存档

2009年4月 的存档

Adwords否定关键词的匹配选项

2009年4月25日

虽然很多人可能使用过关键字匹配类型(match type),但是有多少人正在使用否定关键字匹配类型呢?作为一名早期的AdWords用户,下面介绍下否定关键词(negative keywords)的匹配类型,希望有助于提高关键字质量。 有三种类型的负面关键字:精确否定(negative exact),词组否定(negative phrase),否定(negative,实际是negative broad)。

精确否定当整个查询正好就是这个关键词才不会显示。词组否定将不会出现在任何含顺序显示该词组的查询中。否定(negative broad)只需要查询短语中含有了否定中所有的单词,即不会显示,和否定单词是否顺序出现以及是否相邻无关。

假设你购买了关键字“蓝色奔驰车的广泛匹配”。以下是如何将否定关键字“蓝色快”的不同匹配类型的,将如何影响此广告是否显示。

1)快速蓝(负)
可能的搜索关键词:
蓝色奔驰车 – 将显示
蓝色的快速奔驰车 – 不显
奔驰车快 – 将显示
蓝色奔驰车快 – 不显
快蓝色 – 不显
蓝色快 – 不显
快速蓝色奔驰车 – 不显

2) – “快蓝色”(负短语)
可能的搜索关键词:
蓝色奔驰车 – 将显示
蓝色的快速奔驰车 – 将显示
奔驰车快 – 将显示
蓝色奔驰车快 – 将显示
快蓝色 – 不显
蓝色快 – 将显示
快速蓝色奔驰车 – 不显

3) – [快(负精确蓝色])
可能的搜索关键词:
蓝色奔驰车 – 将显示
蓝色的快速奔驰车 – 将显示
奔驰车快 – 将显示
蓝色奔驰车快 – 将显示
快蓝色 – 不显
蓝色快 – 将显示

当含有10个以上单字时,exact match不再有效,因为只会读取前10个单字,然后进行包含运算。

VN:F [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

搜索引擎

XSS攻击防范

2009年4月22日

最近一个朋友找我帮忙修复一个XSS注入漏洞,其实网站也是某上市互联网公司的中国站。现在XSS和CSRF攻击成为一个WEB软件工作者不得不重视的一个问题,很有必要深入研究下。

XSS漏洞很容易在大型网站中发现,在黑客圈内它非常流行。最著名的是2005年黑客Sammy Kamkar在myspace网站发布蠕虫病毒后,XSS就开始大行其道。FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes,twitter都有这样那样的XSS漏洞。国内出现过XSS漏洞的网站有sohu,网易邮箱,校内网等,百度和著名电商网站淘宝也曾出现过XSS漏洞。

在商业产品中,平均每个月能够发现10-25个XSS漏洞。

假设你已经了解XSS的基本概念和类型,这里看看如何进行防范。先总结一下常见的XSS攻击手法:

依赖跨站漏洞,需要在被攻击网站的页面种入XSS脚本的手法

Cookie 盗取,通过javascript 获取被攻击网站种下的cookie,并发送给攻击者。
1.从cookie 中提取密码等隐私
2. 利用cookie 伪造session,发起重放攻击
Ajex 信息盗取,通过javascript 发起ajex 请求。
1. 从ajex 结果中获取隐私。
2. 模拟用户完成多页表单。

不依赖跨站漏洞的XSS攻击手法

1. 单向HTTP 动作,通过img.src 等方法发起跨站访问,冒充被攻击者执行特权操作。但是很难拿到服务器的返回值。
2. 双向HTTP 动作,如果服务器产生一段动态的script,那么可以用script.src 的方法发起跨站访问并拿到服务器的返回值。

XSS防范方法

XSS攻击防范主要是有程序漏洞造成的,要完全防止XSS安全漏洞主要依靠程序员较高的编程能力和安全意识,当然一些编程安全原则可以帮助大大减少XSS安全漏洞:

  1. 不信任用户提交的任何内容,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST 而非GET 提交表单;对”<”,”>”,”;”,”’”等字符做过滤;任何内容输出到页面之前都必须加以encode,避免不小心把html tag 弄出来。
  2. 实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行,对于用户提交信息的中的img 等link,检查是否有重定向回本站、不是真的图片等可疑操作。
  3. Cookie 防盗。避免直接在cookie 中泄露用户隐私,例如email、密码等等;通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值,不可能拿来重放。
  4. 确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。

PHP方面请参见PHP的安全防范工作

ASP.Net的可以用VS自带的XSSDetect来检测。

要更好的防范XSS和CSRF攻击等,除了加强程序开发的严谨度之外,还需要重视测试工作,通过专业的测试来减少问题发生的可能性,我们看到淘宝QA也重视XSS攻击测试了。

VN:F [1.9.22_1171]
Rating: 6.0/10 (4 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

程序开发

正确设置邮件发送的域名记录和STMP

2009年4月15日

域名配置

需要配置的域名应该是发送接收邮件@后面的部分。我们需要设置的有MX记录,PTR记录和SPF记录.

MX记录

规范的MX记录应当由主域解析出一个主机名(如mta.jefflei.com),再由此主机名解析出一个或多个IP地址(如 211.99.189.87和211.99.189.88),而不能直接由主域解析出一个IP地址,直接由MX记录解析出IP会被一些MTA认为是垃圾邮件。而且,主域解析出的主机名不应当同主域名相同。

PTR记录

配置IP反向解析,即PTR记录. 一条被AntiSPAM策略看成是绝对有效的PTR记录,其实包含2个内容:
A 找ISP做的 1.2.3.4 PTR记录指向到 a.b.com
B 域名的DNS设置(一般是域名注册商的域名控制面板)的 a.b.com. 的A记录也要指向到 1.2.3.4
设置完成后,可以用IP反向解析查询工具测试一下PTR设置是否成功。

SPF(TXT)记录

详细参照SPF记录的设置案例说明

主机与软件配置

首先,如果你使用的不是第三方邮件服务商,而是使用自己搭建的SMTP, 那么你还有很多设置工作。首先,邮件系统一般使用操作系统的Hostname作为SMTP会话中HELO指令后面的内容,而某些比较严格的过滤系统会要求HELO内容是有A记录的域名,且与来源IP匹配。打开命令行界面,输入:

#telnet xxx.com 25
#ehlo

其次,在你的程序在外发邮件时,需要注意from和reply-to需要保持一致,某些MTA会block不一致的邮件。

另外,给出的from地址<support@jefflei.com> ,必须要在服务器上建立相应的电子邮件账号。因为有些收信服务商AntiSPAM策略会去校验其中包含的support@jefflei.com是否是有效的地址,一般过程是收件方AntiSPAM 连接到 jefflei.com 对应的 EMail Server,即203.96.209.88 的SMTP (TCP 25 )端口上,用VRFY support@jefflei.com ,或RCPT TO:<support@jefflei.com>来校验,如果命令返回得到250的结果,AntiSPAM策略会认为这是一个确 实存在的EMAIL地址。

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

系统管理

PayPal黑帮

2009年4月8日

不知从哪里挖出一篇老文章,才发现很多Web2.0公司和PayPal的前员工脱不开关系,那些鼎鼎大名的公司如Facebook, youtube, flickr,linkedIn,Digg,Technorati,Xoom,Mozilla,Yelp不是由这些PayPal前员工的创建,就是由他们的投资公司所投资的, 文章还把他们的照片都拍成黑帮老大的样子,还真是蛮八卦搞笑的。另中文介绍可参见这里

PayPal mafia

PayPal mafia

虽然PayPal帮现在枝繁叶茂,不过想当年他们可是头痛的事情一大堆,被黑客攻击,推广费用被利用以及内部矛盾,在上市之前他们足足烧了1.8亿美金,创业公司的劳苦困顿,我想大约是拉近创业者团队之间关系的重要原因吧,不经历风雨,何见黑帮?

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: -1 (from 1 vote)

互联网圈