Category: 网站信息与统计

前几天收到一邮件 说是 我提供的一个网页里有XSS漏洞. URL是 https://helloacm.com/curl/?url=http://itsec.guitch404.eu/headers.php 在修复之前会有一个对话框被执行了. 原因是 HTML标记符号(小于号和大于号) < > 没有被转义 直接导致了可以在返回给用户的数据中夹杂着JS或者其它代码在浏览器里被执行. 通过API就可以看出得到的数据: https://helloacm.com/api/curl/?url=http://itsec.guitch404.eu/headers.php "HTTP\/1.1 200 OK\r\nSet-Cookie: 300gpBAK=R4178785959; path=\/; expires=Tue, 18-Aug-2015 23:47:47 GMT\r\nContent-Type: text\/html; charset=UTF-8\r\nSet-Cookie: 300gp=R394784785; path=\/; expires=Tue, 18-Aug-2015 …

早上起床就发现 服务器负载很高 平时基本上访问量不大 不可能负载超过 1的. 用的是 htop 命令. 登陆 CloudFlare CDN 也证实了这种不寻常 可以看到 未被缓存的访问 很多很多. 虽然这样 网站还是打开很快 似乎不受任何影响. 不过这种现状一直持续了有几个小时 我担心这么下去服务器不行 我设置了邮件警告 每几分钟都会检查一下系统负载 高于3的话就会发邮件. 登陆 SSH后访问 LOG记录 /var/log/apache2/access.log 发现 有大量的API访问记录. …

当你发表一篇博文的时候, wordpress 会自动把文章提交到几个更新服务站点里 当然提交的越多 文章被第一时间推送更新可能性就越大. 在设置 – 撰写 – 更新服务里 每一行就是一个站点推送地址. http://rpc.pingomatic.com/ http://api.moreover.com/RPC2 http://api.my.yahoo.com/RPC2 http://api.my.yahoo.com/rss/ping http://blog.iask.com/RPC2 http://blogsearch.google.com/ping/RPC2 http://ping.baidu.com/ping/RPC2 http://ping.blog.qikoo.com/rpc2.php http://ping.feedburner.com http://rpc.blogrolling.com/pinger http://rpc.pingomatic.com http://rpc.technorati.com/rpc/ping http://rpc.weblogs.com/RPC2 http://www.blogsdominicanos.com/ping http://www.feedsky.com/api/RPC2 http://www.xianguo.com/xmlrpc/ping.php http://www.zhuaxia.com/rpc/server.php 英文: …

感谢 DereYang http://cn.derekyang.us/home-condo/#comment-2174706043 自从你启用 HSTS 之后,某些局域网彻底不能访问了(连 bypass 的选项都没有了): You cannot visit justyy.com right now because the website uses HSTS. Network errors and attacks are usually temporary, so this page …

最近从坛子和 Leonax 了解到 还有 一个叫HSTS = HTTP Strict Transport Security 的玩意, 怎么能不折腾. 于是就弄了一下 申请了 今天一查 也加入了浩浩荡荡的大队伍中了. HSTS 简单来说就是强制 HTTPS. 这需要分两步, 第一步是你的服务器声明 愿意放弃HTTP强制所有访问为安全的HTTPS. 第二步是向几大浏览器 提起申请. 在没有正式接受之前 只要用户第一次访问之后 浏览器还是会记住你的HSTS爱好 并且之后都会强制 HTTPS …

CloudFlare CDN 的免费帐号已经很不错了 很多免费的功能, 最主要是 可以无限添加站点 每个站点都可以用上免费的 Universal SSL 还提供网站节流 安全 提速等功能. 往往只需要1个按键就可以 对于大部分用户来说是非常有用和省心的. 我又败家了 PRO帐号一个月 20 美元 第二个站点 是5美元 所以比如我有3个网站 那么我需要支出的费用就是20+5+5=30美元每个月. 一般用户来说 这样的支出还是挺多的. PRO 付费帐号能获得什么好处呢? 免费的 SSL 所有浏览器都支持 …

首先 先声明一下 这是一篇软文 不喜勿喷. 我从06年建站以来 经历了很差劲的 Fasthosts (确实网上差评许多) 我跟了它之后 又用了 GODDAY 也是很一般 没有什么特色. 再后来就移到了QUICKHOSTUK 便全部六个网站全建在了 VPS上. QUICKHOSTUK 提供了 虚拟主机, Cloud VPS, 独立主机 (Dedicated Server) 还有域名申请 SSL 证书等. 好处: 1. …