摘要： NTP服务今天公告了几个高危漏洞，大概信息如下： 描述：包含缓冲区溢出等多个高危或低危漏洞。 危害：可以利用获取服务器权限完全控制服务器，至少可以造成服务器崩溃。 影响范围：只有升级到4.2.8才能解决所有漏洞，我们当前用的是4.2.6 漏洞验证：目前尚未公布可用于验证的攻击模块，为避免风险，建议直接升级。 缓解措施：可以在ntp.conf限制查询时间的来源机器，但是我们是开放给... 阅读全文

摘要： YS使用的防暴力破解机制存在缺陷，该缺陷可被用于暴力破解其它用户密码【高】问题描述： YS在用户登录页面设置了验证码机制，当用户输入密码错误次数达到3次时，再次登录需要验证码以防止攻击者进行暴力破解，但在需要验证码的情形下，当用户成功认证登录之后，该验证码机制将失效，此时攻击者可以无数次向服务器重放... 阅读全文

摘要： ESAPI是owasp提供的一套API级别的web应用解决方案，本人通过对ESAPI和其提供的demo源码学习发现，关键的不是对其所提供的API的使用，而是其web应用安全防御体系的构建的思想。比如，您不一定要使用ESAPI去实现日志系统，而是应该明白，一套好的日志系统应该是怎么样子的，应具备什么样的特性等。 此外，在引入使用时可能会遇到不少麻烦，所以读者应根据自身的业务特性... 阅读全文