随笔分类 - 转载文章
元芳,关于向朋友借钱你怎么看
摘要:上个月,我的一个朋友某某因为生意上出了点意外,急需要一笔钱,当他打电话给我时,我感觉有一点奇怪,因为我们的关系仅仅只限于一般朋友,故此,就有了一点点犹豫。我说:一会儿我给你电话吧。我考虑了十分钟,决定把这钱借给他。上个星期,他把钱还给了我,之后请我喝茶。他说:你答应借钱给我还真出乎我的意料之外!我问:为什么?他回答:打你电话之前我已经打过9通电话,你是第10个。当你说“一会儿给你电话”时,我认为我需要打第11通电话了。我是按照亲疏关系打的这10通 电话,越打到后面越没有信心,所以,打你电话已经是死马当成活马医的心态了。之后,就这个话题我们谈论了许多,他总结性地说了一句话:如果不是这次借钱,我还
阅读全文
Wifite v2 is now available
摘要:Wifite v2 is now availableWhat's new in this version:support for cracking WPS-encrypted networks (via reaver)2 new WEP attacksmore accurate WPA handshake capturevarious bug fixesVersion 2 does not include a GUI, so everything must be done at the command-line.mention in the New York TimesWifite w
阅读全文
Five More Hacker Tools Every CISO Should Understand
摘要:As we mentioned in the first article, Top Five Hacker Tools Every CISO Should Understand, the role of the CISO continues to evolve within organizations towards that of an executive level position.Nonetheless, CISOs need to keep on top of the best tools and technologies available that can benefit the
阅读全文
Top Five Hacker Tools Every CISO Should Understand
摘要:As the role of the CISO continues to evolve within organizations towards that of an executive level position, we see a growing emphasis on traditional business administration skills over the more technical skills that previously defined the top security leadership job.Nonetheless, CISOs need to keep
阅读全文
“信用卡不设密码更安全”只是“美丽传说”
摘要:信用卡真的不设密码更安全? 央 视网(记者沈玮 报道)中国银行业协会近日发布的数据显示,2012年我国信用卡欺诈损失金额达14705.3万元,信用卡已经成为我国银行个人业务中发展最为迅猛的业 务。传统思维认为,刷卡时输入密码对卡的安全更有保障,然而不少网友在网络上支招,称信用卡不设密码,即使发生盗刷事件,银行也会全额赔付,所以对持卡人 来说,信用卡真的是不设密码才更加安全? 大多为无密码信用卡 随着银行推广的深入和网络购物的兴起,信用卡在人们生活中占据了越来越重要的地位。在江苏,信用卡的普及率已经非常高,在大学生、公务员、公司职员等等人群中,人均已经不止拥有一张信用卡,随之而来的,是江苏...
阅读全文
安全专家卡巴斯基:现在已无隐私可言
摘要:反病毒软件厂商卡巴斯基实验室首席执行长卡巴斯基美国国安安全局(National Security Agency)泄密者斯诺登(Edward Snowden)抵达莫斯科机场一个月之后,俄罗斯电脑安全专家卡巴斯基(Eugene Kaspersky)在离机场不远的办公室里针对新曝光的美国监控计划回答了一个问题。反病毒软件制造商卡巴斯基实验室(Kaspersky Labs)这位47岁的首席执行长对一群记者说,现在已经没有隐私可言。卡巴斯基说,消费者为新技术付出的代价是自己的隐私。他开玩笑说,如果你想保留隐私,我知道西伯利亚的一些地方。卡巴斯基远非怀疑政府的那种人。他说,他的私人控股公司定期与政府安全机
阅读全文
互联网时代隐私可能一去不复返
摘要:失去隐私的人类未来会怎样?随着互联网的发展程度,我从几个方面跟随递进思考。 第一,无隐私世界的新人类的诞生。第二,无隐私障碍后的信任体系。第三,群体的净化。第四,国家也将交出隐私。第五,物联网以及超级人工智能的闭环,对人类的圈养。 一,无隐私的数字化存在新人类诞生 互联网的出现必然改变人类思维模式的变化,当前几乎任何信息都可以轻松从互联网上获得。并且如果有人如果你愿意追踪某人,可以挖出你的一切隐私,从QQ号码到手机号,照片,甚至家庭住址,只要对方曾经出现过,都可以轻易挖到。 换句话说,一旦你开始接触互联网,你都将交出你的隐私。那么毫无疑问,你将彻底失去隐私。 那么又有人认为是否将一切...
阅读全文
九成网民各显神通避监控 只为保隐私
摘要:86%的互联网用户表示他们做了一些隐藏他们上网行为的尝试,一半以上的网络用户也表示他们会采取措施避免受到一些机构、某些人或者政府的观察。 根据一份来自皮尤研究中心的互联网项目和卡耐基梅隆大学的报告,调查中大多数美国互联网用户会采取措施消除或掩盖他们上网留下的痕迹。 这些调查结果是根据对1002名年龄在18岁及以上的成年人在7月所做的电话采访得出的,受访者中有792人是互联网用户。 人们用各种各样的方法减少他们的在线可见度。最流行的做法是清除cookie和浏览器的历史记录,调查中有64%的互联网用户说他们曾经这么做过。有40%多的用户说他们会删除或者编辑他们曾经发布的内容,有41%的人说他...
阅读全文
android webview 漏洞背后的节操
摘要:bysuperhei2013/09/06[注:本文提到的都是我个人的观点,该行为也是私人行为,与任何组织、公司无关。另:水军请自重!]一、前言这两天,一个2+年前的androidwebview的nday就像一面“照妖镜”一样,直接暴露了很多个人和公司的节操...二、流程有白帽子在8月29日开始提交各种android平台上的“远程命令执行”漏洞,隐隐感觉到这是一种通用漏洞类型,通过联系并请教得到这类漏洞的技术细节。该漏洞是android中webview组件里的addJavascriptInterface引起的。主要目的是为了实现java与js的交互操作。不过一个通过getClass()的方法直接
阅读全文
解析漏洞总结
摘要:一、IIS 5.x/6.0解析漏洞IIS 6.0解析利用方法有两种1.目录解析/xx.asp/xx.jpg2.文件解析wooyun.asp;.jpg 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。例如创建目录 wooyun.asp,那么/wooyun.asp/1.jpg将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。第二种,在IIS6.0下,分号后面的不被解析,也就是说wooyun.asp;.jpg会被服务器看成是wooyun.asp还有IIS6.
阅读全文
你尽力了吗?
摘要:昨天引用的一句话,引起了很多读者们的共鸣:“以大多数人的努力程度之低,根本轮不到拼天赋。”我在看到这句话的时候,想起了十多年前的一篇文章 — 《你尽力了吗?》。这篇文章激励了包括我在内的很多人,让我们感受到了真正的技术牛人应该秉承一种什么样的态度在工作、学习和研究上。此文是绿盟的小四写的,最早发表于BBS上,后来又被多处转载。转载此文的一些人,后来也成为了牛人,成为了我的偶像。今天特意把此旧文翻出,与各位读者们分享。因为年代久远,为了保证本文的可读性,我添加了很多注释。==== 你尽力了吗? ====//////////////////////////////////////这是我(注:e4g
阅读全文
提升WordPress站点速度的八个建议
摘要:WordPress是一个很棒的开源程序,几乎我认识的站长朋友当中,粗略估算有80%使用Wordpress。但很棒不等于完美,就在我所认识的这些朋友中,几乎所有人都会抱怨Wordpress太臃肿,运行效率太低了,大家有无同感?所以,今天这篇博文和大家分享8个小贴士来提升WP的运行效率,如果您运用了这些方法后发现确实有帮助,请把这篇博文分享给更多的人好吧?当然为了尊重劳动成果,也烦请指明出处。1、使用高效的缓存插件WordPress的插件们是非常有用的, 我推荐一款缓存插件可以改善页面载入时间,它就是W3 Total Cache,有了这个插件之后咱就不再推荐你其他缓存插件了,因为所有缓存插件有的功
阅读全文
分布式拒绝服务攻击(DDoS)原理及防范
摘要:DDoS攻击概念DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 – 目标对恶意攻击包的”消化能力”加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻
阅读全文
怎么获取非开源网站系统的源代码
摘要:一、 扯淡一段我们做渗透测试,需要的是什么?需要漏洞,漏洞是什么?漏洞是可以利用来获取我们想要得到的东西的途径,技术或是非技术的,但漏洞从何而来?分析,分析什么?分析对方人员的思想或源代码。人的思想有固定的,也有漂浮不定的,难以捉摸……我们聊聊怎么获取源代码吧……这里我们只是聊聊天,不承担法律责任。二、 谷歌代码搜索比如这个商业网站程序源代码,居然使用了Google的代码托管平台来进行开发工作,对于这样的程序员该怎么评价他呢?你们这套网站源码本不是开源的,但是任何人使用svn都能下载这款源代码了,客户的安全怎么保障?可以试试搜索一下其他代码托管平台。svn checkout http://sh
阅读全文
白帽子黑客是怎样的一群人?
摘要:乌云上的白帽子,找网站漏洞,是出于什么心理,会有什么目的?张小冲,结界师(专克各种架构师)知乎用户、知乎用户、陈蓉 等人赞同我是乌云的创始人,我来回答下吧,我们最开始做乌云的目的很简单,因为我当时负责百度的安全,但是我们根本无法对老板回答我们是不是做安全了,什么是安全,根本原因是这个行业的封闭,无论是老板还是用户对安全都不了解,开发的人说安全是这个样子,运维的人说安全应该这么搞,老板说咱们安全很好啊一年到头没有安全事件,老板又说了没有安全事件你们这些屌丝天天都在做什么,而且也发生过很多安全公司利用用很小的安全漏洞来敲诈企业说你这里有个很严重的问题,老板不懂也许一下子就买单了,更不用说由于攻击者
阅读全文
创业团队如何保护自己的网站安全?
摘要:今天在知乎上有人邀请我回答一个问题:创业团队如何在低成本的情况下保护自己的网站安全?简略答一下。一般来说,很多安全专家都会告诉你没有绝对的安全,如果黑客一定要长期盯着你的公司有针对性的渗透,很少有可以幸免的。这么说难免令人沮丧,尽管如此,我们仍然不能坐以待毙。就算所有公司都被黑客黑掉了,我们也希望自己能是最后被黑掉的那一个。同时,如果采取的措施恰当,是有可能将损失降至最低的。对于创业团队来说,业务发展速度快,运维策略、研发过程可能都不太规范,这给安全工作会带来很多的问题。最常见的是:1. 代码更新频繁且快速,增加安全检查是一种额外的负担2. 测试环境、生产环境混乱,程序员、测试、运维可能都有服
阅读全文
如何成为一名黑客
摘要:很多人问我如何成为黑客,一般来说我总是会扯一大堆废话,告诉他们要时刻保持好奇心,要学会打破规则挑战权威之类的。但这类话肯定不是提问者想听的。我揣摩了一下他们的心情,他们想问的应该是这个问题:如何学习黑客攻击技术?纯粹从技术和技巧的层面来说,确实有一些方向,我简略的讲一讲。一般来说,学习攻击技术,最好从远程控制入手。所谓的远程控制,是正规软件的叫法,黑客们用的一些“看不见”的远程控制软件,统称为木马或后门。学习攻击技术,先从玩后门和木马开始。可以自己去网上搜索,找一些流行的后门或木马来玩。优秀的后门和木马体验比很多正规的远程控制软件都好,而且功能无比强大。理所当然的,最好的后门和木马你也是下载不
阅读全文
12个强大的Chrome插件
摘要:Chrome功能强大,也得益于其拥有丰富的扩展资源库。Chrome Web Store里有各种各样的插件,可以满足你使用Chrome时的各种要求。和Firefox一样,Chrome的扩展非常容易安装,而且非常容易卸载。与 Firefox不同,Chrome的扩展不需要重新启动,并且不会有扩展插件会减小你的网页面积。在这里我总结出2013年 Chrome 的12款非常强大的扩展程序,供大家挑选分享。这些插件能不同程度地提升效率。诸如Turn off the light这些非常常用的我就不介绍了。 所有的扩展程序都可以在Chrome Web Store在线搜索并下载。 Holmes 书签搜索工...
阅读全文
一个快速查看API的汇编和机器码的工具.发布源码
摘要:提供一个早年写的一个小工具,一直在用,赶紧很顺手,特推荐给大家。欢迎垂询。1,在OD正在跟踪分析某个保护壳的一段code的时候,感觉似曾相识,好像在哪里见过,好像是某个API。----这个时候你就需要用【fosomAPI速查】,快速找到这个API。2,在用OD手动Hook的时候,jmp长跳之后,用汇编写一个小小的Call的时候,需要用一个API,但是IAT被破坏了。---这个时候,你就需要用【fosomAPI速查】,快速查到API,然后把机器码直接copy到OD里面,就OK了。3,随便一个Dll,需要查一下EAT,并且看看某个导出函数的汇编,---这个时候,你就需要用【fosomAPI速查】。
阅读全文
iOS https(SSL/TLS)数据捕获
摘要:要捕获iPhone上的appstore的数据还真的没那么容易,以前介绍的那些使用代理手工导入证书的方法已经完全失效了,结果就是安装证书之后再打开appstore也无法正常的建立连接。按照我的分析其实是appstore在检测证书无效之后直接就没有发起任何的请求(可以通过wireshark抓包查看网络数据)随之而来的是第二种方法,patch ssl证书校验函数,根据这个原理实现的有两个工具,一个是ssl kill switch,另外一个是trustme。原理都是一样的,并且也非常的简单,按照作者的说法是truestme实现的更底层一些。但是很不幸的是,结局是同样的悲哀的,在iOS6之后这个东西也是
阅读全文
浙公网安备 33010602011771号