2013/11/22

PHP 復活節彩蛋

應該不少人知道可以在網址後加上一段參數「?=PHPE9568F36-D428-11d2-A769-00AA001ACF42」,來顯示 PHP 復活節彩蛋,可以在 php.ini 中設定「expose_php = Off」將奇關閉。

這幾個參數顯示的資料,沒什麼大礙,倒是「expose_php = On」時,還會在 HTTP header 多加一個參數,顯示系統版本:
Connection:keep-alive
Content-Encoding:gzip
Content-Type:text/html; charset=utf-8
Date:Fri, 22 Nov 2013 04:10:12 GMT
Transfer-Encoding:chunked
X-Powered-By:PHP/5.3.10-1ubuntu3.8

若覺得這對安全有影響的話,還是將 expose_php 改為 off 吧。

2013/11/03

PChome 買網址

因不高興 blogger 網域國別會自動更換,索性買了一個網域來用。

C4Labs 時,CrBoy 推薦 .tw 網域可以從 PChome 購買,然後使用 CloudDNS 做 DNS 代管 (PChome DNS 最多 15 個 DNS records)。

先至 CloudDNS 申請帳號,並新增 DNS zones。在 Dashboard 右方會列出 CloudDNS 的四台 DNS server IP,等會兒在 PChome 網域設定會用到。



到 PChome 挑選好網域後,會要求註冊帳號或登入來購買網域,若是新使用者的話,請記得:PChome 儲存密碼明碼!擔心安全問題的話,請使用與其他服務不同的密碼。

填完 domain 相關資料、付費後,進入「管理我的網址」選「設定 DNS」,要使用 CloudDNS 變選擇「自管 DNS」,再把剛剛 CloudDNS DashBoard 右方的四台 DNS server IP 輸入,就可等待 DNS 資料更新。




部落格現在可以使用 http://blog.zeroplex.tw/ 觀看了。

2013/11/01

Redmine 連 Postfix 失敗

Redmine server 一直沒辦法寄出異動通知,Redmine log 有記錄寄信,但沒有錯誤訊息。後來發現 Postfix log 出現一些奇怪的字樣:
postfix/smtpd[31217]: connect from localhost[127.0.0.1]
postfix/smtpd[31217]: lost connection after STARTTLS from localhost[127.0.0.1]
postfix/smtpd[31217]: disconnect from localhost[127.0.0.1]

查了一下,是因為 Postfix 檢查 TLS 失敗,所以沒辦法寄信。把 TLS 關閉即可。

/etc/postfix/main.cf:
smtpd_use_tls=no


Reference:

Problem using TLS: lost connection after STARTTLS
http://postfix.1071664.n5.nabble.com/Problem-using-TLS-lost-connection-after-STARTTLS-td58911.html

Interesting XSS Sample

比較常見的 XSS 多安插 javascript 程式在 HTML 元素中:
<img src="javascript:alert('XSS')">

最近發現有趣的攻擊方式:
<img/src=x oooooo/oooooooooo/onerror="top.location='http://zeroplex.blogspot.com'" >

這對程式碼本身並不具危險性,但瀏覽器開啟上面那一段 HTML 時,卻會自動重新導向到 zeroplex.blogspot.com

主要原因是,瀏覽器都有提供語法自動補齊、修正功能。眼尖的人應該會發現,上面那一段語法,使用 Chrome 的開發者工具 (非檢視原始碼) 開啟時,會被自動修成 (top.location 改掉以便 debug):




恐怖的是,瀏覽器將最後面的語法修道可以執行,因此 %lt;img src="x"> 時,瀏覽器無法擷取圖片,造成 error,而觸發了後半部 onError 事件,執行 top.localtion="http://zeroplex.blogspot.com" 而跳到我的部落格頁面