清泉逐流

做着努力,等待幸福到来
» 日志

利用HTTP 401钓鱼获取用户敏感信息

时间 : 2015-04-29 17:04 标签 : 安全  

“401钓鱼漏洞”是一个利用HTTP 401状态进行钓鱼的漏洞,将恶意链接作为图片网址发在论坛帖、博客文章和评论、邮件正文等处,当用户访问时页面自动弹出“登录框”。如果用户不加辨识,会误以为需要再次登录,从而使黑客窃取到账号及密码信息。

据金山安全中心监测,众多黑客正在利用401高危欺诈漏洞发起大规模的钓鱼攻击,每天有数万网民访问到这些攻击站点,可能已有大量用户帐号被盗。猎豹浏览器 、金山毒霸、手机毒霸已对401高危欺诈漏洞进行防御。

<?php if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) { header('WWW-Authenticate: Basic Realm="User Login"'); header("HTTP/1.1 401 Unauthorized"); } else { $use

查看全文 »

Web安全之XSS

时间 : 2014-09-19 22:14 标签 : Web安全  

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。

作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。

XSS 是如何发生的呢

查看全文 »

启用BitLocker让你的数据更安全

时间 : 2014-06-29 16:44 标签 : BitLocker  安全  Windows  

相信很多人都有丢失移动硬盘、U盘、电脑的尴尬场景,然后如果你是热爱拍摄的用户,那么你很可能就火了。有时候这种走红是你计划之中的,那么就可以关闭文章了;如果你没有计划走红,那么请继续往下看。

Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。 BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM,则必须通过使用组策略更改BitLocker安装向导的默认行为,或通过使用脚本配置BitLocker。使用BitLocker而不

查看全文 »

信息时代的个人数据备份

时间 : 2013-10-10 21:05 标签 : 安全  

室友一次电脑故障,硬盘数据全部丢失;一朋友电脑丢失,数据全无;又一朋友移动硬盘故障,数据全部丢失;

相信这样的悲剧经常在身边出现,无时无刻不再提醒着数据备份的重要性,当然自己意识到这件事也是一次事故:

早年一次由于U盘进水数据全部丢失,自己写了两个月的小说就那样没了,差不多有5W字,当然那时候还幻想过做一个小说家,记得那是在高一吧,不过但现在想想,真的是自己想多了 ^_^ 那次小小事故,让自己意识到了数据与我而

查看全文 »

从CSDN的明文密码说起

时间 : 2011-12-25 18:21 标签 : 网络  安全  

  这次CSDN的密码泄露事件给我们再次敲醒了警钟,作为“国内最大的开发者社区”,是他们的耻辱,我想任何一个负责人的开发者都不会将用户的密码明文存储的,即使是刚刚开始学编程的人员都知道使用一个简单的加密算法将用户的密码加密后再存储,何况这么大一个网站,更甚还称之为开发者社区。

  这次CSDN密码事件,更让我担心的是不知带有多少个不负责任的网站依然在这么干,依然拿用户的资料不当回事。

  网上看到了说,防范密码被破解的办法是定时更改密码,网络专家建议所有弱密码的用户以及所有网站使用同一用户名和密码的用户尽快修改。我想说的是,即使我们用户再NB,将密码设置的再复杂,大写+小写+数字+特殊字符,即使这样,有些网站明文存储,这样不是一样被某些人看的明明白白,再复杂有什么用。

  这次的事件让我们感觉到揪心,有没有可能万一某天我们发现淘宝,易趣,百度,这些大的企业也是明文存储,那我们用户的损失得多大?当然我们依然相信,一个负责人的企业不会这么做。

  网络乱世,希望给我们多一些安宁。

查看全文 »

七种DDoS攻击技术方法简介

时间 : 2009-12-28 23:43 标签 : 安全  

  DDOS攻击是现在最常见的一种黑客攻击方式,下面就给大家简单介绍一下DDOS的七种攻击方式。

  1.Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。

  2.Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

  3.Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

  4.Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻

查看全文 »

做网站一定要保护好自己的电脑

时间 : 2008-12-18 16:32 标签 : 网站  安全  

  注明:转载

  我是一个半路出家的站长,但我是一个认真做站的站长,不是做垃圾站的朋友,前几天终于发生了我自打建站以来一直担心的事情,让我经历的一个深刻的教训,是一个低级的错误,虽然低级,但是它确实发生了,我想或许也会有其他的站长朋友会发生这样的低级错误,今天写出来特别提醒新站长注意。

  我是08年刚刚接触互联网的,从什么都不知道,慢慢到自己的网站,中间学习了不少东西也收集了不少资料,还有个人的一些有纪念意义的东西,都在自己的电脑里,因为是新手,没有自己的硬盘备份资料,一是觉得没大有必要,觉得资料不可能丢失的。二是虽然以前听人家说过,但没把这件事情那么放在心上。

  因为我周围的朋友们不是每个人都有电脑,所以总会有人来我这里的话会用我的电脑上网。其实我一直讨厌别人用我的电脑上QQ,一是我比较反感我上QQ的时候,在记录里出现别人的QQ号,多了的话比较混杂,很反感,我只希望上面有我自己的2个QQ号。QQ对于我来说是跟其他站长朋友交流的一个很重要的工具,对我来说是比较重视的,但是其他人一般就是上QQ瞎聊天,所以别人用我的QQ聊天我比较反感,就像可以在天安门照相留念,但是不可以在那摆地摊一样。

  虽然是新手,但是也有一些简单的保

查看全文 »

网吧使用QQ需要注意的地方

时间 : 2008-02-07 09:51 标签 : 安全  

  我申请了密码保护和QQ行了,就算密码丢了也可以轻易找回来”。其实就算你找回QQ密码,我的好友里面的数据在很大程度上也会受到破坏。

  QQ密码失窃基本上有两种方式:一种是黑客通过各种方式,在你使用的机器里面种下木马(如广外男/女生),以此获得你所使用计算机的控制权;第二种是在网吧、机房等公用计算机上使用QQ,如果这些计算机被安装了盗取QQ密码的黑客软件,安装者就可以轻易获得所有在计算机上使用过的QQ号码的密码。

  第一种情况:虽然此种情况比较少,但是涉及面很广,也更加复杂。如果万一不幸遇到,你失去的可能不仅仅是QQ密码。也请大家不要怀疑网络上黑客的数量,有一次笔者一天之内检测到3次黑客攻击。

  那我们应该如何应对这种攻击呢?最简单的方法就是安装防火墙,推荐使用防火墙。天网防火墙将本地网和互联网两块服务分开设置,每块中都有ICMP、允许与网络连接、IGMP、TCP监听、UDP监听、NetBIOS六个选项,比效适合大家的需要。如果我们对防火墙的设置比较熟悉,还可以选择AtGuard、费尔等防火墙;对具体设置不熟悉的朋友,则可以选择ZoneAlarm防火墙。

  还有个比较常用的方法是设置代理服务器以达到隐藏自己真实IP地址

查看全文 »
» 日志标签