记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

学习手册:信息泄露事件忖量

阅读: 151随着企业信息化的发展,在日常工作中,信息系统已逐渐成为不可或缺的工具和手段。利用信息化技术打破地域之间的阻碍,同时还会产生大量如客户资料、财务报表、研发数据等关乎企业核心竞争力的机密信息。然而网络强大的开放性和互通性,同时催生了商业泄密等信息安全事件,信息防泄漏成为企业越来越关注的焦点。文章目录一、信息会如何泄露?二、近期相关事件回顾拖库、撞库、洗库是啥意思?事件影响程度三、敏感信息泄露思考从信息泄露路径的思考事件背后的产业链四、靠谱的防护方案个人防护企业防护一、信息会如何泄露?近年来,频发的网络诈骗、网络侵权案件让民众感到忧虑,不法分子利用通信、互联网等技术和工具,通过发送短信、拨打电话、植入木马等手段,网络诱骗(盗取)被害人资金汇入其控制的银行账户等行为,让人防不胜防。而这些网络犯罪,又往往和

当我们在谈论前端加密时,我们在谈些什么

当然在谈安全。 前端安全是Web安全的一部分,常见的安全问题会有XSS、CSRF、SQL注入等,然而这些已经在程师界得到了相当高的重视并且有了很成熟的解决方案。 所以我们今天只谈前端“加密”,一个部分人认为没有意义的工作。 有争议的事情总是那么因崔斯汀,接下来就让我们谈谈前端传输中的数据“加密” 。 前端传输的数据我们应该用什么算法加密,如何组织整个加密过程呢? 一般有几种做法: JavaScript 加密后传输 浏览器插件内进行加密传输 Https 传输 在这里其实 HTTPS 是终极解决方案,所以文章对于仍在使用 HTTP 建站的小伙伴更有帮助。本文中将讨论第一种方法,也就是使用 JavaScript “加密”。使用双引号是因为这里面分为两种手段,一是使用数据摘要进行消息杂凑,
发布时间:2016-08-16 21:05 | 阅读:119421 | 评论:1 | 标签:Web安全 Javascript 前端加密 前端安全 哈希加密 拖库 非对称加密 加密

信息泄露之拖库撞库思考(3)

阅读: 72某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。 内容导航1、登录认证的防撞库设计(1)生物特征识别及认证(2)第二信道认证(3)独特的行为策略(行为指纹)(4)使用登录图灵2、登录的撞库攻击识别、监控在系统中加强对撞库的识别和监控,是防范和处置撞库攻击的最佳实践方法和必要手段。笔者认为可以从 “身份”、“ 行为”两个角度出发,构建适合企业自身业务的防撞库措施。(1)身份的识别监控(2)行为的识别监控1、登录认证的防撞库设计(1)生物特征识别及认证随着生物特征识别技术的发展,当

信息泄露之拖库撞库思考(2)

阅读: 160某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。 内容导航1、用户密码的防拖库设计(1)加盐法(2)混淆法(3)陷阱法2、数据库系统的防拖库识别(1)数据库系统的访问控制(2)数据库的运维3、运维监控的防拖库监测1、用户密码的防拖库设计(1)加盐法大多数主流互联网网站,对账号密码等信息都采用加密存储,(明文存储的不在本文讨论之内),为了防止拖库后被破解,采用加盐 (+salt)的加密已经被广泛认可,笔者认为这的确是一种极好的创新,因此将其列在第一位,同时建议salt位数至少6位。难易程度: 1颗星
发布时间:2016-06-09 08:25 | 阅读:181335 | 评论:0 | 标签:运维安全 信息泄露 拖库 拖库 技术 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库 数据库拖库

信息泄露之拖库撞库思考(1)

阅读: 16某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。 什么是拖库、撞库?拖库、撞库名词并无标准权威的定义,但实际理解起来却是极易接受的。拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。撞库是黑客通过收集互联网已泄露的拖库信息,特别是注册用户和密码信息,生成对应的字典表,尝试批量自动登录其他
发布时间:2016-05-24 08:10 | 阅读:96520 | 评论:0 | 标签:技术分享 信息泄露 拖库 拖库 撞库 拖库撞库 撞库攻击 数据库 拖库

技术分析:攻击者是如何利用系统命令盲注实现“拖库”的?

免责声明:本文旨在技术分享,仅供安全学习,禁止非法利用。在渗透测试或者CTF挑战中,你可能会遇到一个需要用户输入文本信息的应用程序,该应用会将用户的输入作为参数传递给一个系统命令或者给底层运行着任务的关联程序。而我们知道,如果没有对输入的信息进行校验或者过滤,那么该应用就可能被利用来进行“操作系统命令注入”。对于攻击者来说,他可以通过注入漏洞,利用应用程序的权限来执行命令。在这种背景下,目前我们在实际的应用案例中,也观察到这种类型的攻击漏洞,存在于大量的应用程序。而针对的应用程序往往是以下的应用类型,例如:•可以发送邮件到用户指定地址的应用程序。•可以监控企业服务器运行情况的应用程序•使用基于用户输入的第三方工具来完成传输报告的应用程序在渗透测试或者CTF中,在确认了漏洞之后,你可能开始对
发布时间:2015-12-07 23:35 | 阅读:91688 | 评论:0 | 标签:WEB安全 数据安全 网络安全 SQL 拖库

撞库攻击:一场需要用户参与的持久战

一,背景:用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户。 以京东之前的撞库举例,首先京东的数据库并没有泄漏。黑客只不过通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,一旦丢失,后果可想而知。所以说,防止撞库,是
发布时间:2014-03-19 13:50 | 阅读:91033 | 评论:0 | 标签:数据库安全 观点 拖库 撞库 洗库 隐私安全 黑客攻击

关于密码的那些事儿—浅谈密码的设计与管理

这是整理于2011年底的一份报告材料。介绍    2011年底,国内遭遇网络安全的“崩盘”。从CSDN用户数据被爆库,到天涯用户信息被刷库,到众多社交网站、论坛用户数据被拖库,密码(口令)泄露成为2011年年终中文互联网上非常热门的话题。     在互联网上,需要用到密码的服务几乎无所不在,网银,淘宝,邮箱,人人,facebook, QQ,MSN,微博,博客,linkedin,各种论坛……但我们输入的口令和网站对密码的保管是否安全?这是一个值得我们思考和亟需解决的问题。     本次报告以近期的网络用户数据泄露事件为背景,简要介绍身份认证与密码的几种形式,从普通用户、网站建
发布时间:2013-06-18 22:50 | 阅读:170436 | 评论:0 | 标签:技术探究 CSDN 哈希 密码 密码泄露 拖库 爆库 社会工程学 网络安全 黑客

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云