分类目录归档:security

Wireshark原生支持中文了

刚刚下载了一个新版的wireshark,发现直接支持中文了,以往看的这方面的材料都是英文界面,现在支持中文后,友好了很多像我这种英文不太好的小白,呵呵。

发表在 security | 标签为 , , , | 留下评论

如何正确的读网上的web漏洞分享文章(报告)

网上的漏洞分享报告很多,不管是文章也好报告也好,公开以后都是给人读的,最终目的都是让人受益。去了解,分析,研究,修复这个漏洞。但是读者群中不仅仅包括有厂商和漏洞研究者们,还有数目庞大的安全初学者和门外汉。 但是,在真正的拿起一篇文章开始读时,这些安全初学者往往会愕然,因为很多人会感觉无从读起,不好下手。为什么会有这种感觉呢?其实我猜应该是有以下几种原因导致的。 1. 安全研究者在发布漏洞时,往往只会注重技术细节,不会瞻前顾后。如果代码功底不强的读者看到了,肯定会云里雾里。 2. 漏洞公布平台版面/厂商要求? 不知道存在不存在这种情况,往往很多人喜欢一针见血, 不喜欢啰里八嗦的人,我曾经就被外甥训斥为:不要再啰嗦了。 3. 漏洞发布者是一个注重效率的人。 4. 初学者认为自己的问题太基础羞于下问,研究者认为问题太过基础耻于回答。(死循环) 于是这就导致了一个问题, 大多安全研究者认为此技术我已掌握不需要去过多了解,本来不会想去了解的人还是不会。 这样造成的结果就是,技术文章在有限的条件下偏离了造福一方的初衷。失去了安全的真正意义。

发表在 security | 标签为 , , , | 一条评论

网络现实安全之困,来自人的攻击

我是一个不善言辞的人,博客也只是随便写写画画之用,正好赶上修养期间,看到了这篇发表在网络安全新媒体上的文章,所以也就有了我这篇个人见解文。

http://www.freebuf.com/articles/es/163239.html 企业安全意识培训调查:哪种网络钓鱼邮件具有接近100%的点击率?

看到下面有人留言, 这方面的资料不好找, 社工工程学钓鱼不好防御, 如何能在最小资源的情况下做到让整体人员的安全意识提升?其实也难怪他会有这方面资料不好找的感觉,但是在网络上,有关钓鱼和反钓鱼的信息有很多,那他为什么还会有这种感觉呢? 其实我认为,主要原因有几大方面, 1. 这类文章众多, 但基本都不全面,存在漏掉部分或者错误部分,让人难以分辨。 2. 大多分析都过于片面化,有价值的钓鱼攻击一些企业单位或是为了体现自身技术水平或是有其他原因,往往会忽略钓鱼攻击的前因后果,只注重附件/可执行文件, 不注重它的文本内容。 3. 钓鱼科普内容缺乏趣味性,没有考虑到整体受众群还有非技术人员,就造成了技术人员认为太低级不屑于认真看,非技术人员认为太技术应付草草了事。 4. 钓鱼培训后往往只注重领导汇报结果, 极少会有科普的后期验证。 5. 内部钓鱼培训不管是几步走原则,往往只会进行一次或者两三次,忽略了人的记忆是有限制和网络是一直在发展的问题。结合以上, 就造成了培训人员认为难以培训做几, 受众群则认为你这是在浪费我的时间, 最终结果是黑客攻击成功,培训人员因为办事不力被开除。 继续阅读

发表在 security | 标签为 , , , | 留下评论

有关网站后台密码防御问题

看到了越来越多的网站被黑客或是通过sql注入或是通过其他途径获取到了加密后的密码,发现一个问题就是很多人加密通常只会使用md5这一个函数,打个比方,大部分人的登陆验证可能都是这么写的。(这只是一个例子,通过get获取敏感参数是不正确的)

发表在 security | 标签为 , , , , | 一条评论