此Halloween万圣节前夕,祝大家Halloween万圣节快乐!

Halloween是All Hallow Eve 的缩写,Halloween是指万圣节(All Hallow‘s Day)的前夕。Hallow来源于中古英语halwen,与holy词源很接近,在北欧的某些区域,万圣节仍然被称为 All Hallow Mas,意思是在纪念所有的圣人(Hallow)那一天,要举行的弥撒仪式,Halloween万圣节也是“鬼节”。

本文出自http://webziv.com/news/1056.html,谢谢大家!

乔布斯妹妹披露其临终遗言:连说三次“OH WOW”

www.sina.com.cn 2011年10月31日 07:35

北京时间10月31日早间消息,《纽约时报》周日公布了史蒂夫·乔布斯(Steve Jobs)的妹妹莫纳·辛普森(Mona Simpson)在乔布斯葬礼上发表的悼词。

根据辛普森的悼词,乔布斯最后的遗言是“噢,哦,噢,哦,噢,哦”(OH WOW OH WOW OH WOW)。辛普森是乔布斯亲生父母的女儿。她在悼词中表示:“作为一名女权主义者,在一生中我都在等待一个值得去爱,同时也爱我的男人。在几十年中,我一直认为这样的男人是我的父亲。然而当我25岁时,我遇到了这个男人,他就是我的哥哥。”

辛普森表示,在乔布斯讲述遗言时陪伴他的是他的妻子劳伦、孩子和妹妹帕蒂。辛普森表示,乔布斯在最后时刻呼吸很困难,就像在爬山一样。不过乔布斯在讲述最后话语时仍然具有通常的坚强信念和工作积极性。(维金)