Tag Archives: domain

利用上傳的檔案跳過 CSP 限制

用 CSP 可以做到一些簡單的保護機制,但在設計不良的情況下還是有辦法繞過。 這次是上傳合法的 JPEG 檔案,但當作 javascript 檔案繞過去:「Bypassing CSP using polyglot JPEGs」。 開頭的「FF D8 FF E0」可以在「List of file signatures」這邊看到是「JPEG raw or in the JFIF or Exif file format」,而這四個字元在 javascript 不會出問題。接下來的「2F 2A」表示 JPEG header 長度,剛好就是「/*」,把後面的東西給包起來,後面再用類似的方式一直組合就打穿了... 這種攻擊要跳過的是「用 CSP 的 self 限制不能引用外部網站 javascript」的限制,但還是有些前提: … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | Leave a comment

英國通過法案要求 ISP 記錄使用者觀看過的網站

英國前幾天通過了最激烈的隱私侵犯法案,要求 ISP 必須記錄使用者觀看過的網站:「Britain has passed the 'most extreme surveillance law ever passed in a democracy'」: The law forces UK internet providers to store browsing histories -- including domains visited -- for one year, in case of police investigations. 不愧是 George … Continue reading

Posted in Computer, DNS, Murmuring, Network, Political, Security, Social, WWW | Tagged , , , , , , , , , , , , , | Leave a comment

Let's Encrypt 支援 IDN

Let's Encrypt 宣佈支援 IDN:「Introducing Internationalized Domain Name (IDN) Support」,這代表可以申請的範圍變得更廣了: This means that our users around the world can now get free Let’s Encrypt certificates for domains containing characters outside of the ASCII set, which is built primarily for the English … Continue reading

Posted in Computer, DNS, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , | Leave a comment

Ubuntu 桌機的 Split DNS

Split DNS 指的是某個 DNS domain 使用另外一組 DNS servers,常用在 Partial Route 的 VPN 上,讓內部網域的 DNS domain 正確的被解出來。一般商業的 VPN Software 都會處理掉這塊,不過有時候還是希望可以自己設定... Ubuntu 桌機上的 Split DNS 可以透過 Dnsmasq 做到,在我的機器上因為透過 ps awx | grep dnsmasq 可以看到 --conf-dir=/etc/NetworkManager/dnsmasq.d,表示設定的目錄在 /etc/NetworkManager/dnsmasq.d 下,所以我把檔案 mysplit 放到 /etc/NetworkManager/dnsmasq.d 下: # … Continue reading

Posted in Computer, DNS, Linux, Murmuring, Network, OS, Software, VPN | Tagged , , , , , , , | Leave a comment

Delicious 打算把網域名稱換回 del.icio.us

在「Transition to del.icio.us」這邊看到 Delicious 打算把 domain 換回去: We have begun the scheduled migration of Delicious.com to del.icio.us. We are grateful for your patience, as we work day and night to make the transition as quickly as possible. 所以是打算要拋掉 delicious.com 了嗎?

Posted in Computer, DNS, Murmuring, Network, WWW | Tagged , | Leave a comment

CA/Browser Forum 在三月底的會議記錄

在 CA/Browser Forum 三月底的會議記錄裡看到了關於 wildcard ssl certificate 的一些討論,還蠻有趣的:「2016-03-31 Minutes」。 主要是第五條的記錄,在討論更廣泛的 wildcard 用法。首先是 Microsoft 對 ww*.example.com 這種 domain 的認定: Rick said there was a Microsoft tech note that allows ww*.example.com. Jody confirmed the platform supports it. 但有爭論,而且目前看起來暫時沒有打算要實作: Rick suggested the BRs … Continue reading

Posted in Browser, Computer, DNS, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , , | Leave a comment

Let's Encrypt 宣佈脫離 Beta

Let's Encrypt 宣佈脫離 beta,正式開放:「Leaving Beta, New Sponsors」。 翻資料的時候發現在今年 3/26 的時候,限制已經放寬了:「Rate Limits for Let’s Encrypt」。 首先一張證書只能包括 100 個 hostname,跟原來相同: Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , | Leave a comment

StartSSL 的認證出包

這幾天還蠻歡樂的新聞,StartSSL 的認證過程出包,可以用任何 email 收認證信:「StartSSL Domain validation (Vulnerability discovered).」。直接看這張圖就好: 這樣傳不是問題 (因為你還是可以在 server 端再確認一次),而是改了會動 (樂): 這家公司最近傳出好多負面新聞... (啊,我把他們家的 root certificate 標成 untrusted 一陣子了 XD)

Posted in Computer, Mail, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , | 1 Comment

Google Chrome Developer Tools 裡的 Network Filter

在「Chrome Network Panel Filter: Domain」這篇看到有趣的用法: 輸入完 domain: 後會列出許多選擇讓你選,還包括了 wildcard... 這功能真不錯 @_@

Posted in Browser, Computer, GoogleChrome, Murmuring, Network, Software, WWW | Tagged , , , , , , , | Leave a comment

透過搜尋引擎找 Hostname

看到「Fast subdomains enumeration tool for penetration testers」這個專案,可以透過多家搜索引擎找 hostname 出來做滲透測試。 支援五個大的搜尋引擎,以及 Netcraft 與 DNSdumpster: Sublist3r currently supports the following search engines: Google, Yahoo, Bing, Baidu, and Ask. More search engines may be added in the future. Sublist3r also gathers subdomains using … Continue reading

Posted in Computer, DNS, Murmuring, Network, Search Engine, Security, Software, WWW | Tagged , , , , , , , , , , , , , , | Leave a comment