更新于:09-23 05:20

有关[security]标签推荐

HTTPS網站被Chrome打臉?

于04-23 13:22 - Jeffrey - Security
接獲報案,某網站的SSL圖示忽然被Chrome打上紅叉叉,https字眼也被劃掉,有種駭客正站在你背後的驚悚感. 檢視該網站SSL憑證尚未到期,改用Firefox、IE檢視並無異樣,只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失. 以上提到的缺失並不算新鮮事.

關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

于09-10 22:30 - Jeffrey - Security
在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享. 本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了嗎. 論壇管理者事後移除清單裡的密碼,只留下帳號,而貼出清單的原PO則再跑出來聲稱其中 60% 的密碼是有效的.

看我如何黑掉你的路由器

于05-26 03:53 - LQ - 网络安全 Hack network security router 入侵
前段时间我一个在信息安全领域的朋友让我干一件很奇怪的事情.他让我入侵他.为了保持匿名,就让我们叫他比尔吧.无辜的人名和地名也都已经匿名.供应商的名字依然保留以便追究责任.. 入侵大公司很容易.他们拥有的信息资产跨越全球,并且不太注重对各种各样的防护技术的投入.跟踪所有资料实在有难度.它要求对组织内所有资产有禅宗般每天严格遵守”扫描-打补丁-重复”的原则,不能有一点闪失 ..

华为内部的Web安全原则

于05-16 07:06 - 谋万世全局者 - DataBase Linux Security 运维经验 Web安全
Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP. 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁. 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

于04-10 00:47 - Tsung - News news openssl security ssl
OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.. OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測. 關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own).

在 HTML 內嵌 JSON object 時要注意的事情…

于01-06 08:23 - Gea-Suan Lin - Computer Murmuring Network Programming Security
有時候我們會因為效能問題,在 HTML 內嵌入 JSON object,而不是再多一個 HTTP request 取得. 但「嵌入」的行為如果沒有處理好,就產生非常多 XSS attack vector 可以玩. 首先最常犯的錯誤是使用錯誤的 escape function:. 這樣可以用 </script><script>alert(1);// 攻擊 $str.

Windows 8.1 新安全特性之一,原生指纹识别支持

于06-05 00:44 - Picturepan2 - 资讯 Devices Hardware Security TechEd
就在微软正在召开的 TechEd 2013 北美会议上,其中一场 Session 便是介绍 Windows 8.1 中改进的那些安全特性. 在 TechEd 现场演示中,演讲者 Chris Hallum 真机演示了 Windows 8.1 原生指纹识别的种种使用场景. 在 Windows 8.1 中,指纹识别功能已经原生支持于系统,比如可以指纹锁定某文件夹或应用,也可以快速登录指纹绑定的账户(或远程登录),或是在商店购买内容前的验证 – 微软也正在探索更多使用场景.

增加無線網路的安全性

于01-02 16:54 - Gea-Suan Lin - Computer Hardware Murmuring Network Security
在「 Don’t Have a False Sense of Security: 5 Insecure Ways to Secure Your Wi-Fi」這篇文章裡面提到了五個「不安全的安全措施」:. 過濾 Mac Address. WPA 或 WPA2 但仍使用短密碼或弱密碼. 無線網路不太好搞啊… 有些公司是直接限制無線網路只能連到 VPN server,利用 IPSec VPN 或是 SSLVPN 保護.

(总结)Linux下的暴力密码在线破解工具Hydra详解

于12-04 11:25 - 谋万世全局者 - Linux Security Tools UNIX Windows
PS:这款暴力密码破解工具相当强大,支持几乎所有协议的在线密码破解,其密码能否被破解关键在于字典是否足够强大. 对于社会工程型渗透来说,有时能够得到事半功倍的效果. 本文仅从安全角度去探讨测试,使用本文内容去做破坏者,与本人无关. hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种密码.

SecTools 2011年的Top125款网络安全工具排行榜

于11-28 06:40 - 谋万世全局者 - Linux Security Tools UNIX 个人日记
PS:美帝知名网络安全网站SecTools在2011年年底对目前最流行的网络安全工具做了排名,这些工具里有部分也是我本人常用的,有开源的也有商业的. 详细榜单请看:(本人没空翻译了,英文不好的童鞋查查翻译工具.

语音命令崩溃银行电话线

于09-17 10:20 - blackhat - security
一位安全研究员演示通过按键和语音命令攻击交互式话音响应系统(IVR),成功关闭电话系统的按键音和语音激活,甚至诱使其公开敏感信息. 在测试中,一家匿名印度银行的电话系统披露了客户的PIN码. 研究人员称,SQL盲注攻击和缓冲溢出攻击可适用于几乎任何IVR系统,没有银行或企业组织测试过IVR系统,它们以为它是安全的,但事实上它并不安全,没有防火墙或验证码监视语音流量.

国外hash(MD5、NTLM、LM、SHA)密码在线破解网站

于09-02 02:00 - 谋万世全局者 - Security Tools 资源分享 hash LM
PS:这是国外的hash密码在线破解网站列表,支持多种类型的hash密码,目前可查询破解的hash包括:MD5、NTLM、LM、SHA1、SHA 256-512、MySQL、WPA-PSK.

Google员工发现Adobe Reader的60个漏洞

于08-18 12:54 - blackhat - security
HOST 写道 "Google员工Mateusz Jurczyk和Gynvael Coldwind在检查Chrome浏览器的PDF引擎时,发现了无数漏洞. 他们进一步检查了Adobe Reader,结果发现约60个可以让程序崩溃的漏洞,其中约40个可以被攻击者利用. Adobe得知消息后承诺尽快修补,但本周二发布的最新版程序仍然有16个已知漏洞存在.

黑客能用开源硬件打开百万旅馆房间门

于07-26 06:45 - blackhat - security
利用开源硬件Arduino控制器,再加上少许编程能力,Mozilla软件工程师Cody Brocious在拉斯维加斯举行的Black Hat安全会议上称,黑客能够迅速打开钥匙卡保护的旅馆房间门. 400万使用Onity公司的可编程钥匙卡的旅馆房间面临入侵风险. 修正漏洞并非易事,因为钥匙卡没有固件可升级.

因安全漏洞,微软建议用户禁用 Windows Gadgets

于07-12 00:07 - Picturepan2 - 资讯 Gadgets Gallery Security Vista
本周初微软发布了一则 安全公告,告知用户可能会因为“不安全”的 Windows Sidebar 和 Gadgets 恶意代码而受到攻击. Computerworld 称研究员将在本月底的 Black Hat 大会上公开这些安全漏洞. 微软暂时给出的解决方案是:禁用 Windows Sidebar 和 Gadgets 小工具功能.

(总结)硬RAID、软RAID的区别详解

于06-19 13:40 - 谋万世全局者 - Linux Security UNIX 个人日记 区别
PS:今天有童鞋问RAID相关的问题,总结记录一下,本人建议在生产环境中就用硬RAID,别用软RAID,除非特殊需求. 一般在生产环境中RAID0、1、5、6、10用得最广泛. web服务器或者应用服务器,可以用RAID0或RAID1,重要的数据库服务器建议用RAID5或RAID10. RAID是英文Redundant Array of Independent Disks的缩写,翻译成中文即为独立磁盘冗余阵列,或简称磁盘阵列.

(总结)CentOS 5.x/6.x下安装配置PPTP VPN服务器及常见问题

于06-15 02:11 - 谋万世全局者 - Linux RHEL/CentOS/Fedora Security 个人日记 centos
PS:昨天因同事需求,搭建个PPTP VPN服务器做测试,以前搭建过OpenVPN,现在发现其实PPTP VPN搭建更简单,总结一下:. VPN的英文全称是“Virtual Private Network”,中文翻译是“虚拟专用网络”. 虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线. 它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路.

八款优秀的 Chrome 安全及隐私扩展让你过个太平春节

于01-05 00:02 - Yimin - Google技巧 Chrome Extension Google Chrome privacy Security
年关将至,各位除了出门在外要小心保管好身上财物,对于浏览器安全也不可忽视,尤其近期天朝互联网风卷残云,剩下一片狼藉. 为了过一个太平的春节,各位可以把 Chrome 通过各种扩展武装起来,为自己的安全保驾护航. Chrome 生态圈活跃度可谓强势,Firefox 的扩展数量和质量的优势已经被慢慢蚕食,makeuseof 网站为我们精选了 8 款优秀的 Chrome 安全及隐私扩展,废话少说,让我们来一探究竟吧.

天涯四千万用户帐号泄漏,密码为明文

于12-26 00:45 - blackhat - security
天涯网站证实其用户数据库遭泄漏,黑客泄漏了大约1.7G的资料,包括了天涯4000万用户的用户账号、密码、邮箱. 天涯的声明称,“由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据. 2010年之后,我们升级改造了天涯社区用户账号管理功能,解决了天涯社区用户账号的各种安全性问题.

在 Ubuntu Server 上尝试 Nagios3

于12-19 00:47 - raynix - Free software Internet Security Opensource
Nagios (据说)是业内一流的系统监控软件框架. 但我这样一个非一流的 Linux 系统管理员, 之前由于管理的系统实在是少. 加上 Linux 自身的强壮, 于是似乎不怎么管也不会出事. 进而, 我之前一直都没有应用 Nagios 的良好动机.. 最近, 负载我这小 blog 的VPS有些小小的情绪化行为.

严重灰霾污染7年后为肺癌高发期

于11-26 12:40 - blackhat - security
你是传奇 写道 "广州气象专家吴兑研究发现,出现灰霾严重的年份后,相隔七年就会出现肺癌高发期. 空气中的PM2.5吸入人体后,会进入血液和肺泡,对呼吸系统和心血管系统造成伤害. 吴兑说,肺癌死亡率从上60年代至今上升了许多,但同时和肺癌密切相关的吸烟率却在下降,“灰霾将取代吸烟,成为肺癌致病头号杀手”.

南京追究泄露PM2.5数据者责任

于11-17 02:08 - blackhat - security
wmr 写道 "11月14日,“南京气象”官方微博发布了一条气象预报. 此条信息特别提到了南京市PM2.5的范围是&gt;=75微克/立方米:“近日南京大气层结构稳定,虽天气晴好,但PM2.5细微颗粒物浓度大都在75微克/立方米以上,请注意自我防护……”. 南京气象台解释说他们的确在监测PM2.5数值,但以科研为目的,不宜公布.

中国的网络战能力被夸大了

于11-02 07:42 - blackhat - security
澳大利亚国立大学战略与防务研究中心教授Desmond Ball发表了一篇研究报告(PDF),认为中国的网络战攻击能力十分有限,它自身的网络安全存在显著缺陷,更容易受到攻击. Ball称,虽然最近几年中国完成了多起引人注目的成功入侵、拒绝服务攻击和网站内容纂改,但它的攻击能力非常原始. 他们使用的病毒和木马很容易在造成破坏前被检测出和清除掉.

你使用了多少个密码?

于10-31 10:30 - blackhat - security
《大西洋月刊》记者James Fallows讲述了他妻子的亲身经历:Gmail帐号被黑客控制和删除,数年电子邮件通信全数消失. 在联系了Gmail团队之后,只有今年的上千封邮件恢复,对于以前的邮件Google表示了“遗憾”. 他与Google进行了多次交涉,邮件终于全部恢复,随后他立即通过Thunderbird将邮件备份到硬盘和其它地方.

黑客利用社交工程技术发动攻击

于10-31 06:42 - blackhat - security
Burberry Scarf 写道 "《华尔街日报》报导,当防火墙日益严密,网络罪犯或黑客开始借助低技术方法渗透进安全系统. 克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称,他即将离婚,担心妻子用假名开设了账户. 这种情况完全可能,但在这个案例中,派滕却撒了谎. 不疑有诈的公司客服代表将用户账号和其他详细信息交给了派滕,令人感到后怕.

Facebook 测试「信任朋友」密码解锁功能,真心希望大家永远没机会用到

于10-31 10:26 - Ross Wang - facebook minipost security social network social networking
Facebook 现在正在测试一个全新的「信任朋友(Trusted Friends)」功能,让你可以将遗失的密码透过信任的好友取回. 首先你得先从好友清单中挑选出三到五个好友,然后他们就可以在你失忆时帮助你取回密码. 其实现实生活中还满常见到为了担心弄丢钥匙,而将其托付给挚友家人代为保管的做法,不过还真没想到透过社群网站的人脉资源竟然也可以有这样的应用,颇佩服这样的创意.

中国破获网络吸毒贩毒案

于10-31 02:18 - blackhat - security
公安部宣布通过统一行动,破坏了一起通过网络交友平台的吸毒贩毒案件. 报道称,今年3月甘肃省兰州市、陕西省西安市公安禁毒部门发现有人利用互联网视频聊天网站进行吸贩毒活动. 涉毒人员开设的“房间”较为隐蔽,“房主”设置了访问权限,外人无法进入,加入房间必须经过熟人引荐,并且需要通过视频表演吸毒行为进行“认证”后才能进入.

中国专家称用电脑5小时以上将影响男性精子

于10-28 11:24 - blackhat - security
Burberry Scarf 写道 "2011年3月开始,南京军区总医院男科专家商学军教授,对48只大鼠进行了分组实验. 每组8只,共分为6组,分别以每天2小时和每天4小时,进行对大鼠的辐射实验. 8只大鼠被关在透明的笼子内,笼子放置在笔记本上,就在键盘的上方. 商教授在实验过程中发现,电磁辐射对雄鼠的生殖功能有潜在的损伤作用.

安全专家称Duqu是定制攻击框架

于10-27 10:00 - blackhat - security
赛门铁克上周报告发现了类似Stuxnet的工业系统恶意程序Duqu,但关于Duqu是未来Stuxnet的说法模糊了这种新恶意程序的许多真相. Duqu本质上是一种定制攻击框架,能为每个目标打造独立攻击模块. 卡巴斯基的安全研究员Alex Gostev详细分析了Duqu文件,发现恶意程序为每个目标使用了不同的驱动和模块.

示威老兵遭警方击中头部

于10-27 09:10 - blackhat - security
playfish 写道 "来自卫报、路透社等媒体的报导,美国加州奥克兰市(Oakland, California),警方向“占领奥克兰/Occupy Oakland”的示威人群投掷催泪瓦斯并用橡皮子弹开枪射击. 曾两次在伊拉克服役的海军陆战队员、老兵Scott Olsen(24岁)被一枚催泪瓦斯弹击中头部,目前虽然伤势严重但情况稳定.