分类目录归档:安全

2016
10-18

常见的用户密码加密方式以及破解方法

作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。本文作者就职于携程技术中心信息安全部,文中他将分享用户密码的加密方式以及主要的破解方法。要完全防止信息泄露是非常困难的事情,除了... 继续阅读 >
2016
10-12

黑客故事:我如何逼小偷把 iPhone 还回来的

国庆长假过去没多久,有个问题要问一问:假期有没有丢手机?以下是A、B、C、D四个故事,欢迎对号入座。A:手机丢了,以为被扒,打手机显示关机,悲了个催的用“找回iPhone”功能,突然能找到了,一打电话,咦,开机了!对面一个温柔的男声:你好,我捡到你的手机了,但之前没电了,刚充上电开机,约个地方把手机给你吧……若干剧情后,你收获了手机和一枚男盆友。B:手机丢了,以为被扒,打手机显示关机,悲了个催的用“找回iPhon... 继续阅读 >
2015
11-19

注定要被淘汰的十大安全技术

系统性漏洞和瞬息万变的威胁环境将毁灭许多当今值得信赖的安全技术。你是否曾有过这样的经历:启动软盘上的写入保护开关,以防止启动病毒和恶意覆写;关闭调制解调器,以防止黑客在晚上打来电话;卸载ansi.sys驱动,以防止恶意文本文件重新排布键盘,让下一次敲击直接格式化你的硬盘;检查autoexec.bat和config.sys文件,以确认没有恶意条目通过插入它们进行自启动。时过境迁,上述情况如今很难见到了。黑客们取得了进步,技术替... 继续阅读 >
2015
11-19

七大招教你如何应对黑客的wifi攻击 推荐

不得不说,现在人们已经越来越离不开wifi了,不管是台式机还是笔记本,虽然还含有网线接口,但其基本上都已经被弃用了,手机平板更是如此,他们只能利用运营商网络以及wifi上网,而一旦智能家居普及开来,wifi的应用领域亦将极大地扩展。wifi最大的好处就是无需布线,方便快捷,但本身在稳定性与安全性都先天不足,黑客攻破wifi设备,获取用户信息的事件屡见不鲜。总之,wifi也是一把双刃剑,也有危险的一面。还好,面对黑客的... 继续阅读 >
2015
07-24

网速为什么很慢?是路由器选错加密方式了!

众所周知,路由器安全是网络安全的基石,如果路由器存在安全问题,也就意味着我们的网络也会出现安全问题。所以我们都会对路由器的做出一些安全设置,然而如果安全设置不当可能会使整个网络变慢。我们通常会选用WPA2-AES和WPA2-TKIP对路由器进行加密。今天我们就来谈谈二者之间的区别,以及为什么AES会成为大赢家。WPA简介‍‍WPA(或者Wi-Fi访问保护)——是应WEP(有线等效加密)协议的漏洞... 继续阅读 >
2015
06-05

用一张图片,黑客就能黑掉你的电脑

中国有句老话:“你有张良计,我有过墙梯。”在如今,网络安全环境越来越被人们所重视,黑客们也在想更高的招数来入侵你的电脑。根据雷锋网的消息,印度Net-Square公司CEO、网络安全专家Saumil Shah最近发现了一个恶意程序的BUG:黑客们可以把恶意程序写到一张普通的图片文件里,人们只要打开看一眼这张看似普通的图片,电脑就会被黑。Saumil Shah把这种隐藏恶意程序命名为Stegosplo... 继续阅读 >
2015
06-01

理解 HTTPS 协议

最近我们看到很多站点使用HTTPS协议提供网页服务。通常情况下我们都是在一些包含机密信息的站点像银行看到HTTPS协议。如果你访问google,查看一下地址栏,你会看到如下信息我们可以看到“https"是绿色高亮显示,并且前面有一个锁标,表明网页请求是通过https协议。HTTPS是HTTP协议的一个版本,在浏览器和服务器之间提供安全的数据传输。 浏览器和服务器是通过http协议进行通信,... 继续阅读 >
2015
02-20

7款最好用的网络监控工具 HOT

如果你有网络领域的经验,或者你正在网络公司做网络管理员或技术支持,那么你一定听说过网络监控工具。网络管理员总是在寻找最好的网络监控工具,因为这样才能了解系统状态,以便于优化性能并阻止潜在的问题。现在市面上有很多网络监控工具,可以帮助你了解系统性能和后续问题。下面我将介绍一些有用的系统和网络监控工具,如有不同意见,欢迎评论。1.CactiCacti是一个开源的,基于Web的网络监控和绘图工具,它被设计成一款前... 继续阅读 >
2015
02-05

网民应该如何保护自己的隐私

网络时代的到来从根本上改变了人们的生活方式和生存方式,给人们的生产生活带来了极大的方便。但是,网络具有双面性,大家在体现网络时代的巨大优势和潜力的同时,也使人们的隐私和权力受到前所未有的严峻挑战,在网络环境下非法搜集、整理、分析、和传播个人隐私比以往任何时候都容易的多。随着中国互联网的快速野蛮发展,国内各个互联网公司往往急功近利,通过各种手段获取网民隐私,而有些网站由于技术能力有限,往往无法保... 继续阅读 >
2015
01-06

“杀毒软件已死”言过其实

关于“杀毒软件已死”的预言说了多少年,杀毒软件却依然持续保护着系统安全和网络安全。赛门铁克(Symantec)信息安全高级副总裁布莱恩·戴伊(BrianDye)今年年初宣告,提供系统保护的杀毒软件已经死亡,此言一出,立刻了引起了轩然大波。然而,尽管杀毒软件的有效性近年来一直在不断衰退,还是有安全专家认为,由这位几乎可以与杀毒软件齐名的公司高管对杀毒软件进行死刑宣判还为时尚早。当然... 继续阅读 >
2014
12-27

如何设置一个别人猜不到的密码

用户在某个网站设置密码时,网站一般会给出密码强度的参考。比如“弱”、“中等”、“强”等提示。此时要尽量满足其“强”的要求,如此才比较可靠。哪些密码绝对不能用在设置密码时,要尽量避免使用个人信息,包括个人和伴侣的姓名、生日、手机号、身份证号等。这些信息常常会处于公开状态,非常容易被破译和猜测到。同时,尽量使用不同的密码,不要一个密码“... 继续阅读 >
2014
12-12

不是所有的“病毒”都是病毒:10个恶意软件术语解释

许多人将恶意软件称为病毒,但从专业的角度讲,这并不准确。你也许听说过许多超出病毒范围的词语:恶意软件、蠕虫病毒、特洛伊木马、根访问权限工具、键盘记录工具、间谍软件等等。那么这些词具体是什么含义呢?这些术语不仅仅在骇客之间使用,还广泛用于主要新闻、网络安全问题和科技骇闻之中。了解它们能够帮助我们知晓这其中的危害。恶意软件“恶意运作软件”简称“恶意软件”。许多人... 继续阅读 >
2014
12-12

如何选择一个安全的密码

要去解释如何选择一个好的密码,最好方式是去解释如何破解它。通常的破解方式被认为是脱机密码猜测破解。在这个方案中,攻击者从一些需要验证的地方拿到加密的密码文件。他的目的是解密这个加密的密码用来给自己验证。他通过密码测试验证它们是否正确。电脑可以很快处理它们,而且可以同时破解解攻击,如果密码正确会立即得到确认。是的,有一种方式可以阻止这个攻击,这也是为什么ATM卡有4位PIN码的原因。但是上面所说的方法... 继续阅读 >
2014
12-12

黑客攻破女神WiFi...

近日,网络上盛传黑客自述的故事:黑客破解了邻家“女神”wifi的密码,她的微信、微博、QQ,甚至电视上的外接设备,都暴露在黑客眼里。黑客真能做到这一步吗?“女神”又该如何防范呢?是否普通人使用黑客软件也能轻易破解WiFi密码呢?复旦大学计算机科学技术学院的叶工告诉本报记者,首先,如果对方是一名不怎么懂电脑专业知识的普通人,那么即使有上述的破解密码的软件,也很难进行操作;如果对方... 继续阅读 >
2014
12-12

WiFi密码破解那些事

随着网络技术的不断成熟和发展,越来越多的家庭和企业热衷于采用WiFi无线网络来增强自己的网络覆盖能力和降低带宽成本。其中大部分都只选择采用WAP2加密的方式,但是这样真的就能确保万无一失了么?还是说像网上说的那样WAP2轻易就能够被破解了呢?就此笔者来说几点。首先,就说所谓的WAP2密码破解到底是怎么一回事。在笔者看来,其实密码破解大致可以分为三类:1、第一种也可以说是最弱智的一种,就是用WiFi某某钥... 继续阅读 >
2014
12-12

Web安全实战

前言本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击,搭建一个安全的web站点。在学习本章之前,读者需要对HTTP协议、SQL数据库、Javascript有所了解。什么是web安全在互联网时代,数据安全与个人隐私受到了前所未有的挑战,我们作为网站开发者,必须让一个web站点满足基本的安全三要素:(1)机密性... 继续阅读 >
2014
12-12

Heartbleed 心脏出血

BruceSchneierHeartbleed(心脏出血)是OpenSSL中一个灾难性的bug:任何能上网的人都可以通过这个“心脏出血(Heartbleed)”bug读取你的服务器的内存信息——只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥,还会泄露用户的用户名和密码,以及用户正在使用的内容信息。黑客能利用这个漏洞窃听你和服务器交流的信息,直接窃取你和服务器的... 继续阅读 >
2014
12-12

漫画解释 openSSL 的 heartbleed 漏洞

前几天openSSL的「滴血之心」漏洞造成的恐慌几乎席卷全球,国内外白帽子黑帽子疯狂刷数据刷积分,各大网站的安全部门也是遇到了从未有过的危机。虽然大家都讨论的很热烈,但对于用户们来说,只关心一件事情:我们支付宝里的钱还安全么。除此以外,好奇的人们或许更想知道openSSL的程序员到底犯了什么错误,好在有xkcd这样的geek网站,用最最通俗易懂的方式,向大家展示了这个漏洞的原理和可爱之处。还不明白的同... 继续阅读 >
2014
12-12

许多设备永远都不会修复心脏出血漏洞

本文为作者TomSimonite 发表在TechnologyReview网站上的《ManyDevicesWillNeverBePatchedtoFixHeartbleedBug》一文,主要通过讲述OpenSSL漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险。本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞,这一漏洞将影响超过2/3网站,几乎所... 继续阅读 >
2014
12-12

全HTTPS时代来临?

Heartbleed动摇了人们对互联网安全的信心,但是如果没有这些加密软件,我们生活的世界会变得比现在更加糟糕。也许我们是时候朝新的方向展望——让加密无所不在。大多数大型网站的加密方式无非两种要么是SSL,要么是TLS,两种安全协议都可以保护用户的密码安全和信用卡信息安全,保证信息在个人用户浏览器和服务器之间传输时的安全。鉴别网站是否使用这两种加密协议,只要看网址开头是不是HTTPS,如果是,说明... 继续阅读 >
2014
12-12

黑客如何入侵你的路由器?

一段时间以前一位从事信息安全的朋友请我做一件奇怪的事情。让我黑掉他的路由器。我们可以叫他bill,出于保护隐私的原因,其它的名字和地点都会有所改变。但是供应商的名字会被保留。入侵一个大公司很容易(也许吧)。他们的信息资源可能分布在全球各地,尽管他们会投资各种各样的防护技术,但这也仅仅是让我们很难追踪他们所有的东西而已。他们得日复一日的为所有资产严格地执行扫描-修补-重启流程,不容有失。但是... 继续阅读 >
2014
12-12

黑客获取数据信息的目的和进攻手段 推荐

一般来讲,黑客执行下一步的网络攻击都需要非静态数据,而进攻取证是一种捕获这种非静态数据的黑客攻击技术”,计算机取证和电子搜索公司LLC伯克利分校研究小组的首席研究员JoeSremack表示。在进攻取证过程中,黑客捕捉内存中的非静态数据用以获取密码、加密密钥以及活跃网络会话数据,这些都可以帮助他们不受任何限制地访问宝贵数据资源。为了说明这一点,举一个进攻取证攻击的简单例子。进攻取证攻击过成功中黑客... 继续阅读 >
2014
12-12

代码审查是如何抹杀开发者积极性的?

代码审查,本身应该是一个相互合作,相互学习,整合团体动力,最终却以消极和敌意为代价向前发展。这种现象是如何造成的,我们又该如何克服呢?原文作者ErikDietrich给出了一些见解。译文如下:前不久,我收到一封有关讨论代码审查的邮件,对方对其抱着无所谓的态度,我想这可能是大部分人持有的态度,这也一直是大多数的代码审查的面临的尴尬状况,但不是全部。与其冒着把孩子与洗澡水一起倒掉的风险,那不如干脆不要... 继续阅读 >