安全 共 4 篇

xbzbing:今天遇到了一例DDoS，用纯SYN Flood打到了500MB/S，这种攻击我遇到的很少，找到两篇很有参考价值的文章，转载以做记录。工具虽然在变，但思路和原理是不变的。

[第一篇]使用Wireshark分析并发现DDoS攻击

[第二篇]SYN flood+带宽消耗混合式DOS攻击一例

从Struts官方不负责任的公布了S2-016/S2-017的POC以来，已经过去了2个周。期间各种工具和代码满天乱飞，被黑了的网站也不计其数，包括淘宝在内的多个电商、网银等等统统中招。为啥点名淘宝呢，因为漏洞的分析者空虚浪子心正是阿里巴巴的安全专家，不过即使这样，由于各种狗血的原因淘宝依旧没有摆脱Struts2漏洞的影响。

期间有传言淘宝被脱裤。不明真相的我表示：从S2-016这种0day的出现可以看出，网络上必然流传着很多直接秒杀各种服务器和应用的0day，所以即便被脱裤了，也不要太惊讶。另外，帐号安全是多个维度的，即使帐号密...

昨天struts2的漏洞被公布，官方发了公告并给出了POC。

http://struts.apache.org/release/2.3.x/docs/security-bulletins.html

漏洞代号S2-016和S2-017，其中S2-106的描述中提到“allows remote command execution”，即远程命令执行。漏洞分析地址：http://www.inbreak.net/archives/507。空虚浪子心（腾讯微博）已经发了很详细的分...

0x01

从三月末来北京，已然过去了一个多月。

新工作算是正式进入安全行业，在人称xxxPPT小分队/xxx文档（方案）大队的地方工作。写文档写的头疼。

刚来头几个周，实在没法入手。这里没有入职培训，也没有资料库。让我拿着大学期间黑XDJWC的本事去黑各种BC，这玩笑有点大。写文档也是各种蛋疼，所以才会有一个测试标准化的工作开始做。曾经看到某牛人讲对新员工来说，入职先开发内部工具的效果比直接上手干活会好一点。我这是被动走上了这条道路-，-

期间做了两个程序。第一个是仿xsser.me的跨站测试平台，其实...