使用公共WiFi?您的數據很容易被黑客攻擊!

2019-05-30 10:50    原創 　作者: 高博編譯　編輯:
0購買

每個人都可以輕鬆訪問公共WiFi，免費衝浪聽起來很酷，但是風險也很大。讓我們看看您的數據如何被輕鬆入侵的。

在當代網絡世界中，WiFi已成為一種至關重要的商品。無論地點的大小如何，WiFi現在安裝在每個角落; 從國際機場到小型報亭，您可以在任何地方找到互聯網連接。這些WiFi大多不是單獨運行的，而是對所有人開放的。每個人都可以輕鬆訪問公共WiFi，無論是商店的客戶還是路過的旅行者，他們都是完全免費的。這意味着您可以不用支付一分錢就能夠連接到網絡享受衝浪。

　公共WiFi的威脅

公共WiFi每年吸引數百萬用戶。根據一項調查，四分之三的人會在某個時間或地點使用公共WiFi，而且他們也不會多想。雖然免費衝浪聽起來很酷，但也有風險。由於公共WiFi是開放網絡，任何人都可以訪問它，因此存在多種威脅，甚至包括網絡罪犯。這裏列出了一些與公共WiFi相關的常見威脅，以警告用戶它可能有多不安全:

　●黑客和掠奪者

公共WiFi和熱點是黑客和掠奪者最喜歡的聚集地。使用公共WiFi，您發送和接收的所有數據都可供任何人查看。這些數據可能包括您的個人信息和秘密信息，如电子郵件，社交媒體帳戶、密碼，銀行詳細信息和其他重要內容。黑客充當您和指定站點之間的中間人，並記錄您帳戶的基本詳細信息。這些細節可以在以後用於任何未經授權或非法的目的。

　　●設備劫持

黑客和其他網絡犯罪分子比你想象的要聰明。他們不僅關注您的在線活動，還會想方設法入侵你的設備。如果您設備的文件共享選項已打開，您最有可能收到各種系統升級文件運行。當您使用公共WiFi時，這些文件通常都是惡意軟件; 一種可以劫持你的設備，讓網絡罪犯訪問你保存在設備中的所有離線數據的病毒。

　　●惡意的網絡

當你在街上或公共場所，有各種公共WiFi接近你的設備。其中一些WiFi是用密碼保護的，而其他的是對所有人開放。開放的公共WiFi是一個真正的威脅，因為它可能是由一些圖謀不軌的人創建的。當你的設備連接到一個可疑的網絡時，黑客就會控制你的設備。他們不僅可以窺視你的設備，還可以將你的設備用於任何非法目的。你甚至不會收到通過設備進行活動的任何通知。

　　●Cookie盜竊

　　Cookie盜竊是使用未加密站點的主要風險之一。沒有SSL連接的站點非常脆弱，任何人都可以輕鬆訪問這些站點的cookie。當你使用公共WiFi時，使用這些站點的風險會大大增加，因為它對數據盜竊沒有提供任何保護。

　●間諜和窺探

使用公共WiFi，監視和跟蹤任何用戶的活動變得容易得多。有一些小的硬件設備稱為數據包嗅探器或數據包分析器，通常由服務提供者安裝來監視網絡上的流量。但是設置這些設備非常簡單，任何人都可以安裝這些設備，使間諜和偵探的任務變得更容易。從這些設備中獲得的數據揭示了您通過網絡進行的所有在線活動的統計數據，並可能使您處於危險之中。

　●傳播病毒

公共WiFi通常是傳播病毒的媒介。有一種高級病毒，被稱為計算機蠕蟲，它可以在任何網絡上快速傳播。與需要特定程序才能運行的傳統計算機病毒不同，這些蠕蟲可以感染與受感染設備同一局域網內的任何設備。因為在公共WiFi上，很多人同時連接到同一網絡，所以你的設備很有可能成為受害者。

　　保持公共WiFi安全的提示

在互聯網上保持安全並非易事，當您使用公共WiFi時，此任務變得更具挑戰性。免費WiFi有其自身的誘惑，在某些情況下，從中獲益是不可避免的。雖然公共WiFi永遠不會完全安全，但這裡有一些技巧可以幫助你降低在線狀態的脆弱性：

　●只在需要時啟用WiFi

當你在公共場所時，請始終關閉設備WiFi，並僅在需要時啟用它。對於經常上網的人來說，這似乎是不必要的麻煩，但在公共場合，這是必須要做的事情。如果你的設備打開WiFi，它可以捕捉到周圍所有可用WiFi的信號，並自動連接到任何開放的公共WiFi。當WiFi一直處於活動狀態時，你的設備將面臨連接惡意網絡以及受到蠕蟲的風險。

　　●永遠不要連接未知的WiFi

密碼保護的公共WiFi比開放的公共WiFi更安全，更加適合選擇。當WiFi受到密碼保護時，它可以確保只有經過授權的人才能進入網絡，並降低黑客進入同一網絡的幾率。但是如果你真的需要連接到一個開放的公共WiFi，一定要和周圍相關的人確認WiFi的名稱。所有的流氓WiFi熱點通常使用與實際的商業WiFi名稱相似的名稱，如果你不小心，你很容易成為他們的獵物。

　　●安全瀏覽

在互聯網上瀏覽任何網站時，你都必須保持謹慎，因為這是一個充滿欺詐的世界。當你使用公共WiFi訪問未經授權的網站時，風險會成倍增加。所有經過授權並提供數據加密的站點都以HTTPS開頭。這些站點具有SSL連接，並在地址欄中標有鎖定標誌。沒有SSL連接的站點對通過其站點共享的數據不承擔任何責任，這無疑是一個風險因素，如果您的WiFi連接也不安全，這種威脅將會增加。

　●分享信息時要保持警惕

當你使用公共WiFi時，你設備之間的所有數據交易都很容易被監聽。在使用公共WiFi時，要警惕你所共享的內容，不要通過開放網絡進行任何重要的交易。你的銀行信息和重要的商業文件可能因為你的疏忽而面臨風險。

此外，限制你在公共熱點的社交媒體上衝浪，因為這會為你的個人信息招來攻擊者。通過公共網絡登錄也為網絡罪犯訪問我們的帳戶細節和密碼提供了便利，使您的帳戶更容易受到黑客攻擊。為了安全起見，只有在需要時才登錄您的帳戶，並在任務完成后立即註銷。

　　●選擇VPN

VPN是最安全的上網方式，能夠提供最好的網絡安全。它是一個虛擬專用網絡，為您分配一個匿名代理，該代理通常位於與當前位置不同的位置。它可以讓你偽裝你的真實身份和地理位置，讓你遠離黑客和間諜。

VPN還為您所有的在線事務提供一個加密通道，並對其進行編碼，使得任何人都無法在從一端到另一端的交易過程中訪問任何信息。它消除了任何偷看和窺探的機會。

虛擬專用網還可以在你的設備和輸入流量之間建立一個屏障，防止惡意軟件和病毒進入。雖然這通常是一項付費服務，但它值得投資。

　　●確保你的設備

就像你的連接需要安全一樣，你的設備也需要安全防護罩。通過在設備上啟用防火牆來保護您的設備。它的彈出通知可能很煩人，但它的目的是保護你的設備免受基於數據的惡意軟件威脅。即使你想讓你的設備在大部分時間關閉防火牆，但至少在使用公共WiFi時要啟用它。

防病毒和防惡意軟件軟件是您設備安全的必備軟件。它可以保護您的設備免受入侵病毒的侵害，並在您的設備中存在任何可疑活動時向您發出警報。如果您經常在設備上使用公共WiFi，則投資更新版本的防病毒軟件變得更加重要。

　　●忘記網絡

當您連接任何公共WiFi時，請在離開時從設備中刪除WiFi和密碼。保存的WiFi通常會在再次與設備接觸時自動連接，而不會提醒您，這可能會對您的設備安全構成威脅。

　　結論

公共WiFi無法完全避免。他們為你提供了一種工具，讓你在旅途中不花一分錢就能與世界建立聯繫。任何地方都可以提供免費服務。無論你是在外出差還是在國外度假，免費的公共WiFi都是一件好事。

公共WiFi存在許多威脅，尤其是沒有任何密碼保護的威脅，但您可以通過採取簡單的預防措施來保證自己的安全。這些安全提示可以保護您免受黑客的一般欺騙。但是，如果您經常使用公共WiFi，則必須投資付費VPN和可靠的防病毒軟件，以確保設備和在線交易的完全安全。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

使用公共WiFi?您的數據很容易被黑客攻擊!

360發布Q1手機安全報告 揭露釣魚網站域名備案黑產

2019-05-31 08:56    原創 　作者: 高博　編輯:
0購買

確認是“正規”備案域名，怎麼還是被騙了?360手機先賠接到用戶反饋，其在確認了某低價遊戲裝備售賣平台是正規企業備案后，在平台充值購買了商品，但後續客服卻要求繳納各式各樣的費用，用戶多次繳費仍未得到應有商品，最終發現被騙。

其實，這樣的案例不在少數，域名備案已經成為一些虛假網站常用的迷惑方式。360安全大腦、360互聯網安全中心近日發布的《2019年第一季度中國手機安全狀況報告》(以下簡稱“報告”)，對釣魚網站域名備案灰色產業鏈條進行了揭露和分析。

釣魚網站也有域名備案 實為非法篡改或搶注

360安全大腦在對多個已備案釣魚網站進行域名溯源分析時發現，備案釣魚網站所使用的域名多曾經出現在域名售賣平台，且多為搶注域名。

備案域名售賣平台多通道搶注域名

　　報告指出，原註冊備案過的域名，因到期后未續費而被域名註冊商進行售賣，由於未進行備案銷戶，備案信息仍與原域名綁定，所以此類域名被搶注並使用時，備案信息仍显示為原註冊備案信息。

這類由於備案域名售賣平台，往往設置了多條服務器線路進行域名監控搶注，更有甚者還提供“快速備案”即代備案服務，如共享備案與獨立備案。所謂共享備案，是將域名掛靠備案至已備案域名的機構或個人名下;而獨立備案需要企業對應獨立域名，不法分子將域名信息修改，再使用指定的營業執照進行備案，即可完成。這樣的操作給釣魚網站留下了空子。

　備案域名迷惑消費者 成網絡黑產搶手貨

域名備案是為了防止不法分子在網上從事非法的網站經營活動，由有關部門對網站進行備案。而對於釣魚網站等非法經營性網站來說，擁有了備案過的域名，就相當於擁有了矇混過關的一道“屏障”，既可以迷惑消費者，又可以通過安全軟件的初步審核。

這也讓備案域名成為了網絡黑產搶手的“快消品”。比如，博彩類網站通過企業備案信息假冒棋牌類遊戲，通過金融類備案域名冒充銀行及金融平台，通過某科技有限公司備案域名冒充網游交易平台，通過企業備案域名開展各類虛假紅包、遊戲活動等等。

某虛假網游交易平台詐騙事發時，域名曾用備案主體為山西某商貿公司

　　360安全大腦監測發現，由於互聯網的延伸性，商品的購買渠道多種多樣，在電商平台、搜索引擎、社交平台等多個渠道都發現了售賣備案域名的蹤影，備案域名售賣渠道逐漸呈現多樣化趨勢。

各渠道出售的備案域名品類也十分多樣化，涵蓋個人備案、企業備案、社會團體備案、政府機關備案、事業單位備案等多種品類，甚至包括醫院門診部、衛生局、教育局、司法廳等等。釣魚網站通過非法途徑獲得了這些類型的域名備案，用戶就更加防不勝防了。

　　360安全大腦詳解鑒別辦法

隨着安全攻防技術的升級，黑灰產業產出了綠標域名、防紅域名、二級防封域名用於對抗安全軟件攔截，如將已被安全軟件攔截的域名生成企業備案的短鏈網址、只使用二級域名或搶注某些事前已被安全軟件收錄並標記為安全的域名。

但360安全大腦提醒，安全廠商可根據whios信息的續注時間與首次註冊時間判斷域名是否屬於搶注域名，如正常過期刪除域名，此類域名註冊時間在搶注成功后重新計算。對於普通消費者而言，可結合網站內容、備案信息、備案企業經營範圍進行判斷，如果信息不匹配，則可判斷有虛假網站嫌疑。

報告中以一個冒充中國工商銀行的網站為例，該釣魚網站界面雖與中國工商銀行頁面類似，但查詢備案信息卻發現是某市門診部，明顯屬於網站內容與備案信息不匹配，即可判斷出此網站屬於虛假網站。

《2019年第一季度中國手機安全狀況報告》中指出，2019年第一季度，360互聯網安全中心在PC端與移動端共為全國用戶攔截釣魚網站攻擊約73.6億次，攔截各類新增釣魚網站502.1萬個，同比去年同期下降了62.3%。從新增數量上來看，釣魚網站增長趨勢趨於平緩，但仍不可小覷，需要用戶注意。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置，台北網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

360發布Q1手機安全報告 揭露釣魚網站域名備案黑產

如何有效應對無文件攻擊？

2019-05-31 14:53    原創 　作者: 高博　編輯:
0購買

近年來，一種被稱為無文件攻擊的滲透形式與日俱增，逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%， 並且還在持續增長，知名安全公司Carbon Black對超過1000名用戶(擁有超過250萬個包括服務器和PC在內的主機)進行分析后發現，幾乎每個組織都遭到了無文件攻擊。平均每3個感染中就有1個是無文件攻擊造成的。早在2017年4月，黑客通過新型惡意軟件 “ATMitch”，以“無文件攻擊”方式，一夜劫持俄羅斯8台ATM機，竊走80萬美元。在今年年初，全球40個國家的140多家包括銀行、電信和政府機構等組織遭到 “ATMitch”無文件攻擊，感染機構遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。在全球經濟和網絡一體化的時代，中國用戶同樣不能倖免。據悉，國內54%的公司經歷過1次或多次破壞了數據或基礎設施的成功攻擊，其中77%的攻擊利用了漏洞或無文件攻擊。

　無文件攻擊並非沒有文件

以無文件攻擊中最常見的一類(無文件挖礦攻擊)舉例：如果用戶在點開文檔之後，電腦瞬間被卡，反應速度緩慢，不能工作。關機重啟之後，電腦卻照樣沒反應，散熱風扇山響，CPU資源佔用了100%……殺毒軟件查不到任何異常……一旦出現以上情況，用戶電腦十有八九是遭到無文件挖礦攻擊。

無文件挖礦攻擊並非沒有文件基礎，只是因為在此類攻擊中，系統變得相對乾淨，傳統的防毒產品識別不出，更談不上及時通知技術人員進行防禦了，這就造成了這種攻擊好像沒有文件基礎的假象。這種無文件惡意攻擊主要是靠網絡的方法，在內存里存上一串惡意代碼，沒有落地文件，這樣一來，殺毒軟件就很難發現其蹤跡了。

　　對付無文件攻擊，傳統安全手段失靈

任何惡意代碼，只要重啟電腦，內存就清除。可是重啟對無文件攻擊沒有作用。無文件攻擊通常採用powershell.exe，cscript.exe，cmd.exe和mshta.exe運行遠程腳本，該腳本不落地到本機內，同時將該任務設置為計劃任務或者開機啟動，重啟無效。這些程序都是系統的合法程序，殺毒軟件自然無可奈何。無文件攻擊在成功潛入內存並安定下來后，便可以為所欲為，或進行挖礦、加密文件進行勒索、連接遠程C&C下載更多病毒文件等。一切操作都是披着合法外衣悄悄進行，不僅獲得了權限，是合法的，而且也不大，所以幾乎不會被殺毒軟件發現。

　　無文件攻擊的傳播迅猛

無文件攻擊的傳播極快。以今年4月，傑思安全的某重要用戶網內大面積爆發無文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內存中執行，沒有本地落地文件，攻擊內置兩種橫向傳染機制，分別為Mimikatz+WMIExec自動化爆破和MS17-010“永恆之藍”漏洞攻擊，堪稱火力全開，極易在內網迅猛擴散。從下圖，我們可以感受無文件無文件攻擊是有多麼兇猛。

攻擊順序如下：

1.首先，挖礦模塊啟動，持續進行挖礦。

2.其次，Minikatz模塊對目的主機進行SMB爆破，獲取NTLMv2數據。

3.然後，WMIExec使用NTLMv2繞過哈希認證，進行遠程執行操作，攻擊成功則執行shellcode使病原體再複製一份到目的主機並使之運行起來，流程結束。

對付無文件攻擊，主機防護是關鍵

截止4月25日，傑思獵鷹主機安全響應系統在該用戶已部署安全探針的1426台主機上，共阻止端口掃描行為24813次，發現端口掃描攻擊源IP共36個;共阻止暴力破解行為2021585次，發現暴力破解源IP共28個。有圖為證：

　　(為了保護用戶安全，打碼處理)

　　不得不說，該用戶的內網主機經歷了一場有驚無險的圍攻，最終化險為夷，安然無恙。該用戶的員工在使用中並沒有太多異樣感覺，殊不知他們在正常工作的時候，傑思獵鷹主機安全響應系統一直在默默地保駕護航。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

如何有效應對無文件攻擊？

關於網絡安全防禦，每个中小企業應該知道的5件事

2019-05-31 16:24    原創 　作者: 高博編譯　編輯:
0購買

根據美國商業促進局(BBB)的數據显示，你可能會驚訝地發現，小型企業佔北美所有企業的97%以上。根據這個統計数字，我認為好消息是，在所有網絡攻擊中，針對小企業的攻擊不到一半。壞消息是，當中小企業受到攻擊時，大多數企業將無法生存，但事實可能並非如此。接下來讓我們一起來看一下，關於網絡安全防禦，中小企業的高管們都應該知道哪些事。

1. 中小企業是有吸引力的目標：根據SCORE的數據显示，有43%的網絡攻擊是針對小企業的，而2018年Verizon數據泄露調查報告發現，58%的小企業遭遇過網絡攻擊，成功率很高。除了可以直接從中小企業竊取信息外，黑客還可以將中小企業作為更大規模攻擊的啟動平台，並滲透到更大的組織中。他們持續發動攻擊，企圖獲得最大的回報，這意味着中小企業將繼續留在他們的視野之內。

2. 攻擊的影響可能是毀滅性的：根據活動的性質和範圍，對這些企業來說，從網絡攻擊中恢復過來可能是困難的，而且代價高昂，甚至是不可能的。中小型企業擁有多個分支或業務部門的可能性較小，而且它們的核心繫統通常相互聯繫更加緊密。當這些組織遭遇網絡攻擊時，威脅可以快速且容易地從網絡傳播到其他系統，造成毀滅性的影響。BBB詢問北美的小企業高管：“如果您永久失去對基本數據的訪問權限，您的企業能持續盈利多久?”只有約三分之一的企業表示，它們的盈利能力能夠維持3個月以上。超過一半的企業表示，它們將在不到一個月的時間里無利可圖。

3.在思科對26個國家1816家中小企業的調查中，我們發現中小企業最關心的是這些網絡威脅：

•針對員工的針對性攻擊——想想精心策劃的網絡釣魚活動

•高級持續威脅——世界上從未見過的高級惡意軟件

•勒索軟件——這可能尤其有害，因為中小企業更傾向於支付贖金，因為它們根本負擔不起停機時間和無法訪問關鍵數據所帶來的損失。

4.不要忘記這些其他的威脅：儘管人們對勒索軟件感到擔憂，但隨着越來越多的對手將注意力轉向加密——竊取計算能力，以開採加密貨幣並創造收入，這種威脅正在減弱。當加密軟件進入一個環境時，它會降低系統性能，具有監管方面的影響，並表明SMB更容易受到其他類型的威脅。

此外內部威脅也在上升，沒有任何組織能倖免。但這並不意味着每家公司都有員工惡意地將公司置於風險之下。粗心大意的員工或承包商通常是根本原因。

5、這些建議可以幫助加強防禦。有許多方法——跨越人員、流程和工具，來推動網絡安全方面的改進。以下是一些建議：

•正確看待外包和雲：與規模更大的企業一樣，中小企業也面臨網絡安全人才短缺的問題，因此許多企業希望通過外包和雲計算來幫助加強防禦。兩者都是幫助企業充分利用有限資源的有效手段。然而，如果企業認為外包供應商或雲合作夥伴可以提供它們內部缺乏的所有功能，那麼它們可能會遇到麻煩。中小企業應該了解，外包安全提供商提供的分析和監視服務的範圍，以及雲提供商提供的安全控制的類型和影響。

•加強安全流程：對安全實踐的全面審查有助於組織確定其防禦中的弱點。這些流程在中小型企業中並不常見，可能是由於缺乏人員配備，但最終它們可以在很大程度上減輕員工的負擔。通過回顧安全實踐，中小企業可能發現他們需要加強或添加以下內容:一致的訪問權限管理和職責隔離、網絡分段、密碼管理、備份關鍵數據並確認這些備份不會受到損害，以及正在進行的員工安全意識培訓。

•尋找集成的工具：中小企業考慮使用新工具時，要避免增加要管理的供應商數量。選擇一個開放平台，在共享數據和威脅情報方面簡化與工具的集成，而不是與單個產品進行鬥爭，每個產品都生成自己的一組警報，使識別那些構成最大風險的威脅變得困難。這樣的平台還可以提供自動化功能，從不同的安全產品中提取數據，並將它們聚合到一個易於閱讀的窗格中，從而節省大量的時間和挫折，同時提供更好的可視性和控制。

即使中小企業沒有資源進行全面的安全性評估和全面檢查，但增量更改也比沒有好。同樣重要的是要記住，隨着威脅形式和攻擊面的不斷演變，安全措施措施必須在此基礎上不斷進行審查和修訂。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

關於網絡安全防禦，每个中小企業應該知道的5件事

密碼設置需避開哪些雷區?

2019-06-04 10:53    原創 　作者: Olli Jarva　編輯:
0購買

當今互聯網給人們的生活帶來便利的同時，也讓網絡安全、信息安全成為當下熱議的話題。比如，數據泄露問題或者密碼泄露問題都給大眾帶來了極大的擔憂。就密碼管理而言，如今許多公司都會制定密碼管理策略，但是在制定密碼管理策略時，會有哪些常見的問題也需要引起高度關注。

雖然現在身份驗證技術已經更加成熟，但是密碼仍然是保護我們最敏感信息的主要途徑。密碼是防禦潛在入侵者試圖模仿另一個用戶的第一道防線，但這樣的防護往往比較弱。用戶通常想創建易於記憶的密碼，使用出生日期或紀念日，甚至寫下來。開發人員則想盡可能少地投入密碼管理策略中。畢竟，研發新功能比密碼管理和存儲更令人興奮、更有趣。

許多密碼本身安全性非常弱，很容易猜得到，攻擊者就會有機可乘。最糟糕的是，我們信任的密碼存儲系統和其它關鍵信息的系統也面臨着許多安全挑戰。黑客會反覆嘗試密碼數據庫進行盜竊，攻擊者同夥經常會破壞那些保護數據的模式。

我們探討一下公司在密碼管理策略方面做出的一些常見錯誤。讓在下面的討論中，我們將提到“在線攻擊”和“離線攻擊”。在線攻擊是對應用程序登錄頁面的攻擊，攻擊者試圖猜測用戶的密碼;離線攻擊是攻擊者獲取密碼數據庫副本，並嘗試計算存儲在其中的用戶密碼的攻擊。

　　您已限制用戶可以使用的字符數量或種類

　推理：安全人員反覆告訴開發人員驗證所有輸入以防止各種攻擊(例如，注入攻擊)。因此，根據某些規則來制定驗證密碼的規則必然是一個好主意，對吧?

攻擊：限制密碼中字符數量或種類的問題是減少了可能的密碼總數。這使得在線和離線攻擊更容易。如果我知道只允許在密碼中使用特殊字符!和@，那也就是我知道用戶密碼都沒有包含#，$，%，<和>等字符。此外，如果我知道只允許長度為8到12個字符的密碼，我也就知道所有用戶都沒有使用13個字符或更長的密碼。如果我想猜測用戶的密碼，這些規則可以讓我的工作變得更輕鬆。

但是SQL注入、跨站點腳本，命令注入和其它形式的注入攻擊呢?如果遵循密碼存儲最佳做法，您將在收到密碼后立即計算密碼的哈希值。然後，您將只處理哈希密碼，不必擔心注入攻擊。

　　防禦：允許用戶選擇包含任意字符的密碼。指定最小密碼長度為8個字符，但在可行的情況下允許任意長度的密碼(例如，將它們限製為256個字符)。

　　您在使用密碼組合規則

　　推理：大多數用戶選擇容易猜到的密碼。我們可以通過讓用戶選擇包含幾種不同類型字符的密碼，以強制用戶選擇難以猜測的密碼。

　　攻擊：安全專業人員曾經認為，讓用戶選擇包含各種字符類型的密碼會增強密碼的安全性。不幸的是，研究表明這通常沒有幫助。 “Password1!”和“P @ ssw0rd”可能遵循了許多密碼組合規則，但這些密碼並不比“password”更強。密碼組合規則只會讓用戶難以記住密碼;它們不會讓攻擊者的工作變得更加困難。

　防禦：擺脫密碼組成規則。在應用程序中添加密碼複雜性檢查功能，告訴用戶他們的密碼選擇是否明顯強度偏弱。但是，不要強制用戶在其密碼中添加数字、特殊字符等。稍後，我們將討論如何使應用程序更安全，以防止安全性弱的用戶密碼。

　　您沒有安全地存儲密碼

　　推理：加密哈希函數是單向函數。因此，存儲哈希密碼應該可以防止攻擊者計算出它們。

　　攻擊：與前面討論過的兩個問題不同，這個問題通常只與離線攻擊有關。許多企業和組織的密碼數據庫都被盜了。當掌握了被盜密碼庫和強大的計算能力，攻擊者通常可以計算出許多用戶的密碼。

存儲密碼的常用方法是使用加密哈希函數，對密碼進行哈希處理。如果最終用戶選擇完全隨機的20+字符密碼，這種方法將是完美的。例如密碼設成：/K`x}x4%(_.C5S^7gMw)。不幸的是，人們很難記住這些密碼。如果簡單地對密碼進行哈希處理，則使用彩虹表攻擊就很容易猜到用戶選擇的典型密碼。

阻止彩虹表攻擊通常需要在對每個密碼進行散列之前添加隨機“鹽”。“鹽”可以與密碼一起存儲在清除中。不幸的是，加鹽的哈希並沒有多大幫助。 GPU非常擅長快速計算加鹽哈希值。能夠訪問大量加鹽哈希和GPU的攻擊者將能夠使用暴力破解和字典攻擊等攻擊合理且快速地猜測到密碼。

有太多不安全的密碼存儲機制，值得專門寫篇文章去探討。不過，我們先來看看您應該如何存儲密碼。

防禦：有兩種主要機制可以防止攻擊者：一種是使哈希計算更加昂貴，另一種是向哈希添加一些不可估測的東西。

為了使哈希計算更加昂貴，請使用自適應哈希函數或單向密鑰派生函數，而不是密碼哈希函數來進行密碼存儲。加密哈希函數的一個特性是它們可以被計算出來;這個屬性導致它們不適合用於密碼存儲。攻擊者可以簡單地猜測密碼並快速散列以查看生成的哈希值是否與密碼數據庫中的任何內容匹配。

另一方面，自適應哈希函數和單向密鑰導出函數具有可配置的參數，這些參數可用於使哈希計算更加資源密集。如果使用得當，它們可以有助於充分減緩離線攻擊，以確保您有時間對正在受到攻擊的密碼數據庫做出反應。

這種方法的問題在於，每次要對用戶進行身份驗證時，都必須自己計算這些哈希值。這會給服務器帶來額外負擔，並可能使應用程序更容易受到DoS(拒絕服務)攻擊。

或者，您可以添加一些不可猜測的密碼哈希值。例如，如果要生成一個長隨機密鑰，將其添加到密碼哈希值以及唯一的隨機鹽，並且穩妥地保護密鑰，那麼被盜密碼數據庫對攻擊者來說將毫無用處。攻擊者需要竊取密碼數據庫以及能夠使用離線攻擊計算出用戶密碼的密鑰。當然，這也產生了一個需要解決的非常重要的密鑰管理問題。

　　您完全依賴密碼

　　推理：密碼必須是驗證用戶身份的好方法。其他人都在使用它們!

　　攻擊：即使用戶執行上述所有操作，以使在線和離線攻擊更加困難，也無法阻止其它應用程序/網站執行不恰當的操作。用戶經常在許多站點上重複使用相同的密碼。攻擊者經常會在某平台嘗試從其它平台盜取密碼。

此外，用戶成為網絡釣魚攻擊的受害者，因為一些用戶無論密碼要求如何都會選擇安全性弱的密碼，等等。

　　防禦：要求用戶使用多因素身份驗證登錄。請記住多因素身份驗證的含義：使用至少兩種不同因素進行身份驗證(典型因素是您知道的事情、擁有的物品、以及生物識別等等)。使用兩種不同的密碼(例如，密碼+安全問題的答案)不是多因素身份驗證。同時使用密碼和動態口令屬於多因素驗證的一種。此外，請記住，某些多因素身份驗證機制比其它多因素身份驗證機制更安全(例如，加密設備比基於SMS的一次性密碼更安全)。無論如何，使用某種形式的多因素身份驗證總是比僅依靠密碼更安全。

如果必須僅使用密碼進行身份驗證，用戶則還必須採取某種類型的設備身份驗證。這可能涉及設備/瀏覽器指紋識別，檢測用戶是否從不尋常的IP地址登錄，或類似的方式。

　結論

如您所見，處理用戶密碼時需要考慮很多事項。我們還沒有談到密碼輪換策略、帳戶鎖定、帳戶恢復、速率限制，防止反向暴力攻擊等等。

有一個很重要的問題需要考慮：您是否可以將用戶身份驗證轉給其他人?如果你是一家金融機構，答案可能是否定的;如果您要把最新的貓咪寵物視頻給別人看，在此之前需要驗證，那這種情況下答案應該是可以的;如果您正在開發面向企業員工內部使用的應用程序，請考慮基於SAML的身份驗證或LDAP集成;如果您正在開發面向公眾的應用程序，請考慮使用社交登錄(即使用Google，Facebook等登錄)。許多社交網站已經投入大量精力來保護其身份驗證機制，併為用戶提供各種身份驗證選項。您不需要全盤重來。

在不必要的情況下實施用戶身份驗證會給企業和用戶都帶來麻煩，甚至有潛在危險。創建安全的用戶驗證機制困難且耗時。可您是真的想要處理被盜用的密碼數據庫，還是攻擊者在身份驗證機制中發現漏洞?而且用戶有更重要的事情要做，而不是記住另一個密碼!

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

密碼設置需避開哪些雷區?

梆梆安全：做以結果為導向的安全服務商

2019-05-24 15:56    原創 　作者: 李雪薇　編輯:
0購買

【IT168評論】作為國內領先的安全服務提供商，梆梆安全不談概念，始終從基本出發，致力於解決客戶的根本性問題。通過運用領先技術提供專業可靠的服務，為全球政府、企業、開發者和消費者打造安全、穩固、可信的安全生態環境，其用戶遍及金融、政府、企業、運營商等各大行業，覆蓋亞洲、歐洲及北美等市場。

憑藉在移動應用安全領域多年的技術耕耘和積累，梆梆安全已然是當之無愧的龍頭企業。從最早的工具化技術服務到如今的整體移動安全平台化服務，包括移動安全服務平台、移動威脅感知平台、移動應用測評平台等綜合性安全產品，梆梆安全為用戶提供了全方位的移動安全保障。

　　▲梆梆安全首席安全官付傑

　　現如今，梆梆安全不再只專註於移動應用安全單一領域，而是找准程序安全這根主線，向程序安全廠商轉型。付傑表示，“梆梆安全是技術人員出身，我們明白什麼是最根本最有價值的問題。市場給予我們很多信心，讓我們備受鼓舞。未來三年，我們會堅持這條路線不變，然後做橫向和縱向的拓展。”

　八年見證梆梆安全的成長

回顧梆梆安全八年的技術路線，大體處於波動式上升、漸進式增長的趨勢。從2010年到2012年，梆梆安全經歷了一段迷茫。從2012到2015年，梆梆安全用了三年的時間，來專註App保護。付傑指出，“在前五年，梆梆安全主要做最基礎的安全產品，身上真正的信息安全屬性並不是很強。”

從2016年到2017年，梆梆安全更加關注PPDR體系下的程序安全，以及更加寬泛的程序安全，包含移動、雲、物聯網、AI等。2018年是梆梆安全歷史上不平凡的一年，公司通過明確的市場定位，從App安全廠商開始向程序安全廠商轉型。

付傑表示，“梆梆安全轉型主要體現在兩個方面，在程序保護對象方面，從App變成一個泛程序對象。在安全保護技術方面，從單點的加固混淆加密技術到基於PPDR安全架構的全方位解決方案，包含預測、保護、檢測、響應安全能力。”

2019年到未來三年，梆梆安全將要構建泛程序安全技術體系，打造可信的程序，為萬物互聯的時代構建信息基石。這意味着，未來梆梆安全將會圍繞程序安全為用戶在技術層面上提供泛程序安全的產品和方案，在服務層面上提供泛安全服務，真正成為可以託付信賴的安全服務供應商。

　　▲用計算機科學的基礎技術來解決信息安全問題

　　付傑認為，“安全行業不是一個獨立存在，是生長在基礎計算機科學技術上的一個分支，編譯器、SCA、操作系統、芯片體系架構上的技術，都應該被信息安全行業所用。”

堅持做一家特立獨行的安全公司

梆梆安全讓程序更加安全、更加可信，讓程序員開發的軟件代碼，成為業務發展可以信賴依靠的基礎設施。付傑表示，“我們很像一個安全行業的苦行僧，做基礎工作很苦，也很難獲得商業價值，但我們始終堅持最基礎的目標：代碼安全可信、執行過程可信、執行環境可信。”

安全需要更加系統性、以結果為導向、關注投入產出比。一個層面的產品或技術，不會解決等保2.0的合規。程序安全是基石，但是客戶想要的是以問題及結果為導向：大型客戶期望更加體系化的安全方案，高数字資產中小客戶期望一站式解決某個專項問題。

安全更加要求系統性，安全問題從來不會獨立存在，總是依附於實體(組織架構和業務)，以企業SDLC安全為例，實施一個SDLC安全需要：組織架構上設立獨立的安全部門、制定安全基線及審核標準、建立SDLC安全開發制度流程、培訓員工相關知識與意識、支撐SDLC過程安全的一系列安全工具等。

安全更加註重問題導向，客戶和供應商的對話內容正在變成：“我要你解決這個問題”，而不是“我要買一個什麼”。客戶希望供應商為某個結果負責，而不是僅僅在過程中提供幫助。作為一家信息安全公司，梆梆安全認為，客戶是否從我們這裏獲得“安全感”，是對於我們產品服務的更高要求。

安全更加註重效能，客戶更加註重控制手段投入和風險損失的衡量，對於任何安全項目的實施，耗費的不僅僅是客戶的金錢，還有人力、時間及機會。每個信息安全企業都應該把投入產品比最大化作為服務客戶的重要價值取向，提供適合客戶的安全服務。在程序安全領域，客戶需要能夠提供更大範疇可信服務的供應商。

　　▲支撐可信安全服務的產品技術體系

　　為了應對這種需求變革，梆梆安全開始從產品技術供應商轉型為安全服務供應商。“我們雖然還沒有成年，但應該像成年人一樣，為客戶的結果負責。這就要求我們提供的東西不僅是簡單的產品和技術，應該是以結果為導向的整個服務解決方案，包含產品、技術、服務、知識庫，甚至駐場人員的一個完整的體系。”

記者了解到，目前梆梆安全的安全服務主要有三個方向，一個是軟件安全服務，裡面包含了諮詢、評估、滲透、培訓等軟件生命周期的安全體系。第二個是隱私合規安全服務，其中涉及諮詢、服務、產品、整改，還有法務等方面的工作。第三個是等保合規安全服務。

除此之外，付傑還說道，“我們還拓展了很多新的服務，特別是數據安全服務、數據安全治理服務。我們依託的是對核心技術的理解、核心產品，以及外部有益的補充，最終負責客戶某一層面的問題。六個月後，我們會成立獨立的安全諮詢公司，然後完成徹底的去移動化，最終成為全球安全服務的領跑者。”

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

梆梆安全：做以結果為導向的安全服務商

網站內容來源http://server.it168.com/

針對新型進程注入技術Ctrl-Inject原理分析

2018-05-15 09:45    來源：安全客 　作者: Rotem Kerner　編輯:
0購買

　　概述

在本文中，我們將主要介紹一種新型的進程注入方法，我們稱之為“Ctrl-Inject”，它利用控制台應用程序中處理Ctrl信號的機制實現注入。在研究的過程中，我們在瀏覽MSDN時發現有一條關於Ctrl信號處理的相關評論：“這是一個與SetConsoleCtrlHandler函數( https://docs.microsoft.com/en-us/windows/console/setconsolectrlhandler )一起使用的函數，由應用程序定義。控制台進程使用此函數來處理進程收到的控制信號。當收到信號后，系統會在進程中啟動一個新的線程來執行該函數。”這也就意味着，每次我們觸發一個信號到一個基於控制台的進程時，系統都會調用一個在新線程中調用的處理函數。正因如此，我們可以藉助這一特點，來實現一個不同於以往的進程注入。

　　控制信號處理

當用戶或進程向基於控制台的進程(例如cmd.exe或powershell.exe)發送Ctrl + C(或Break)信號時，系統進程csrss.exe將會在目標進程中創建一個新的線程來調用函數CtrlRoutine。CtrlRoutine函數負責包裝使用SetConsoleCtrlHandler的處理程序。接下來，我們深入研究一下CtrlRoutine，首先注意到了下面這段代碼：

該函數使用名為HandlerList的全局變量來存儲回調函數列表，在該函數中會循環執行，直到其中一個處理程序返回TRUE(通知該信號已被處理)為止。為了使處理程序成功執行，它必須滿足以下條件：1、函數指針必須正確編碼。處理程序列表中的每個指針都使用RtlEncodePointer進行編碼，並在執行之前使用RtlDecodePointer API進行解碼。因此，未經編碼的指針很有可能會導致程序崩潰。2、指向有效的CFG(Control Flow Guard，控制流防護)目標。CFG通過驗證間接調用的目標是否為有效函數，來嘗試對間接調用進行保護。我們來看一下SetConsoleCtrlHandle，看看它如何設置一個Ctrl處理程序，以便我們以後可以模仿其方式。在下圖中，我們可以看到各個指針在添加到HandlerList之前是如何編碼的。

接下來，我們看到了一個名為SetCtrlHandler的內部函數調用。該函數更新了兩個變量：一個是HandlerList，用於添加一個新的指針;另一個全局變量是HandlerListLength，增加了它的長度以適應新的列表大小。

現在，由於HandlerList和HandlerListLength變量駐留在kernelbase.dll模塊中，並且該模塊會映射到所有進程的相同地址，所以我們可以在進程中找到它們的地址，然後使用WriteProcessMemory在遠程進程中更新它們的值。我們的工作還沒有完成，考慮到CFG和指針編碼的存在，我們需要找到一種方法來繞過它們。

　　繞過指針編碼

在Windows 10之前的版本中，我們需要理解指針編碼、解碼的工作原理，從而應對指針編碼保護。接下來，我們一起深入了解一下EncodePointer的工作原理。

開始，存在一個對NtQueryInformationProcess的調用，其定義如下：

NTSTATUS WINAPI NtQueryInformationProcess(

_In_HANDLE ProcessHandle,

_In_PROCESSINFOCLASS ProcessInformationClass,

_Out_ PVOIDProcessInformation,

_In_ULONGProcessInformationLength,

_Out_opt_ PULONG ReturnLength

);

根據上述定義，我們可以做出以下假設：1、ProcessHandle：當傳遞-1的值時，它代表引用調用進程的函數。2、ProcessInformationClass：該參數的值為0x24，這是一個未公開的值，要求內核檢索進程加密Cookie。Cookie本身駐留在EPROCESS結構中。在檢索加密Cookie后，我們可以看到幾個涉及輸入指針和加密Cookie的操作。具體為：

EncodedPointer = (OriginalPointer ^ SecretCookie) >> (SecretCookie & 0x1F)

一種繞過的方法，是使用CreateRemoteThread執行RtlEncodePointer，並將NULL作為參數傳遞給它，如下所示：1) EncodedPointer = (0 ^ SecretCookie) >> (SecretCookie & 0x1F)2) EncodedPointer = SecretCookie >> (SecretCookie & 0x1F)這樣一來，返回值將被Cookie旋轉的值增加到31倍(在64位Windows 10環境上該值為63，即0x3f)。如果我們在目標進程上使用已知的編碼地址，就能夠暴力猜測出原始Cookie值。以下代碼展示了如何對Cookie進行暴力猜測：

在Windows 10及以上版本中，微軟非常慷慨地為我們提供了一組新的API，稱為RtlEncodeRemotePointer和RtlDecodeRemotePointer。顧名思義，我們傳遞一個進程句柄和一個指針，該API將會為目標進程返回一個有效的編碼后指針。此外，還有另一種提取Cookie的技術，請參考： https://github.com/changeofpace/Remote-Process-Cookie-for-Windows-7/blob/master/Remote%20Process%20Cookie%20for%20Windows%207/main.cpp 。

　　繞過CFG

到目前為止，我們已經將我們的代碼注入到目標進程，並修改了HandlerList和HandlerListLength的值。如果我們現在嘗試發送Ctrl+C信號來觸發代碼，該進程會引發異常，最終自行終止。其原因在於，CFG會注意到我們正在嘗試跳轉到一個非有效調用目標的指針。幸運的是，微軟對我們一直非常友善，他們發布了另外一個有用的API，名為SetProcessValidCallTargets。

WINAPI SetProcessValidCallTargets(

_In_HANDLEhProcess,

_In_PVOID VirtualAddress,

_In_SIZE_TRegionSize,

_In_ULONG NumberOfOffsets,

_Inout_ PCFG_CALL_TARGET_INFO OffsetInformation

);

簡而言之，我們傳遞進程句柄和指針后，該API會將其設置為有效的調用目標。此外，如果使用我們此前介紹過的( https://blog.ensilo.com/documenting-the-undocumented-adding-cfg-exceptions )未記錄的API也可以實現這一點。

　　觸發Ctrl+C事件

現在一切準備就緒，我們需要做的就是在目標進程上觸發Ctrl + C，以調用我們的代碼。有幾種方法可以觸發它。在這種情況下，我們可以使用SendInput的組合，來觸發系統範圍的Ctrl鍵按鍵，以及用於發送C鍵的PostMessage。同樣，也適用於隱藏或不可見的控制台窗口。以下是觸發Ctrl-C信號的函數：

　　揭秘底層

從實質上來說，在這個進程注入技術中，我們將代碼注入到目標進程中，但是我們從不直接調用它。也就是說，我們從來沒有自己調用CreateRemoteThread或使用SetThreadContext改變執行流。相反，我們正在讓csrss.exe為我們調用它，這樣一來就顯得是一個正常的行為，不會被懷疑。其原因在於，每次將Ctrl + C信號發送到基於控制台的應用程序時，conhost.exe會調用類似於調用堆棧的內容，如下所示：

其中，CsrClientCallServer會傳遞一個唯一索引標識符(0x30401)，然後將其傳遞給csrss.exe服務。在其中，會從調度表中調用一個名為SrvEndTask的函數。調用鏈具體如下：

在這個調用鏈的最後，我們看到了RtlCreateUserThread，它負責在目標進程上執行我們的線程。注意：儘管Ctrl-Inject技術僅針對於控制台應用程序，但也可能會在很多控制台應用程序上被濫用，最值得注意的就是cmd.exe。

　　總結

現在，我們已經了解了這個新型的進程注入方法，掌握了該方法的工作原理以及其背後到底發生了什麼。在最後，我們可以總結一下Ctrl-Inject技術。這種技術與傳統線程注入技術相比，主要優點是遠程線程是由可信的Windows進程csrss.exe創建，這使得它得隱蔽性更強。但同樣存在缺點，就是這種方法僅適用於控制台應用程序。

要進行這種進程注入技術，所需的步驟如下：1、將OpenProcess附加到控制台進程。2、通過調用VirtualAllocEx，為惡意負載分配一個新的緩衝區。3、使用WriteProcessMemory將數據寫入分配的緩衝區。4、使用目標進程cookie將指針指向指定的緩衝區。通過調用帶有空指針的RtlEncodePointer並手動編碼指針或通過調用RtlEncodeRemotePointer來實現。5、通知遠程進程，新指針是可以使用SetProcessValidCallTargets的有效指針。6、最後，使用PostMessage和SendInput的組合觸發Ctrl + C信號。7、恢復原始處理程序列表。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對新型進程注入技術Ctrl-Inject原理分析

網站內容來源http://server.it168.com/

一圖讀懂：新華三安全風險態勢感知系統

2017-12-11 14:38    原創 　作者: 閆志坤　編輯:
0購買

【IT168 技術】IDC與新華三聯合發布的《網絡安全風險態勢感知系統》白皮書研究表明，利用大數據分析及認知系統等相關技術，構建網絡安全風險態勢感知系統，並將主動安全防禦體系中各個組件有機結合在一起，才能使構建智能的主動安全防禦體系得以實現。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

一圖讀懂：新華三安全風險態勢感知系統

網站內容來源http://server.it168.com/

Huntpad:為滲透測試人員設計的Notepad應用

2018-05-21 09:45    來源：FreeBuf.COM 　作者: Alpha_h4ck編譯　編輯:
0購買

今天給大家推薦的是一款名叫Huntpad的Notepad應用程序，Huntpad由Syhunt公司開發，這是一款專為滲透測試人員以及漏洞hunter們提供的實用程序，它自帶了一套常用注入字符串生成器、哈希生成器、編碼器、解碼器以及HTML和文本修改功能等等，而且還支持多種編程語言的代碼高亮。

　　工具下載

Huntpad：

　　工具介紹

Huntpad從Syhunt Sandcat的QuickInject插件中借鑒了很多功能，跟QuickInject類似，Huntpad的核心任務也集中在文件包含漏洞、XSS漏洞和SQL注入漏洞的身上，並且還帶有下列額外的附加功能：

1. 代碼高亮：支持HTML、JavaScript、CSS、XML、PHP、Ruby、SQL、Pascal、Perl、Python和VBScript。

　2. SQL注入功能：

a) 過濾器繞過：特定數據庫字符串轉義(CHAR&CHR)，將字符串轉換為引用字符串，將空格轉義為註釋標籤或換行。

b) 過濾器繞過(MySQL)：字符串拼接，百分號混淆，整形替換。(例如：’26′轉換為’ceil(pi()*pi())*(!!!pi()+true)+ceil(@@version)’)

c) UNION語句生成。

d) 針對MySQL、MSSQL、Oracle及PostgreSQL等多款數據庫實現快速注入。

　　3. 文件包含：

a) 快速Shell代碼上傳及生成。

b) PHP字符串轉義(chr)。

　　4. 跨站腳本XSS功能：

a) 過濾器繞過：JavaScript字符串轉義(String.fromCharCode)，CSS轉義。

b) 提供了各種用於測試XSS漏洞的測試語句(alert語句)。

　　5. 哈希功能：

a) 哈希生成器：MD5, SHA-1, SHA-2 (224, 256, 384 & 512), GOST, HAVAL (various),MD2, MD4, RIPEMD (128, 160, 256 & 320), Salsa10, Salsa20, Snefru (128 &256), Tiger (various) & WHIRLPOOL

　　6. 編碼器/解碼器：

a) URL編碼/解碼。

b) 十六進制編碼/解碼：將字符串或整形值轉換為十六進制(支持多種輸出格式)。

c) Base64編碼/解碼。

d) CharCode轉換：將字符串轉換為charcode(例如’abc’轉換為’97,98,99′)。

e) IP混淆：將IP地址轉換為dword或十六進制值。

f) JavaScript編碼：類似JJEncode。

　　7. HTML功能：

a) HTML轉義。

b) HTML實體編碼/解碼：十進制和十六進制HTML實體編碼/解碼。

c) JavaScript字符串轉義。

　　8. 文本修改功能：大小寫轉換、字符串反向操作、添加/替換斜杠等。

　　9. 基於時間的盲注代碼。

　　10. CRC計算：CRC16, CRC32, CRC32b等等。

　　11. 緩衝區溢出字符串生成。

　　12. 隨機字符串/數組生成功能。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

Huntpad:為滲透測試人員設計的Notepad應用

網站內容來源http://server.it168.com/

聚焦數據庫安全昂楷科技解決最迫切問題開始

2018-05-25 18:07    原創 　作者: 閆志坤　編輯:
0購買

序言：海量數據正以指數級增長，人們通過大數據技術可以實現前所未有的對海量數據的處理和分析能力，而數據庫作為存儲數據的倉庫，經常成為黑客入侵、惡意攻擊的對象，若存儲的重要或敏感信息被竊取、篡改或破壞，則後果不堪設想，因此數據庫安全顯得尤為重要，數據庫安全作為信息安全的一個子集，也是信息安全中最重要的部分之一。

【IT168專訪】“我們認為數據庫安全領域最迫切需要解決的問題是可視和可控，我們所有產品都着眼於此”,昂楷科技董事長兼CTO 劉永波先生在接受IT168記者採訪時說道。

▲劉永波

　　深圳昂楷科技有限公司創始人，OWASP 中國區高級顧問，智慧城市大數據安全標準制定專家。2009 年創立深圳昂楷科技有限公司;1998 年至2009年供職於華為技術有限公司、華為賽門鐵克合資公司，歷任華為接入網產品線研發總監，華賽安全產品線研發VP。曾經帶領團隊成功研發商用綜合接入UA5000 系列產品，該系列產品在2007 年成為英國電信BT 唯一同類採購產品，位列世界同類產品第一名。

【解鎖數據庫三級聯防 捍衛數據安全】

大多數用戶對於傳統IT架構的需求以穩健為主，業務系統運轉正常最為重要，安全性則為次要考慮，同時，由於數據庫在企業IT系統中非常脆弱，因此選擇安全解決方案要非常慎重。劉永波指出，處理數據庫安全問題，一定是要小心又小心，正如“治大國如烹小鮮”一般，數據庫好比是IT系統大國中的小鮮，經不起隨意折騰。

從國家機關、企事業單位的數據安全防護方案建設來講，應該建立終端、外防、內審內控的三級聯動聯防主動積極防禦體系;其次，針對系統漏洞等管理問題，選用安全設備加強安全管控。其中尤其重要的是數據安全態勢感知系統，作為整個防護體系的雷達探測和中樞指揮系統，是核心中的核心;第三，將數據安全態勢感知系統與原有的網絡安全態勢感知系統融為一體，建立全態勢的安全感知和統一指揮調度系統，能夠有效整合終端安全、網絡安全、數據安全、應用安全等各大系統，形成強大的聯動效應。

劉永波解釋道，昂楷科技正是按照這個建設思路，即內審內控的數據安全保護思路，先從最核心的數據庫安全審計監控產品開始研發，解決對數據庫攻擊行為及攻擊者的可視;進而打造數據庫漏洞檢測、數據庫狀態監控、數據庫防火牆、數據庫的安全態勢感知系統，構建針對數據庫的主動防禦一體化解決方案。

截至目前，昂楷產品支持多種關係型數據庫和非關係型數據庫，如常用數據庫類型：Oracle、Mysql、MSSQL、sybase、informix、DB2、PostgreSQL等，新類型的數據庫：后關係型數據庫Caché、工控實時數據庫IP21、Hadoop大數據架構下的Hbase等。

【新興技術之殤 化解數據庫安全難題】

雲計算不斷成熟，公有雲、私有雲乃至混合雲出現，徹底打破傳統IT架構，大量採用雲架構，虛擬交換機鏡像功能很難具備或沒有虛擬交換機，數據庫安全監控面臨很大的挑戰。政企用戶遇到第一個比較痛苦的問題：數據安全的問題怎麼解決?

業界多採用插件式解決方案，即在數據庫服務器安裝插件，但這時候項目負責人需要思考，插件是否會對數據庫系統的性能產生影響?是否安全等問題。

目前，昂楷科技做了很多積極性探索，已經推出了無插件解決方案，並與UCloud、青雲成功應用，同時還積極推動與華為雲、騰訊雲戰略合作，此外，昂楷科技的插件式解決方案已成功對接幾大公有雲，無論是阿里雲，還是品高雲、有孚雲等都完成了對接。劉永波表示，我們作為數據庫安全廠商，一定要跟雲供應商一起探討如何實現雲數據庫的安全監控，最終我們一起給最終用戶提供最佳體驗。

而對於越來越多公有雲平台開始自主研發數據庫，一方面是解決新應用的需要，另一方面是國產化數據庫的需要，包括大數據需要、NoSQL數據庫需要，這恰恰說明數據庫技術也在快速發展和演進，數據庫技術逐漸成為了基礎技術。大數據、智慧城市、物聯網快速發展，對這種基礎技術的要求也越來越高，數據庫的種類越來越多，數據庫安全面臨的挑戰就越來越嚴峻。

劉永波解釋道，因為每種數據庫技術都可能會不同，對外提供的API接口、協議框架越來越多，越來越複雜，數據庫就面臨着更多的潛在風險，而任何一個風險，如果被黑客利用或者被不法分子利用，導致的攻擊破壞都是不可想象。昂楷科技作為數據庫安全領域的專業廠商，我們要構建一個開放的、能夠自我學習、採用人工智能和大數據技術的產品，能快速演進，快速技術研發，能夠能趕得上這些新數據庫或新數據庫的應用接口的發展，能夠提前預防危險，對數據庫安全廠商而言，既是挑戰又是機遇。

【政企行業數據庫安全實施“指南”】

正所謂沒有絕對安全，信息安全保護也沒有底線，無法窮盡。但對於剛剛開始加強數據庫安全的政企用戶，又該如何做好數據庫安全管理?劉永波表示，不同的政企單位要在正常的業務運行和安全投入成本之間取得一個合理的平衡，對數據庫安全或者數據安全問題，要根據政企單位的安全等級來選擇合適的產品。

對於一般的政企單位而言，最基礎性的產品應該是數據庫監控和可視，所有政企單位都需要使用，而數據庫防火牆等新產品，要結合政企單位特點，例如非常高度涉密數據，即使業務停掉也要能夠進行及時攔截，此時可以考慮使用數據庫防火牆。

對於數據庫審計、數據庫監控選型方面建議，第一，既然談到監控，那就是要精細化，就是要嚴格做到不漏審，不誤審，看得准，看得狠基本要素。測試方法很簡單，在業務最繁忙時，將所有應用系統的流量全部鏡像過來，然後在任何一個終端上來進行正常操作，最後看數據庫監控產品能不能準確的識別該操作;第二，綜合性能測試，當監控告警記錄已經達到幾億條到數十億條時，再來進行檢索操作，觀察分析結果準確性和出報錶速度，以及是否跟其它安全設備進行了快速聯動。

在採訪最後，作為昂楷科技董事長兼CTO,談及企業未來規劃，劉永波坦言，昂楷科技定位一個研發性技術型公司，從長遠來看，我們將致力於為廣泛的‘大’數據提供可靠的‘大’安全，大安全的‘大’，可理解為廣泛縱深。我們希望未來成為大數據安全領域的領先性企業，能夠使得我們的產品和服務走出國門，服務於全世界的企業，甚至於個人用戶!

經過這些年發展，昂楷科技以工匠精神打造多款國產數據安全精品，不僅包括了數據庫審計系統、大數據安全審計系統、雲數據庫審計系統、工控數據庫審計系統等產品之外，而且在2018年還將發布數據庫漏洞掃描系統、數據庫狀態監控系統、數據庫脫敏系統、數據庫防火牆、數據庫安全態勢感知系統等新產品。

總結

數據安全無論是對國家還是對政企用戶都至關重要，數據是数字經濟時代社會生產的新主導要素，也是新工業革命的核心內容，數據庫安全擁有巨大藍海市場，非常需要昂楷科技這樣企業去探索、創新，為政企用戶保護數據庫支撐更多創新應用落地，讓越來越多政企客戶認識數據庫安全重要性，中國數據庫安全任重道遠。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

聚焦數據庫安全昂楷科技解決最迫切問題開始