July 19, 2008 9:25 AM PDT
Posted by Elinor Mills
NEW YORK--Using a laptop, cell phone headset, building access badge, credit cards, or even a passport can make you a walking target for data thieves and other criminals, a security expert warned at the Last HOPE hacker conference here late Friday.
In a frightening but entertaining session entitled "How do I Pwn Thee? Let me Count the Ways" (pwn is hacker speak for "own" or control), a hacker who goes by the alias "RenderMan" explained how most people are at risk and don't even know it.
By now most people probably know they should be careful using Wi-Fi networks, especially public hotspots that don't encrypt data transmissions and where network access points can be spoofed. These issues leave Web surfers at risk of having their data stolen, receiving fake Web pages and other information, and having their computers completely taken over, he said.
ivan0914 發表在 痞客邦 留言(0) 人氣(176)
| ‧聯合新聞網 2008/07/17 |
 資訊安全一向以技術導向,不斷以新程式來防堵或破解駭客的程式。但再堅固的堡壘,再堅強的陣容,只要有「人」的存在,就有漏洞…… |
 |
 |
| 【經濟日報╱邱思緁】 資訊安全一向以技術導向,不斷以新程式來防堵或破解駭客的程式。但再堅固的堡壘,再堅強的陣容,只要有「人」的存在,就有漏洞。於是資策會反向思考,從使 用者的行為出發,追蹤使用者的郵件使用情況,並告知使用者接觸惡意程式的紀錄,以「社交工程演練方式」的防護措施,一舉拿下首屆國際資安競賽首獎。 資策會專案支援處副處長劉培文表示,在資訊安全領域上,一有新程式出現,駭客總會想辦法鑽程式的漏洞,進行播散病毒的動作。「道高一尺,魔高一丈」,因此不論資訊安全於技術上如何突破創新,仍舊是防不勝防。 過去駭客多藉由電腦連線,以無目標的方式散播病毒,來癱瘓整個網路系統,例如過去企業聞「黑色星期五」就色變,但現今藉由防火牆建構的防護系統,讓這種無目的的攻擊方式已漸銷聲匿跡。 Web2.具備的高互動性,讓駭客開始鎖定特定單一對象,進行特定攻擊 (Target Attack)。尤其,今年在美國更發生駭客鎖定高階主管發動攻擊的事件。 該駭客掌握藉由企業執行長的完整個人資料,以美國法院傳票名義發送信件,並進而點選郵件內的惡意連結。由於瀏覽該網站時,會要求同意下載惡意程式,於是惡意程式開始從電腦中竊取重要的機密文件、帳號、密碼等。 |
ivan0914 發表在 痞客邦 留言(0) 人氣(161)
微軟發佈四項修補程式公告 ZDNET新聞專區
2008/07/09 19:07
台灣微軟今(九)日發佈2008年7月的安全公告,本次的安全公告有4個新的安全性補充程式MS08-037~ MS08-040。 本月所發現Microsoft可能被攻擊的弱點,會造成有心人士藉由此弱點執行遠端程式碼及允許拒絕服務的問題。四項安全修補程式如下: MS08-037的攻擊程式影響對象為 Microsoft Windows、Microsoft Windows Server,可能造成允許外部人士偽造管理者權限。 MS08-038攻擊程式影響 Microsoft Windows Vista、Microsoft Windows Server,允許遠端執行程式碼。 MS08-039攻擊程式影響對象為 Microsoft Exchange Server,可能允許外部人士提高權限。 MS08-040和前者相同,不過影響對象為Microsoft SQL Server。
ivan0914 發表在 痞客邦 留言(0) 人氣(112)
公開日:2008/07/08 最終更新日:2008/07/08緊急 Microsoft Office Snapshot Viewer ActiveX コントロールには未修正の脆弱性が存在します。
ivan0914 發表在 痞客邦 留言(0) 人氣(135)
2008 年 07 月 06 日 – 10:28:54 司法院電子報網站存在XSS安全漏洞被發現存在XSS (
Cross-Site Scripting) 安全漏洞,到目前為止,尚未修復。
跨站腳本攻擊(XSS):駭客利用網站上允許使用者輸入 字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意 的網站,而受到某種型態的影響。如今大部份的網站都強調所謂與使用者互動的功能,加入許多允許使用者輸入字串的欄位,如:留言板、討論區、查詢欄位等;有 些互動的功能能將使用者輸入的字串存入後端資料庫,如果駭客輸入某些含有攻擊式的語言,一旦使用者進入此頁面時,因執行未預期的動作而將遭受某種程度的威 脅。ivan0914 發表在 痞客邦 留言(0) 人氣(179)
引言
隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高,程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。
SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什麼區別,所以目前市面的防火牆都不會對SQL注入發出警報,如果管理員沒查看IIS日誌的習慣,可能被入侵很長時間都不會發覺。
但是,SQL注入的手法相當靈活,在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析,構造巧妙的SQL語句,從而成功獲取想要的數據,是高手與「菜鳥」的根本區別。
根據國情,國內的網站用ASP+Access或SQLServer的佔70%以上,PHP+MySQ佔L20%,其他的不足10%。在本文,我們從分入門、進階至高級講解一下ASP注入的方法及技巧,PHP注入的文章由NB聯盟的另一位朋友zwell撰寫,希望對安全工作者和程序員都有用處。瞭解 ASP注入的朋友也請不要跳過入門篇,因為部分人對注入的基本判斷方法還存在誤區。大家準備好了嗎?Let's Go...
ivan0914 發表在 痞客邦 留言(0) 人氣(1,214)
[ 目錄 ]
0x00 純屬扯淡
0x01 WML與WMLScript
0x02 WML注入攻擊
0x03 WML注入可以做什麼
ivan0914 發表在 痞客邦 留言(0) 人氣(587)
ZDNET新聞專區:Brendon Chase
2008/07/03 15:07
Google證實,在2006年之前的員工資料已經在最近一次竊盜案中全數失竊。 這些資料都是由Google委外的Colt Express公司所保管,許多企業都曾使用這家公司的服務來處理人力資源業務,該批資料是在今年5/26日失竊。失竊電腦中所包含的資料包括員工個人及 家屬姓名、地址、社會安全證號等,Colt公司並沒有在利用加密來保護這些資訊。 目前尚不清楚Colt Express有多少客戶受影響。本網站母公司CNET Networks也在此次失竊案中遭殃,有6500名員工資料遺失。 雖然目前沒有傳出資料被濫用的情況,但這些資料很可能被身份竊盜份子用來開假帳戶或證件。
ivan0914 發表在 痞客邦 留言(0) 人氣(90)
ivan0914 發表在 痞客邦 留言(0) 人氣(166)
發佈時間:2008.07.02 07:15 來源:賽迪網 作者:友亞
【賽迪網-IT技術報導】據國外媒體報導,德國IT諮詢機構N.runs日前提醒用戶,當前每一款防病毒產品都存在漏洞,黑客可以利用這些漏洞入侵企業網絡,並加載惡意代碼。
N.runs安全專家稱,在過去的幾個月中,他們在各種防病毒產品中發現近800處漏洞。N.runs指出,目前,市場上每一款病毒掃瞄引擎都存在高危漏洞,允許黑客發動拒絕服務攻擊,在企業網絡上執行惡意代碼。
此前也有安全人員指出,殺毒軟件自身的漏洞可能會給用戶帶來更嚴重的安全隱患。
作為殺毒軟件,它不但擁有管理員權限,而且還必須要打開並掃瞄計算機中的文件。如果殺毒軟件存在漏洞,那麼勢必將帶來更嚴重的安全威脅。尤其是很多用戶同時使用多款殺毒軟件,這樣的危險性更大。
ivan0914 發表在 痞客邦 留言(0) 人氣(100)
