摘要：最近，Google针对gmail被攻击事件，全面默认启用了始终以https访问Gmail的方式了。但是，对于可以动用整个国家力量的黑客来说，从网络通讯数据中（在此不讨论对用户电脑种木马破解https的情况，只讨论在网络通讯数据中破解https的方法）破解https除了暴力破解（暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等）之外真的别无他法了吗？事实并非如此。 我们知道，https的安全性主要是由SSL证书中的公钥和私钥来保证的。浏览器与服务器经过https建立通讯的时候（不考虑SSL代理方式需要用户提交证书的情况，因为我们现在讨论的是浏览器访问网站，和SSL代理无关.. 阅读全文

摘要：现在已经不常上博客来了，因为移动互联网的到来，资讯的获取大多数时候是在微博、微信、Pad 客户端上。无意中看到月光博文的这篇《电信级的RSA加密后的密码的破解方法》，个人的感觉是“匪夷所思”，一个堂堂的巨大公司居然会盗取用户的密码，这世界真是太不可思议了……算了，也不去论证这种事情存在的原因，以及它对如此巨量用户的伤害，作为一个普通的用户个体，在无法寄望于正常的保护后，我们还是来想办法怎么自己保护自己吧。 我们在网站上注册用户一般有两种原因，一种是临时性的，主要是为了下载或查看一些必须登录才有相应权限的资源资讯。在这种注册时，密码可以是很简单甚至固定的，同时用户名有一个特定的标识前缀或后缀，. 阅读全文

摘要：一直以来，电信通过HTTP劫持推送广告的方式已经存在了很多年了，这种手段至今并未停止。这种手段月光博客曾经有多次曝光，见《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器？》。虽然HTTP本身的不安全性导致有路由器控制权限的人（比如电信运营商）可以获得没有使用HTTPS登录认证的网站的注册用户的密码，但一开始我并不认为电信运营商会犯触犯法律的风险进行实施。但现在我发现我错了。 现在有证据显示电信运营商非但获取没有加密的HTTP登录的用户名和密码，还会通过HTTP劫持的手段获取通过RSA加密的用户名和密码。信息来源是国内最大的最权威的漏洞报告平台之一wooyun. 阅读全文

摘要：支付宝在其官方网站低调发布公告，从2013年12月03日开始在电脑上进行支付宝账户间转账，将收取手续费。公告称，在电脑上进行支付宝账户间转账费率降低为按每笔交易金额的0.10%收取，0.5元起收，10元封顶，原有的费率及免费转账额度将被取消。这就意味着，目前支付宝账户间可享受的每月20000元的免费转账额度，也将被取消。这也意味着，在电脑端登录支付宝进行转账操作，将无条件收取转账费用。 此外，支付宝在发布公告调整转账服务费率优惠政策时，还宣布“使用支付宝钱包进行支付宝账户间转账，推广期内一律免服务费”，也就是说推广期结束后，支付宝钱包进行账户间转账也会收取费用，前期的免费只是为推广期手机客户. 阅读全文

摘要：互联网巨头围猎智能路由器的战斗正在打响。多位消息人士透露，小米、百度、360和盛大等互联网巨头都将陆续发布智能无线路由器产品，2014年或将成为“智能路由器元年”。 智能路由器，即智能化管理的路由器，相比于普通路由器，其像个人电脑一样，具有独立的操作系统，可以由用户自行安装各种应用，自行控制带宽、自行控制在线人数、自行控制浏览网页、自行控制在线时间、同时拥有强大的USB共享功能，真正做到网络和设备的智能化管理。 围猎智能路由器 昨日晚间，小米董事长雷军通过新浪微博透露11月20日将发布“新玩具”。内部人士透露，这个新玩具就是小米路由器。“小米路由器将紧紧围绕小米手机—MIUI—盒子产业链... 阅读全文

摘要：英国国家打击犯罪调查局(NCA)发布国家紧急警报，警报一场大规模的垃圾邮件，这些邮件中包含了一款名为CryptoLocker的勒索程序，把目标瞄准了1千万英国的email用户，该程序会加密用户的文档，然后要求用户提供赎金才恢复用户的正常访问。调查局称，大部分接收到针对性垃圾邮件的用户来自银行或者其他金融机构。每封邮件包含了附件，这些附件看上去像是语音信箱，传真，发票或者可疑交易的详细信息，但实际上是加密用户计算机的Cryptolocker勒索软件。公众应注意不要点击任何此类附件。在受到感染的计算机中，Cryptolocker恶意软件的界面中会显示一个倒数计时器，要求支付2比特币（约536英镑） 阅读全文

摘要：1,分析目标网站内容及功能(1) 首先确定网站采用何种语言编写.或者是否有混用的情况.此处可以通过查看网站源文件,观察网站链接,捕获提交请求等方式获取.(2) 爬行网站目录,使用工具对网站目录进行爬行,可以辅助上一步让结果更加精准.将爬行结果存档,如果可以,此处应分析出网站是否使用通用程序,如果是,记录下来.进行下一步.(3) 根据上一步的爬行结果,对网站根目录或者关键目录进行暴力目录探测,如果网站为通用程序,判读是否有过二次开发,如非通用程序,在探测到的目录中寻找关键目录及文件.此步骤详细测试方法:1.输入并访问一些不可能存在的文件或目录名,再输入并访问一些通过目录爬行已知存在的目录及文件名 阅读全文

摘要：avast是捷克研发的杀毒软件，从网站上找到一篇avast关于网站安全的文章，觉得颇有意思，因此想到翻译过来与大家共享。有不对之处还望大家批评指正。一个拥有上万访问者的小型网站管理员发来一份信，向我描述了他的遭遇，我只能说：“你非常不幸，但是问题很常见。”信件原文：“一天早上，我收到很多用户的邮件，说他们的杀毒软件报告称我的网站被感染并被隔离。我想这一定是个错误因为我们不是电子商务网站。信件中只有发件人的地址和信息。是不是有人通过这种方式想黑我的网站？”我想，在多数情况下，答案肯定是“你的网站很可能沦落为一个自动化网络的一部分，它将使你的网站用户遭受漏洞攻击。”为什么黑客喜欢攻击小型网站？小型 阅读全文

摘要：微软在总部大楼内设立新网络犯罪中心（Cybercrime Center），旨在针对全球恶意软件、僵尸网络以及其他互联网犯罪行为进行实时追踪并予以打击。微软将“网络犯罪中心”设置在雷德蒙德总部大楼，目的是为了更好地结合与利用公司研究人员、安全专家以及法律顾问等资源。微软打击互联网犯罪已有数年之久，期间也曾为破获僵尸网犯罪作出重大贡献。微软成立网络犯罪中心一举，将公司在互联网安全方面的努力带到了新的高度。微软在追踪网络犯罪上使用的是自家技术，其中也包括PhotoDNA反儿童色情等已被Twitter和Facebook等互联网公司广泛采用的技术。微软网络犯罪中心将在公司总部大楼内隔出独立空间，为特定员 阅读全文

摘要：[个人心得]渗透测试的一些总结http://www.freebuf.com/articles/3562.html0×01 前言师弟们经常问我如何“黑网站”,这个问题答起来不是那么难又不是那么容易,为什么这么说呢? “千里之堤,溃于蚁穴”,有时候你只需了解很小 一部分知识却能对看似强大的一个集合造成巨大的破坏.诚然,渗透测试并不是一个简单的工作.它需要很广阔的涉猎面,和长期的经验积累.那么如何在渗透师的世界里练级打怪呢?我相信刚接触hacker的时候,每个人都应该看的一篇经典的WIKI:《How To Become A Hacker》,你可以在http://catb.org/~esr/ 阅读全文

摘要：一目录安全防御技术进化史安全防御技术的对抗静态特征码查杀启发式查杀云查杀二安全防御技术进化史基于特征码的静态查杀基于行为的启发式查杀主动防御技术基于虚拟机的启发式分析基于云安全机制的防御技术三安全防御技术的对抗静态特征码查杀静态特征码免杀针对macafee、Avira、Nod32、trendmicro免杀效果比较明显。动态调用API①特征码定位；②GetProcAddress获取API地址；③Call。代码混淆技术定位到被查杀的函数块，然后通过API乱序调用或者插入一些正常其它API调用，如释放文件时采用单个字节循环写入。底层API替代调用当模块在进行特殊操作的时候被杀，可以采用调用底层的AP 阅读全文

摘要：最近媒体报道了一种新型的能记录账号、密码输入的“USB键盘记录器”，引发网友关注，该设备看上去和普通U盘没什么区别，将其插入电脑USB接口，然后把键盘线和它连接，该设备就能够自动记录用户在电脑上输入的信息。 USB键盘记录器特点 该设备属于硬件式的木马设备，最大的特点是，目前所有防病毒软件都无法检测到这种新型木马，具有极高的隐蔽性。同时，这种键盘记录器可以记录下经键盘输入的所有信息，包括QQ账号、网银、游戏账号及密码，是一种应用广泛的盗号木马设备。 USB键盘记录器产品说明 根据这个产品的介绍，我也上淘宝和阿里巴巴搜索了一下，发现的确有一个名为“USB键盘记录仪 USB keyloo... 阅读全文

摘要：10月29日下午消息，360今日召开发布会发布“儿童卫士”手环，可随时定位孩子位置，并具备安全区域预警、通话连接等功能。这款手环售价199元，将于12月开始销售。 据360透露，儿童卫士具备三大功能： 一、随时定位。手环内置了专业级GPS芯片，可随时定位孩子位置。只要家长在智能手机上安装一个软件，通过手机向手环发送命令，就能知道孩子的位置，并能查找孩子某段时间内的行动轨迹。 二、安全区域预警功能。系统能够自动识别孩子佩戴手环期间常去的位置，一旦孩子的位置超出这些安全区域，系统就会自动向家长的手机发出报警，以提示孩子可能面临危险，另外家长也能设置一些安全区域。 三、建立通话连接功能。手... 阅读全文