RSS订阅
我的摄影作品
推荐网站
一张图教你拆解信用卡号码
你可能每天都使用信用卡,但你有没有想过你的信用卡号码究竟是如何产生?本文不是教你破解信用卡,只是叫你更了解每一个号码堂中的含意。你的信用卡号码是一个复合标识符组成,当中包含了发卡机构、账号、校验等。看看下图,冗长的号码被分解成单个组件,当你了解过后,就可以计算出其有效性任何信用卡号码。
Latest Headlines
-
微软:定期更改密码没用 或浪费时间金钱
Posted on April 14, 2010 | No Comments微软日前公布的一项调查结果显示,定期更换密码并不能将黑客拒之门外,反而是浪费时间和金钱。 当前,许多企业IT部门强制员工定期更改密码,以作 为安全策略之一。这不但让员工感到反感,更让网络管理员感到头痛。 但微软日前公布的一项调查结果显示,这样做根本起不到实际作用。微软指出,黑客获得用户登录密码后,会立刻发动攻击,而不会等上几周时间,让用户更改后再发动攻击。这就好比,一个小偷捡到一把钥匙后,不去立刻开门,而是等着房主把锁头更换掉。 -
攻破微软IE8只需2分钟
Posted on March 26, 2010 | No Comments来自荷兰的黑客皮特·维莱格登希尔(Peter Vreugdenhil)和一位自称尼尔斯(Nils)的德国研究人员成功突破了Windows 7最有名的两项反黑客功能:DEP(数据执行保护)和ASLR(地址空间随时加载)。 维莱格登希尔首先绕过了ASLR防护,然后又绕过了DEP,进而成功攻破IE8浏览器。一个半小时之后,尼尔斯使用类似的策略绕过了这些防护策略,攻破了火狐3.6浏览器。两人均赢得了一台笔记本电脑、1万美元的奖金以及出席今年7月份DefCon黑客大会的资格。 大赛主办方的艾伦·波特诺伊(Aaron Portnoy)表示:“今天的每一种攻击方式都是高水平的,攻破IE8的方式尤为引人关注。” ASLR通过随时加载关键存储区的位置,使黑客难以预测他们的攻击代码是否能够运行。针对这个防护措施,维莱格登希尔首先利用大量的弱点获得了IE8加载到存储器当中的一个.dll模块的基本地址,然后再利用这个模块去攻击DEP防护程序。 2004年微软推出Windows XP Service Pack 2时推出了DEP功能,旨在阻止恶意代码在不该执行的区域运行,以此来防止缓冲区溢出攻击(buffer overflow attack)。维莱格登希尔表示:“我的攻击方式对微软自己的代码进行了再利用,以此来绕过DEP。你可以利用微软自己的代码来破坏内存保护。” -
99 Remarkable Photographer’s Portfolios
Posted on March 22, 2010 | No CommentsThere are many many thousands of photographers showing their work online – but those, which stand out with high quality... -
固态硬盘新应用 5.3秒破译14位XP密码
Posted on March 16, 2010 | No Comments瑞士网络安全机构Objectif Sécurité近日表示,他们可以在5.3秒的时间内破译14位的Windows XP复杂密码。有趣的是,这一结果并不是依靠什么超级计算机或高性能处理器,而只是依赖一块固态硬盘。他们的密码破译算法主要依赖的是 一套对各种可能字母组合预先计算好哈希值(Hash),集合在一起的彩虹表(Rainbow Table)。 显然,彩虹表容量越大,查询越快,密码破译的速度也就越快,而固态硬盘超高的随机读取速度正迎合了这种需求。只要拿到密码的哈希值,一套使 用Athlon X2 4400+处理器的普通家用PC,搭配一块存满彩虹表的80GB固态硬盘,就可以在5.3秒时间内破译包括52个字母、10个数字或33个特殊字符的14 位Windows XP密码。Objectif Sécurité表示,使用这种超大规模彩虹表进行密码破译,速度比通常做法快100倍,比俄罗斯Elcomsoft公司使用CUDA GPU加速的解密算法快500倍。 Objectif Sécurité的网站上提供了各种免费/收费版本的彩虹表下载,据称其免费版下载量已突破1000万次。如果你不想下载庞大的彩虹表,也可以在其网站上进行测试, 看看他们究竟多快可以用一组Hash值算出你的密码。 -
以色列黑客公布IE6漏洞攻击代码
Posted on March 11, 2010 | No Comments一名以色列黑客已经找出最新的IE浏览器漏洞,编写出一个漏洞攻击代码。通过Metasploit点击工具,该漏洞攻击代码可以针对IE 6和IE 7用户进行偷渡式下载攻击. 最新漏洞攻击代码的出现距离微软公司确认漏洞不足24小时,这将迫使微软提前发布临时漏洞补丁。以色列黑客Moshe Ben Abu表示,麦咖啡实验室识别了来自topix21century.com域名的攻击。在此次攻击中,漏洞用户直接进入恶意页面,以偷渡式下载方式下载和 执行一个名为notes.exe或svohost.exe的文件。攻击中包括了数个木马病毒变种。Notes.exe以%temp%目录复制两次,并产生 一个DLL文件。该DLL文件注入IE浏览器,为攻击者提供远程入口。 攻击者可以通过该后门程序对受害者计算机执行各种攻击,包括上传和下载文件,执行文件,以及终止运行进程。受害者计算机与 notes.topix21century.com域名通过https进行通信。 据悉,微软公司发布安全公告(981374)指出,漏洞涉及Windows XP/2000/2003操作系统下的IE6和IE7浏览器。XP SP2/SP3的IE7(无DEP)入侵率达50%,稍好于IE6. -
RSA 1024位私有密钥加密技术遭破解
Posted on March 9, 2010 | No Comments美国密歇根大学的三位科学家称,他们发现了一个利用RSA安全技术中的一个安全漏洞的方法,RSA安全技术用于保护从媒体播放器到智能手机和电子商务服务器等各种设备。 他们说,RSA身份验证对于私有密钥载体的电压变化是很敏感的。研究人员Andrea Pellegrini、Valeria Bertacco和Todd Austin在一篇准备在3月10日提交给欧洲设计、自动化和测试大会的题为“基于错误的RSA身份验证攻击”的论文中简要介绍了他 们的研究成果。 电子工程和计算机科学系副教授Valeria Bertacco在声明中说,RSA算法给安全提出了这样的假设,只要私有密钥是专用的,你就不可能突破它,除非你能猜出来。我们已经证明这不是真的。 -
Flash插件才是造成浏览器安全漏洞的罪魁祸首
Posted on March 2, 2010 | No Comments也许你对自己电脑系统的网络防卫措施自信满满,自认为自己的系统不可能被黑客攻破。不过按照Pwn2Own黑客大赛的冠军得主Charlie Miller的说法,你的自信心可能有点过头了,更糟糕的是,如果你的系统中装有Adobe公司的Flash软件,那么你的系统实际上可能已经是千疮百孔了。 在最近与OneITSecurity网站的一次访谈过程中,Miller对当前各种操作系统的安全性给予了不屑一顾的评价。受到苹果铺天盖地广告的影响,大多数人可能以为苹果的Mac OS操作系统相对微软的Windows操作系统要安全许多,而在顶级黑客的眼里两者却是同等脆弱的,而人们时常吹嘘的Linux操作系统则同样存在类似的安全问题。 而之所以针对Linux和Mac OS的攻击数量并不多,其原因主要在于这两者的普及程度远不及Windows而已。 -
微软:Security Essentials 2010不是我们的杀软
Posted on February 26, 2010 | No Comments微软免费杀毒软件Microsoft Security Essentials(MSE)发布后受到了用户的欢迎,而且获得了评测机构的一致好评。随着MSE逐渐站稳脚跟,一些虚假软件和病毒也开始伪装成MSE 的样子来欺骗用户,比如说近日出现的Security Essentials 2010,无论是名字还是外观都十分类似微软MSE。 Security Essentials 2010会提示用户另外付费,因为其系统携带的恶意软件太多。微软David Wood表示:“一个欺诈软件惯用的伎俩就是使用类似的名字或是拥有相似的外观,伪装成合法的安全软件。微软安全中心对此已经司空见惯,所以见到和MSE 相似的东西时我们并不感到意外,比如Security Essentials 2010。如果说有什么是我没想到的,那就是这么久它们才出现。” -
WebLogic严重安全漏洞出现 甲骨文忙于修补
Posted on February 11, 2010 | No Comments2月8日消息,在俄罗斯一位安全人员发布了这个安全漏洞的细节两个星期之后,甲骨文急忙发布了一个补丁修复其WebLogic应用服务器软件中的安全漏洞。 甲骨文说,这个安全漏洞存在于WebLogic的节点管理器软件中。一般来说,防火墙将封锁这个软件。然而,如果黑客能够访问节点管理器的管理端口,就会造成灾难性的后果。甲骨文在详细介绍这个安全漏洞的博客中说,成功地利用这个安全漏洞会全面攻破Windows平台上的目标服务器。在其它平台(Unix、Linux等)上,攻击者能够以WebLogic服务器进程相同的权限访问目标服务器。 甲骨文在1月12日发布了最新的补丁。这一次发布补丁显然是在安全公司Intevydis在1月23日公开这个安全漏洞细节之后不得不采取的行动。这家俄罗斯公司在1月份公布了十几个安全漏洞的细节,以便引起人们对于没有修复的大量的服务器和数据库安全漏洞的关注。 甲骨文发言人不愿意对这个安全补丁发表评论。甲骨文在安全警告中称,它强烈建议尽快使用补丁修复这个安全漏洞。这个安全漏洞影响WebLogic 7和以上版本的软件。 Intevydis首席执行官Evgeny Legerov说,他的公司不遵守提前通知厂商安全漏洞信息的标准的行业做法,因为这将使厂商免费利用安全研究人员做质量保证工作。 Legerov在星期五发表的电子邮件中证实,甲骨文没有提前得到这个安全漏洞的通知。因为我们的资源非常有限,我们不是为甲骨文工作的,我们不采取负责任的披露路线。 他解释说,这是一个严重的安全漏洞。远程攻击者不用任何身份识别就可以执行操作系统命令。 -
New CCNP – Official Announcement
Posted on February 5, 2010 | No CommentsThe table below lists all the valid ways to become certified. Note the expiration date of the options using ISCW...
