企业安全扯淡之网络分割

by: 云舒
2008-04-16
http://www.ph4nt0m.org
继续扯淡,今天是网络的分割问题。
网络分割几句话就能说清楚了,不过却是一个很重要并且很麻烦的问题。重要是因为做了分割之后,整体的安全性会好很多;麻烦主要是因为在实施之前整理需求很繁杂,实施之后又需要有长期的维护。
网络分割的原则,就是找到网络中的各个边界,使用路由或者防火墙将其隔离,最好是路由隔离。这里的边界主要是指办公网络和 internet的边界,生产网络和internet的边界,办公网络和生产网络的边界,以及各子公司网络的边界。除了这些比较粗略的分割之外,还应该包括小范围细粒度的划分,这里的网络已经是粗略分割之后的某一部分的分割了,包括办公网络内部按照部门职责进行的分割,生产网络按照相同应用的分割。

阅读全文 »

Tags: ,

WEB暴力破解–我用wvs fuzzer

鬼仔注:以前发过Acunetix Web Vulnerability Scanner V5.1 破解版

Writer: demonalex[at]dark2s[dot]org

讲到WEB暴力破解通过大家都会用小榕的溯雪,但并不是所有WEB破解溯雪都是应付自如的(不要说我说小榕他老人家的坏话),最近因为工作的关系,碰到一个网管型设备的WEBPORTAL需要做WEB破解,看看HTML的源码:

阅读全文 »

Tags: , , , ,

Ferret

鬼仔注:在邪八看到有人发的,不过我没测试。

原始出处:blackhat con
黑帽子大会后传出的一个工具Ferret。作者声称可以利用他截获邮箱登录过程中的cookie信息。进而可以随意侵入他人的信箱。曾在黑帽子大会上当场演示如何破解gmail,hotmail等信箱。终于等到作者把代码和工具都发出来了。绝对棒,作者的代码功底很高。

下载地址:Ferret.zip

Tags:

LBS 转换 WordPress 全过程

转载请保留链接:http://huaidan.org/archives/1879.html

终于从LBS转到WordPress了,很早就想换WordPress了,原来也说过“是否该放弃LBS?“,真的是犹豫了很长的时间,一方面是对LBS的感情以及一次次的失望,另一方面是WordPress的诱惑。同时也由于没有合适的空间,因此这个计划就暂时搁浅了,直到最近跟几个朋友一起合租了(mt) Media Temple,才下定决心要换了。

买空间的时候也费了不少力气,因为必须信用卡支付,我又没有信用卡,就借朋友的信用卡去买,当时订单填的我名字,信用卡名字又是朋友的,然后老外就给我邮件,说我的订单出了问题,必须要电话过去解决问题,不能通过邮件解决,这可把我难住了,我的蹩脚英语还从来没有跟老外交流过,无奈之下只有找朋友帮忙打电话,结果还是不行。最后还是通过邮件,告诉老外我的英文很烂,想知道我的订单是哪里出了问题之类的,然后向老外解释一番,最后终于解决了。

接下来就是转换数据了,这个过程真的是颇费周折,因为我的数据比较多,有1800多篇文章,再加上评论什么的,原来的LBS的数据库达到了14M多,当时想用 Wady写的那个转换程序,因为他是转成xml的,可以直接在在WordPress后台导入就行了,但是不知道是不是因为我的数据库太大,总是转换不成功。
阅读全文 »

Tags: , , ,

“黑客手册.非安全”限量版《黑客社会工程学攻击》新书上市

一、简介
二、图书特点
三、杂志编辑评论
四、读者对象
五、购买渠道
六、其他信息

————————————                            
一、简介
  《黑客社会工程学攻击》是由《黑客手册.非安全》[www.nohack.cn]推出的安全系列丛书中第一本关于社工工程学的黑客安全图书,这是一本中国式本土社工优秀书籍。
  本书是国内第一本涉及非传统信息安全主题的图书,非传统信息安全也泛指恐怖主义、能源、经济、文化、信息所引起的安全威胁问题。而本书将围绕个人及企业的信息威胁进行完整的剖析,包括信息跟踪、隐私挖掘、商业窃密、钓鱼攻击、心理学攻击、反侦查对抗等前沿的信息安全,本书旨在帮助个人及政府、商业机构认识到社会工程学攻击的所带来的威胁,以使个人及机构重要机密免遭窃取或被入侵的危险。
阅读全文 »

Tags: , ,

凡客诚品购物体验

首先说下 Vancl凡客诚品Vancl凡客诚品 是由欧美著名设计师领衔企划,集结顶级男装品牌经典款式之精华,同时参考亚洲男士体型特点,精选高支面料贴身制作,让用户以中等价位享受奢侈品质,提倡简约、纵深、自在、环保。

来段广告对话:
Henry说:我喜欢爱人给选的 阅读全文 »

Tags: ,

Flash Player漏洞的新利用方法

作者:Sowhat
来源:Sowhat的blog

前两天推荐过Mark Dowd的Paper “Exploiting Flash Reliably”
http://hi.baidu.com/secway/blog/item/242655971275376855fb96d8.html

学习了一下,很好很强大。为以后Flash Player漏洞的利用开辟了一条崭新崭新的道路啊。

简单来说,从Flash9开始,实现了一个ActionScript Virtual Machine (AVM),这个虚拟机首先会验证将要被执行的ActionScript,然后再执行。未经验证的、不可信的ActionScript非常邪恶强大,几乎相当于以Flash Player运行的权限来执行任意代码,所以虚拟机首先要验证ActionScript来源是合法的。
阅读全文 »

Tags: , ,

沸腾展望新闻系统任意文件下载漏洞

===============================================================
Author:Tr4c3[dot]126[dot]com
版权所有 http://www.nspcn.org
===============================================================
#+++
影响版本:
沸腾展望新闻系统[核心:尘缘雅境] V1.1 Access版 Finish(SP3)
#+++
漏洞文件:
down.asp
#+++
关键代码:
阅读全文 »

Tags: , ,