随笔分类 - 9-D 安全技术区
摘要:筑墙——只需一点点安全常识就能阻止网络犯罪(国内第一本写给普通网民的安全科普读物)李铁军 编 ISBN 978-7-121-21909-22014年1月出版定价:39.00元 160页16开编辑推荐使用了安全软件上网就安全吗?免费WiFi,能不能用?网上银行有没有安全隐患?手机支付是否可行?你的手机有没有被监听?ROOT ?越狱?有必要吗?二维码真的一扫就中毒吗?如果你也有上面的疑问,那本书就适合你!内容提要这是一本写给普通网民的信息安全科普读物。随着计算机技术日益渗透到生活的各个角落,以CIH、熊猫烧香为代表的破坏型病毒已销声匿迹。不法分子以木马、后门、钓鱼网站为武器,对普通网民实施电子犯罪
阅读全文
摘要:差异分析定位Ring 3保护模块由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。在分析的过程中,为了防止被Ring 3保护模块发现,暂时可以先把除了自己线程外的其他线程暂停,如图8-14所示。 图8-14 悬挂除自己线程外的其他线程从图8-14中可以看出,除自己线程外,该游戏有58个线程,可以通过SuspendThread()函数悬挂这些线程以便后续的分析(GS的命令就是ste序号)。下面,我们再对3个常用原生DLL——ntdll.dll、kernel32.dll和u...
阅读全文
摘要:Detours HookDetours是微软开发的一个函数库,主要用于动态Hook运行中的程序,其具体介绍参见http://research.microsoft.com/en-us/projects/detours/。在游戏或外挂分析中,可以利用Detours库提供的接口来动态Hook任意地址,截获函数调用并输出打印信息。Detours Hook的3个关键概念要理解Detours Hook,必须先理解Detours中的3个关键概念。ØTarget函数:即要Hook的目标函数或目标地址。ØTrampoline函数:即跳板函数,主要负责保存原始Target函数头的若条指令,并加
阅读全文
摘要:谁在使用我的网站——用户行为分析前面根据用户的特征对用户做了分类,设定了一些常用的用户指标和值得关注的用户指标,基于这些分类用户指标的分析可以发现用户运营和推广中的诸多问题,其中活跃用户和流失用户的定义中已经用到了与用户行为相关的指标,这里重点介绍常用的用户行为分析指标以及基于用户行为的分析。如们以网站的用户为主体去理解点击流数据,其实它记录的就是用户在网站中的所有行为数据。培训专家余世维在讲座中常说:行为决定习惯,习惯决定性格,性格决定命运。古语也有类似的话:积行成习,积习成性,积性成命。虽然不能说从用户在网站的行为就能判断用户的性格甚至命运,但如果要从用户在网站的行为中判断用户对网站的期望
阅读全文
摘要:XSF即Cross Site Flash。很多网站的Flash播放器都会有XSF风险,因为这些播放器需要能够灵活加载第三方Flash资源进行播放。不过这样的XSF风险其实非常小,因为浏览器直接访问Flash文件时,安全沙箱的限制是很严格的。所以,下面分析的nxtv flash player只需了解思路即可,这样的XSF漏洞在这样的场景下毫无价值,有价值的是思路。漏洞文件:http://video.nxtv.cn/flashapp/player.swf分析方法分为静态分析和动态分析。1.静态分析我们可以使用SWFScan图形化界面或者用swfdump命令行工具进行反编译得到ActionScrip
阅读全文
摘要:浏览器的同源策略古代的楚河汉界明确规定了楚汉两军的活动界限,理应遵守,否则必天下大乱,而事实上天下曾大乱后又统一。这里我们不用管这些“分久必合,合久必分”的问题,关键是看到这里规定的“界限”。Web世界之所以能如此美好地呈现在我们面前,多亏了浏览器的功劳,不过浏览器不是一个花瓶——只负责呈现,它还制定了一些安全策略,这些安全策略有效地保障了用户计算机的本地安全与Web安全。注:计算机的本地与Web是不同的层面,Web世界(通常称为Internet域)运行在浏览器上,而被限制了直接进行本地数据(通常称为本地域)的读写。同源策略是众多安全策略的一个,是Web层面上的策略,非常重要,如果少了同源策略
阅读全文
摘要:Cookie安全Cookie是一个神奇的机制,同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie,大多数情况下,客户端通过JavaScript也可以添加、修改和删除Cookie。由于这样的机制,Cookie经常被用来存储用户的会话信息,比如,用户登录认证后的Session,之后同域内发出的请求都会带上认证后的会话信息,非常方便。所以,攻击者就特别喜欢盗取Cookie,这相当于盗取了在目标网站上的用户权限。Cookie的重要字段如下:[name][va
阅读全文
摘要:谁动了我的琴弦——会话劫持让我们看一个最常见的例子——会话劫持,如图10-2所示。图10-2 会话劫持说明如图10-2所示,受害者Alice正常的登录网站为www.buybook.com,此时她的Session ID是1234567,攻击者Bob通过网络嗅探获得了Alice的Session ID和Cookie中的用户登录信息,这样他就可以模仿Alice进行登录和操作了,而此时此刻Alice可能毫无所知。最常见的获取Session ID的方式就是我们前面讲解的XSS。下面通过具体的步骤详细地模拟会话劫持。➊ 我们正常地登录一个网站(这里用Google Chrome),登录的用户名是admin,记
阅读全文
摘要:保护你的会话令牌通常我们会采取以下的措施来保护会话。1.采用强算法生成Session ID正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。首先我们找到{TOMCAT_HOME}\conf\context.xml,然后加入下面一段设置<Manager sessionIdLength="20" ➊ secureRandomAlgorithm="SHA1PRNG" ➋ secureRandomClass=
阅读全文
