更新于:12-15 23:30

有关[security]标签推荐

HTTPS網站被Chrome打臉?

于04-23 13:22 - Jeffrey - Security
接獲報案,某網站的SSL圖示忽然被Chrome打上紅叉叉,https字眼也被劃掉,有種駭客正站在你背後的驚悚感. 檢視該網站SSL憑證尚未到期,改用Firefox、IE檢視並無異樣,只有Chrome在連線資訊提及沒有公開稽核記錄、安全性設定已過時、使用過舊密碼編譯法等缺失. 以上提到的缺失並不算新鮮事.

關於Gmail五百萬筆密碼洩漏傳聞與資安提醒

于09-10 22:30 - Jeffrey - Security
在網路上看到 Gmail 密碼外洩消息,我「震驚」了…由於與個人資安切身相關,當然要深入了解,便找了資料來讀,順便整理分享. 本週二,有人在俄羅斯 Bitcom 論壇貼了一份 493 萬筆 Gmail 帳號密碼清單,被俄羅斯媒體 CNews 報導後,隨即在網路「瘋傳」(咳… 可以不要玩這些哏了嗎. 論壇管理者事後移除清單裡的密碼,只留下帳號,而貼出清單的原PO則再跑出來聲稱其中 60% 的密碼是有效的.

看我如何黑掉你的路由器

于05-26 03:53 - LQ - 网络安全 Hack network security router 入侵
前段时间我一个在信息安全领域的朋友让我干一件很奇怪的事情.他让我入侵他.为了保持匿名,就让我们叫他比尔吧.无辜的人名和地名也都已经匿名.供应商的名字依然保留以便追究责任.. 入侵大公司很容易.他们拥有的信息资产跨越全球,并且不太注重对各种各样的防护技术的投入.跟踪所有资料实在有难度.它要求对组织内所有资产有禅宗般每天严格遵守”扫描-打补丁-重复”的原则,不能有一点闪失 ..

SecTools 2011年的Top125款网络安全工具排行榜

于11-28 06:40 - 谋万世全局者 - Linux Security Tools UNIX 个人日记
PS:美帝知名网络安全网站SecTools在2011年年底对目前最流行的网络安全工具做了排名,这些工具里有部分也是我本人常用的,有开源的也有商业的. 详细榜单请看:(本人没空翻译了,英文不好的童鞋查查翻译工具.

语音命令崩溃银行电话线

于09-17 10:20 - blackhat - security
一位安全研究员演示通过按键和语音命令攻击交互式话音响应系统(IVR),成功关闭电话系统的按键音和语音激活,甚至诱使其公开敏感信息. 在测试中,一家匿名印度银行的电话系统披露了客户的PIN码. 研究人员称,SQL盲注攻击和缓冲溢出攻击可适用于几乎任何IVR系统,没有银行或企业组织测试过IVR系统,它们以为它是安全的,但事实上它并不安全,没有防火墙或验证码监视语音流量.

(总结)Linux下的暴力密码在线破解工具Hydra详解

于12-04 11:25 - 谋万世全局者 - Linux Security Tools UNIX Windows
PS:这款暴力密码破解工具相当强大,支持几乎所有协议的在线密码破解,其密码能否被破解关键在于字典是否足够强大. 对于社会工程型渗透来说,有时能够得到事半功倍的效果. 本文仅从安全角度去探讨测试,使用本文内容去做破坏者,与本人无关. hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种密码.

增加無線網路的安全性

于01-02 16:54 - Gea-Suan Lin - Computer Hardware Murmuring Network Security
在「 Don’t Have a False Sense of Security: 5 Insecure Ways to Secure Your Wi-Fi」這篇文章裡面提到了五個「不安全的安全措施」:. 過濾 Mac Address. WPA 或 WPA2 但仍使用短密碼或弱密碼. 無線網路不太好搞啊… 有些公司是直接限制無線網路只能連到 VPN server,利用 IPSec VPN 或是 SSLVPN 保護.

华为内部的Web安全原则

于05-16 07:06 - 谋万世全局者 - DataBase Linux Security 运维经验 Web安全
Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP. 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁. 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权.

在 HTML 內嵌 JSON object 時要注意的事情…

于01-06 08:23 - Gea-Suan Lin - Computer Murmuring Network Programming Security
有時候我們會因為效能問題,在 HTML 內嵌入 JSON object,而不是再多一個 HTTP request 取得. 但「嵌入」的行為如果沒有處理好,就產生非常多 XSS attack vector 可以玩. 首先最常犯的錯誤是使用錯誤的 escape function:. 這樣可以用