随笔分类 - 科普安全
The Art of Deception
摘要:前言一些黑客毁坏别人的文件甚至整个硬盘,他们被称为电脑狂人(crackers)或计算机破坏者(vandals)。另一些新手省去学习技术的麻烦,直接下载黑客工具侵入别人的计算机,这些人被称为脚本小子(script kiddies)。而真正有着丰富经验和编程技巧的黑客,则开发黑客程序发布到网站或论坛(B
阅读全文
安全用网,你应该知道的事
摘要:1.换手机号前,谨防泄密 ①修改支付宝账号绑定 登陆支付宝账户—点击账户设置—基本信息—手机—解绑。 ②解绑微信账户 登陆微信,选择"我"—设置—账号与安全—手机号码—选择右上角菜单—解绑 ③解绑银行卡 一般可通过网银专业版或者柜台解绑,同时更换u盾,网上银行,手机银行,短信通知等业务 ④更改其他账
阅读全文
一些安全名词解释
摘要:1、POC:Proof of Concept,为观点提供证据,在计算机安全中,指的是:为你发现的漏洞提供一个测试证明。2、EXP:Exploit,在计算机安全中,指的是:漏洞利用,有漏洞不一定就有exploit,有exploit就肯定有漏洞。测试者利用它来攻击一个系统,程序,或服务,以获得开发者意料...
阅读全文
验证码安全问题汇总
摘要:0×00 前言其实drops里面已经有小胖胖@小胖胖要减肥 和A牛@insight-labs 相应的文章,只是觉得应该有个入门级的“测试用例”。本文不涉及OCR,不涉及暴力四六位纯数字验证码,不涉及没有验证码的情况(神马?没有验证码?没有 验证码还讨论什么,要不人家不 care,要不人家已经胸有成竹...
阅读全文
修改hosts使用谷歌服务
摘要:http://www.findspace.name/res/72
阅读全文
SSL/TLS协议运行机制的概述
摘要:互联网的通信安全,建立在SSL/TLS协议之上。本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档。一、作用不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。(1) 窃听风险(...
阅读全文
挑战黑客极限:Pwn2Own 2015成史上“最难”黑客大赛
摘要:Pwn2Own是全球最著名、奖金最丰厚的黑客大赛,由美国五角大楼入侵防护系统供应商TippingPoint赞助。近日Pwn2Own 2015公布全新的比赛规则,本届赛事难度超高、史无前例,包括VUPEN等赫赫有名的黑客团队也望而却步。Pwn2Own以IE、Chrome、Safari、Firefox等...
阅读全文
网络纵深防御思想
摘要:作为一个公司,它会为物理线路聘用一个巡线员(第一层),在工作组交换机上做端口安全(第二层),在边界路由器上做访问列表(第三层),在防火墙中 建立DMZ区和包过滤(第四层),设置IDS/IDP监测/阻拦(第三至七层),建立SSL通道(第六层),设置内容过滤(第七层),提供AAA服务(第 七层),进...
阅读全文
Elasticsearch Groovy任意命令执行漏洞EXP
摘要:测试url:http://190.196.67.252:9200/_search?prettyhttp://191.234.18.14:9200///_search?prettyPOST提交{“size”:1,”script_fields”: {“iswin”: {“script”:”java.la...
阅读全文
2014年八大信息安全峰会演讲
摘要:从2011年底至2012年初的泄密门事件开始,到2013年的棱镜门、2014年的心脏出血、XP停服、win8被禁,信息安全问题似乎变得越来越严重,而这其中还有各种数量达百万级的数据泄露事件接连发生,公众对于信息安全的信心已渐渐变的麻木……所幸,奋战在一线的安全同仁们没有放弃,对于IT基础架构的变革给...
阅读全文
WAF实现扫描器识别
摘要:目前安全测试的软件越来越多,也越来越强大,越来越多的人成为[黑客],今天在网上看到一个文章说拦截wvs的扫描,勾起了我写这篇文章的欲望。因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对...
阅读全文
谈谈字符集的前世今生
摘要:计算机出世以来,适配字符集就一直是程序员头疼的事情,而很多初学者也对字符集的分类和相互关系迷惑不已,今天就让我一个故事说清字符集!很久很久以前,有一群人,他们决定用8个可以开合的晶体管来组合成不同的状态,以表示世界上的万物。他们看到8个开关状态是好的,于是他们把这称为”字节”。再后来,他们又做了一些...
阅读全文
谷歌“信息安全公主”:我是一名好黑客
摘要:据国外媒体报道,信息安全界流传着这样一个段子。如果你想成为某大公司的首席信息安全工程师,那么你有两条路可走:第一条就是从名校毕业,然后从最基础的级别干起,每五年升一个职称,也许20年后你会成为这家公司的首席信息安全工程师;另外一条路就是直接黑了那家公司的系统,然后告诉他们的CEO这是你干的。而今天介...
阅读全文
中国黑客传说:游走在黑暗中的精灵
摘要:声明:本文内容禁止讲给16岁以下的小朋友听,以免吓坏小朋友。出于保护当事人的原因,禁止任何人在任何时候以任何理由向我打听其人其事,我不会做出任何回复。我不对本文的真实性负责。本文禁止任何媒体转载,但允许个人转载至微博或个人博客!本文中所有的人物都将匿名,请不要去猜测他是谁,也请不要试图寻找他,这只会...
阅读全文
撞库攻击:一场需要用户参与的持久战
摘要:一,背景:用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联...
阅读全文
威胁远胜“心脏出血”?国外新爆Bash高危安全漏洞
摘要:这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞。其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强![OpenSSL心脏出血漏洞全回顾]http://www.freebuf.com/articles/network/32171.h...
阅读全文
OpenSSL心脏出血漏洞全回顾
摘要:近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏...
阅读全文
如何开始你的CTF比赛之旅-网站安全-
摘要:在过去的两个星期里,我已经在DEFCON22CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有 的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资 源。最简单的方法就是注...
阅读全文
谷歌新工具公布全球网络透明度报告
摘要:【大纪元09月24日讯】(自由亚洲电台特约记者心语采访报导)谷歌新网络工具“透明度报告”显示它提供的服务在全球哪个地方被封锁,藉此抑制审查。中国政府却称信息审查是国家机密而无法提供,与此同时也继续封锁更多上网方法,包括近期对加密访问互联网的SSH方法进行全面封杀。搜索引擎谷歌在全球自由互联网大会召开...
阅读全文
