分類目錄歸檔:安全

2016
10-18

常見的用戶密碼加密方式以及破解方法

作為互聯網公司的信息安全從業人員經常要處理撞庫掃號事件,產生撞庫掃號的根本原因是一些企業發生了信息泄露事件,且這些泄露數據未加密或者加密方式比較弱,導致黑客可以還原出原始的用戶密碼。目前已經曝光的信息泄露事件至少上百起,其中包括多家一線互聯網公司,泄露總數據超過10億條。本文作者就職于攜程技術中心信息安全部,文中他將分享用戶密碼的加密方式以及主要的破解方法。要完全防止信息泄露是非常困難的事情,除了... 繼續閱讀 >
2016
10-12

黑客故事:我如何逼小偷把 iPhone 還回來的

國慶長假過去沒多久,有個問題要問一問:假期有沒有丟手機?以下是A、B、C、D四個故事,歡迎對號入座。A:手機丟了,以為被扒,打手機顯示關機,悲了個催的用“找回iPhone”功能,突然能找到了,一打電話,咦,開機了!對面一個溫柔的男聲:你好,我撿到你的手機了,但之前沒電了,剛充上電開機,約個地方把手機給你吧……若干劇情后,你收獲了手機和一枚男盆友。B:手機丟了,以為被扒,打手機顯示關機,悲了個催的用“找回iPhon... 繼續閱讀 >
2015
11-19

注定要被淘汰的十大安全技術

系統性漏洞和瞬息萬變的威脅環境將毀滅許多當今值得信賴的安全技術。你是否曾有過這樣的經歷:啟動軟盤上的寫入保護開關,以防止啟動病毒和惡意覆寫;關閉調制解調器,以防止黑客在晚上打來電話;卸載ansi.sys驅動,以防止惡意文本文件重新排布鍵盤,讓下一次敲擊直接格式化你的硬盤;檢查autoexec.bat和config.sys文件,以確認沒有惡意條目通過插入它們進行自啟動。時過境遷,上述情況如今很難見到了。黑客們取得了進步,技術替... 繼續閱讀 >
2015
11-19

七大招教你如何應對黑客的wifi攻擊 推薦

不得不說,現在人們已經越來越離不開wifi了,不管是臺式機還是筆記本,雖然還含有網線接口,但其基本上都已經被棄用了,手機平板更是如此,他們只能利用運營商網絡以及wifi上網,而一旦智能家居普及開來,wifi的應用領域亦將極大地擴展。wifi最大的好處就是無需布線,方便快捷,但本身在穩定性與安全性都先天不足,黑客攻破wifi設備,獲取用戶信息的事件屢見不鮮??傊?,wifi也是一把雙刃劍,也有危險的一面。還好,面對黑客的... 繼續閱讀 >
2015
07-24

網速為什么很慢?是路由器選錯加密方式了!

眾所周知,路由器安全是網絡安全的基石,如果路由器存在安全問題,也就意味著我們的網絡也會出現安全問題。所以我們都會對路由器的做出一些安全設置,然而如果安全設置不當可能會使整個網絡變慢。我們通常會選用WPA2-AES和WPA2-TKIP對路由器進行加密。今天我們就來談談二者之間的區別,以及為什么AES會成為大贏家。WPA簡介‍‍WPA(或者Wi-Fi訪問保護)——是應WEP(有線等效加密)協議的漏洞... 繼續閱讀 >
2015
06-05

用一張圖片,黑客就能黑掉你的電腦

中國有句老話:“你有張良計,我有過墻梯。”在如今,網絡安全環境越來越被人們所重視,黑客們也在想更高的招數來入侵你的電腦。根據雷鋒網的消息,印度Net-Square公司CEO、網絡安全專家Saumil Shah最近發現了一個惡意程序的BUG:黑客們可以把惡意程序寫到一張普通的圖片文件里,人們只要打開看一眼這張看似普通的圖片,電腦就會被黑。Saumil Shah把這種隱藏惡意程序命名為Stegosplo... 繼續閱讀 >
2015
06-01

理解 HTTPS 協議

最近我們看到很多站點使用HTTPS協議提供網頁服務。通常情況下我們都是在一些包含機密信息的站點像銀行看到HTTPS協議。如果你訪問google,查看一下地址欄,你會看到如下信息我們可以看到“https"是綠色高亮顯示,并且前面有一個鎖標,表明網頁請求是通過https協議。HTTPS是HTTP協議的一個版本,在瀏覽器和服務器之間提供安全的數據傳輸。 瀏覽器和服務器是通過http協議進行通信,... 繼續閱讀 >
2015
02-20

7款最好用的網絡監控工具 HOT

如果你有網絡領域的經驗,或者你正在網絡公司做網絡管理員或技術支持,那么你一定聽說過網絡監控工具。網絡管理員總是在尋找最好的網絡監控工具,因為這樣才能了解系統狀態,以便于優化性能并阻止潛在的問題?,F在市面上有很多網絡監控工具,可以幫助你了解系統性能和后續問題。下面我將介紹一些有用的系統和網絡監控工具,如有不同意見,歡迎評論。1.CactiCacti是一個開源的,基于Web的網絡監控和繪圖工具,它被設計成一款前... 繼續閱讀 >
2015
02-05

網民應該如何保護自己的隱私

網絡時代的到來從根本上改變了人們的生活方式和生存方式,給人們的生產生活帶來了極大的方便。但是,網絡具有雙面性,大家在體現網絡時代的巨大優勢和潛力的同時,也使人們的隱私和權力受到前所未有的嚴峻挑戰,在網絡環境下非法搜集、整理、分析、和傳播個人隱私比以往任何時候都容易的多。隨著中國互聯網的快速野蠻發展,國內各個互聯網公司往往急功近利,通過各種手段獲取網民隱私,而有些網站由于技術能力有限,往往無法保... 繼續閱讀 >
2015
01-06

“殺毒軟件已死”言過其實

關于“殺毒軟件已死”的預言說了多少年,殺毒軟件卻依然持續保護著系統安全和網絡安全。賽門鐵克(Symantec)信息安全高級副總裁布萊恩·戴伊(BrianDye)今年年初宣告,提供系統保護的殺毒軟件已經死亡,此言一出,立刻了引起了軒然大波。然而,盡管殺毒軟件的有效性近年來一直在不斷衰退,還是有安全專家認為,由這位幾乎可以與殺毒軟件齊名的公司高管對殺毒軟件進行死刑宣判還為時尚早。當然... 繼續閱讀 >
2014
12-27

如何設置一個別人猜不到的密碼

用戶在某個網站設置密碼時,網站一般會給出密碼強度的參考。比如“弱”、“中等”、“強”等提示。此時要盡量滿足其“強”的要求,如此才比較可靠。哪些密碼絕對不能用在設置密碼時,要盡量避免使用個人信息,包括個人和伴侶的姓名、生日、手機號、身份證號等。這些信息常常會處于公開狀態,非常容易被破譯和猜測到。同時,盡量使用不同的密碼,不要一個密碼“... 繼續閱讀 >
2014
12-12

不是所有的“病毒”都是病毒:10個惡意軟件術語解釋

許多人將惡意軟件稱為病毒,但從專業的角度講,這并不準確。你也許聽說過許多超出病毒范圍的詞語:惡意軟件、蠕蟲病毒、特洛伊木馬、根訪問權限工具、鍵盤記錄工具、間諜軟件等等。那么這些詞具體是什么含義呢?這些術語不僅僅在駭客之間使用,還廣泛用于主要新聞、網絡安全問題和科技駭聞之中。了解它們能夠幫助我們知曉這其中的危害。惡意軟件“惡意運作軟件”簡稱“惡意軟件”。許多人... 繼續閱讀 >
2014
12-12

如何選擇一個安全的密碼

要去解釋如何選擇一個好的密碼,最好方式是去解釋如何破解它。通常的破解方式被認為是脫機密碼猜測破解。在這個方案中,攻擊者從一些需要驗證的地方拿到加密的密碼文件。他的目的是解密這個加密的密碼用來給自己驗證。他通過密碼測試驗證它們是否正確。電腦可以很快處理它們,而且可以同時破解解攻擊,如果密碼正確會立即得到確認。是的,有一種方式可以阻止這個攻擊,這也是為什么ATM卡有4位PIN碼的原因。但是上面所說的方法... 繼續閱讀 >
2014
12-12

黑客攻破女神WiFi...

近日,網絡上盛傳黑客自述的故事:黑客破解了鄰家“女神”wifi的密碼,她的微信、微博、QQ,甚至電視上的外接設備,都暴露在黑客眼里。黑客真能做到這一步嗎?“女神”又該如何防范呢?是否普通人使用黑客軟件也能輕易破解WiFi密碼呢?復旦大學計算機科學技術學院的葉工告訴本報記者,首先,如果對方是一名不怎么懂電腦專業知識的普通人,那么即使有上述的破解密碼的軟件,也很難進行操作;如果對方... 繼續閱讀 >
2014
12-12

WiFi密碼破解那些事

隨著網絡技術的不斷成熟和發展,越來越多的家庭和企業熱衷于采用WiFi無線網絡來增強自己的網絡覆蓋能力和降低帶寬成本。其中大部分都只選擇采用WAP2加密的方式,但是這樣真的就能確保萬無一失了么?還是說像網上說的那樣WAP2輕易就能夠被破解了呢?就此筆者來說幾點。首先,就說所謂的WAP2密碼破解到底是怎么一回事。在筆者看來,其實密碼破解大致可以分為三類:1、第一種也可以說是最弱智的一種,就是用WiFi某某鑰... 繼續閱讀 >
2014
12-12

Web安全實戰

前言本章將主要介紹使用Node.js開發web應用可能面臨的安全問題,讀者通過閱讀本章可以了解web安全的基本概念,并且通過各種防御措施抵御一些常規的惡意攻擊,搭建一個安全的web站點。在學習本章之前,讀者需要對HTTP協議、SQL數據庫、Javascript有所了解。什么是web安全在互聯網時代,數據安全與個人隱私受到了前所未有的挑戰,我們作為網站開發者,必須讓一個web站點滿足基本的安全三要素:(1)機密性... 繼續閱讀 >
2014
12-12

Heartbleed 心臟出血

BruceSchneierHeartbleed(心臟出血)是OpenSSL中一個災難性的bug:任何能上網的人都可以通過這個“心臟出血(Heartbleed)”bug讀取你的服務器的內存信息——只要你的系統是用這個有漏洞的OpenSSL軟件做安全保護的。它會泄露用來認證服務提供商和用來加密內容傳輸的密鑰,還會泄露用戶的用戶名和密碼,以及用戶正在使用的內容信息。黑客能利用這個漏洞竊聽你和服務器交流的信息,直接竊取你和服務器的... 繼續閱讀 >
2014
12-12

漫畫解釋 openSSL 的 heartbleed 漏洞

前幾天openSSL的「滴血之心」漏洞造成的恐慌幾乎席卷全球,國內外白帽子黑帽子瘋狂刷數據刷積分,各大網站的安全部門也是遇到了從未有過的危機。雖然大家都討論的很熱烈,但對于用戶們來說,只關心一件事情:我們支付寶里的錢還安全么。除此以外,好奇的人們或許更想知道openSSL的程序員到底犯了什么錯誤,好在有xkcd這樣的geek網站,用最最通俗易懂的方式,向大家展示了這個漏洞的原理和可愛之處。還不明白的同... 繼續閱讀 >
2014
12-12

許多設備永遠都不會修復心臟出血漏洞

本文為作者TomSimonite 發表在TechnologyReview網站上的《ManyDevicesWillNeverBePatchedtoFixHeartbleedBug》一文,主要通過講述OpenSSL漏洞一事提起了許多聯網設備因為缺乏必要的安全管理和軟件更新,可能永遠都無法修復這一安全漏洞,看似不會造成威海,但卻存在非常高的安全風險。本周最受關注的安全問題莫過于 OpenSSL“心臟出血”漏洞,這一漏洞將影響超過2/3網站,幾乎所... 繼續閱讀 >
2014
12-12

全HTTPS時代來臨?

Heartbleed動搖了人們對互聯網安全的信心,但是如果沒有這些加密軟件,我們生活的世界會變得比現在更加糟糕。也許我們是時候朝新的方向展望——讓加密無所不在。大多數大型網站的加密方式無非兩種要么是SSL,要么是TLS,兩種安全協議都可以保護用戶的密碼安全和信用卡信息安全,保證信息在個人用戶瀏覽器和服務器之間傳輸時的安全。鑒別網站是否使用這兩種加密協議,只要看網址開頭是不是HTTPS,如果是,說明... 繼續閱讀 >
2014
12-12

黑客如何入侵你的路由器?

一段時間以前一位從事信息安全的朋友請我做一件奇怪的事情。讓我黑掉他的路由器。我們可以叫他bill,出于保護隱私的原因,其它的名字和地點都會有所改變。但是供應商的名字會被保留。入侵一個大公司很容易(也許吧)。他們的信息資源可能分布在全球各地,盡管他們會投資各種各樣的防護技術,但這也僅僅是讓我們很難追蹤他們所有的東西而已。他們得日復一日的為所有資產嚴格地執行掃描-修補-重啟流程,不容有失。但是... 繼續閱讀 >
2014
12-12

黑客獲取數據信息的目的和進攻手段 推薦

一般來講,黑客執行下一步的網絡攻擊都需要非靜態數據,而進攻取證是一種捕獲這種非靜態數據的黑客攻擊技術”,計算機取證和電子搜索公司LLC伯克利分校研究小組的首席研究員JoeSremack表示。在進攻取證過程中,黑客捕捉內存中的非靜態數據用以獲取密碼、加密密鑰以及活躍網絡會話數據,這些都可以幫助他們不受任何限制地訪問寶貴數據資源。為了說明這一點,舉一個進攻取證攻擊的簡單例子。進攻取證攻擊過成功中黑客... 繼續閱讀 >
2014
12-12

代碼審查是如何抹殺開發者積極性的?

代碼審查,本身應該是一個相互合作,相互學習,整合團體動力,最終卻以消極和敵意為代價向前發展。這種現象是如何造成的,我們又該如何克服呢?原文作者ErikDietrich給出了一些見解。譯文如下:前不久,我收到一封有關討論代碼審查的郵件,對方對其抱著無所謂的態度,我想這可能是大部分人持有的態度,這也一直是大多數的代碼審查的面臨的尷尬狀況,但不是全部。與其冒著把孩子與洗澡水一起倒掉的風險,那不如干脆不要... 繼續閱讀 >