LulzSec宣布50天攻击行动结束

淘宝：诚品数码 写道 "黑客组织LulzSec宣布，经过50天对一些公司和组织的网站的攻击，此次攻击行动正式结束. 被LulzSec此次攻击的网站包括：Sony, PBS，美国参议院，美国中央情报局，EVE Online，Minecraft 等网站；最近LulzSec还发公布了来自亚利桑那州的执法机密文件，其中包括数百名包括个人电子邮件，姓名和电话号码的数据.

为报复执法机构逮捕其成员，黑客组织Anonymous和LulzSec公布了10GB的个人数据，这些数据来自他们此前侵入的一家联邦机构承包商服务器. 泄露的信息涉及服务器托管的11个州的76家联邦执法机构网站，数据包括了个人信息、电子邮件帐户、社会安全账户，信用卡细节、培训文档等等. 黑客组织在声明中声称，对于因个人信息泄露而面临危险的警察或线人，他们不报以同情.

Shawn the R0ck 写道 "FBI逮捕了3名LulzSec和Anonymous地下黑客组织的成员. 来自亚利桑那凤凰城的23岁黑客Cody Andrew Kretsinger作为LulzSec的成员参与了对索尼的入侵,他通过代理服务隐藏了网络足迹而让其他成员可以找到索尼计算机系统的漏洞，在找到漏洞后使用SQL注入获得了一些秘密信息，最后他们把这些信息公开与众.

黑客组织LulzSec发现它正受到了来自四面八方的攻击，既有其他黑客团队又有执法机构. 与匿名组织AnonOps颇有恩怨的黑客th3j35t3r发现，LulzSec是由AnonOps的多名关键成员组建的. 黑客组织Web Ninjas公布了据称是LulzSec成员的聊天记录. 另一个黑客组织TeaMp0isoN_对LulzSec的技术不以为然，认为LulzSec只是简单的使用SQL注入和本地文件包含漏洞利用，以及利用僵尸网络发动DDoS攻击.

什么是session fixation攻击. Session fixation有人翻译成“Session完成攻击”，实际上fixation是确知和确定的意思，在此是指Web服务的会话ID是确知不变的，攻击者为受害着确定一个会话ID从而达到攻击的目的. 在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation，在此引述其攻击情景，防范策略参考原文.

三 常见ddos攻击及防御. 在前几天，我们运营的某网站遭受了一次ddos攻击，我们的网站是一个公益性质的网站，为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息，我们并不清楚因为什么原因会遭遇这种无耻的攻击. 因为我们本身并不从事这种类型的攻击，这种攻击技术一般也是比较粗糙的，所以讨论得比较少，但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西，以及针对这种攻击我们的想法才能让这次攻击产生真正的价值，而并不是这样的攻击仅仅浪费大家的时间而已.

　　广东省深圳市福田区电信ADSL（59.40.120.63）的这位用户，凡事都有个度，事不过三，如果你再对我博客的AdSense进行攻击的话，我可就要报警了，相信深圳公安局根据这个IP抓到你是一件非常容易的事情，想黑别人，千万不要把自己黑进监狱. 分类: 网络日志 | 添加评论(5). 关闭服务器HTTPERR错误日志  (2011-1-12 16:52:8).

为了防止恶意用户对Apache进行攻击，我们需要安装mod_security这个安全模块. mod_security 1.9.x模块的下载与安装. 下载地址： http://www.modsecurity.org/download/index.html. 建议使用1.9.x，因为2.x的配置指令与1.x完全不同，解压后进入解压目录，执行：.

实习的时候在项目中有接触过关于xss攻击的内容，并且使用了项目组中推荐的一些常用的防xss攻击的方法对项目进行了防攻击的完善. 但一直没有时间深入了解这东西，在此，做一个简单的梳理. xss跨站脚本攻击(Cross Site Scripting)，是一种经常出现在web应用中的计算机安全漏洞，它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入的恶意html代码会被执行，从而达到恶意用户的特殊目的.

OK，我恶毒的心灵又开始蠢蠢欲动了. 今天带给大家的是SSL窃听攻击从理论到实际操作的成功例子. SSL窃听最主要的是你要有一张合法的SSL证书，并且证书名称必须和被攻击的网站域名一致. 目前各大CA都有很低廉价格的SSL证书申请，最低的价格只需要10美元不到，甚至还有一些域名注册商大批量采购这些证书，并且在你注册域名的时候免费送你一张.