存档

‘Web安全’ 分类的存档

车库咖啡渗透测试报告

2013年9月22日 没有评论

原创:天吉亮(Tian)

一、前言

之前曾经针对车库咖啡官网做过一次简单的渗透,虽然没有收获实际的陈果,但也为这次渗透测试做了一些准备工作,同时也获取了与车库咖啡相关的一些基本信息。

二、渗透目标

本次渗透测试的目标为车库咖啡官网(http://www.chekucafe.com)、车库咖啡俱乐部(http://club.chekucafe.com/)以及其他二级域名所属的Web应用,并根据渗透的结果获取车库咖啡相关的非公开资料或数据。

三、渗透测试过程

3.1 ucai.chekucafe.com的渗透过程

3.1.1 配置环境扫描结果

服务器IP:123.125.162.98

开放端口: 80/http

服务器系统: *nix

网站程序: 未知

3.1.2 渗透思路转移

从车库咖啡官网看到可以使用优才网帐号登录,如下图所示:

chekucafe_01

从登陆方式可以判断车库咖啡优才网(http://ucai.chekucafe.com/)和优才网的使用的是相同的数据库,至少在账户信息存储上是共用的。此外,在车库咖啡官网看到车库认证团队内有优才网的团队认证信息。如下图所示:

chekucafe_02

从上图中可得知优才网的项目负责人叫伍星,[email protected]

由此设想,既然车库咖啡优才网(http://ucai[……]

阅读全文

打车软件三天吞掉1G流量 免费WiFi购物卷走账户余额

2013年9月10日 没有评论

原文:http://newspaper.jfdaily.com/xwwb/html/2013-09/09/content_1089746.htm

近日,腾讯移动安全实验室发布《2013年7月手机安全报告》,十大恶意推广病毒感染130余万用户。此前,360手机安全中心、金山手机毒霸等也发布类似报告,警示智能手机中普遍存在的安全隐患。

事实上,随着移动互联网、云计算、物联网、大数据以及新型智能终端等新一代信息技术的发展,信息安全问题日益严峻,涉及个人信息泄露、网络诈骗、财产被盗、信息丢失等大量问题。

面对严峻形势,普及市民信息安全意识刻不容缓。今年9月,“智慧城市”嘉定启动首届 “信息安全月”活动。 9月5日,上海首份《我身边的信息安全》市民手册也进入最后修改,并将于今年11月 “上海市信息安全周”期间免费向市民发放。

【最新动态】

《我身边的信息安全》市民手册11月发放

“如何设置密码虽然老生常谈,却是共性问题,应该再强调,并举些具体的例子。 ”

“金融类诈骗能否单独拎出来讲讲?我的联华OK账户就被盗刷过4800元。 ”

“手册是给普通百姓看的,语言应该更通俗易懂些,多配一些解释性的漫画。 ”

9月5日上午,在上海市经信委位于世博园[……]

阅读全文

如何建立一个安全的“记住我”功能

2013年8月23日 2 条评论

原文:http://www.troyhunt.com/2013/07/how-to-build-and-how-not-to-build.html

翻译:张俊

有这样一个场景——有个用户初访并登录了你的网站,然而第二天他又来了,却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用,然而有一件不言自明的事情,那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着,他们可以关闭浏览器,然后再关闭电脑,下周或者下个月,乃至更久以后再回来,只要这间隔时间不要太离谱,该网站总会知道谁是谁,并一如既往的为他们提供所有相同的功能和服务——与许久前他们离开的时候别无二致。

我在谈论的就是这个“小家伙”:

图片1

看上去是不是很巧很好用?那是当然,但你也将看到,即便使用得当,它能引发的那一茶几悲剧也绝非偶然,少说能有一车皮的人准备告诉你它是如何把事情搞糟的。那就让我们从问题的根源出发吧。

反模式

这事情乍一看似乎很明显,就是说“记住我”功能的应用其实是非常基本的,不是那种很玄乎的东西,可事实上呢?显然不是。

下面我会讲解两个反模式案例和问题的所在,以及谈论如何做是正确的。第一个例子,如图所示,当你登录的时候:

图片2

这一切都非常符合标准,但有趣的事情发生在登录之后,让我们[……]

阅读全文

分类: Web安全 标签: ,

中东黑客剑指Skype账户

2013年8月14日 没有评论

原文:SkypeHacking.doc

翻译:李天星

在中东的电信公司,它们开放其网络供Skype使用之后,黑客便将目标放在了免费的国际电话的搜索服务。虽然Skype用户之间的通话是免费的,但是对座机和移动电话的呼叫是需要付费的,这样就形成了入侵别人账户使别的用户使用此用户的钱打电话的市场。

因特网声传协议(VoIP)技术在中东发展的很艰难。现在,虽然大多数中东国家,包括阿拉伯酋长国(UAE)都在努力营造一个开放、友好的形象,但是迫于网络安全问题,还是限制了VoIP技术的应用。尽管有大型国有互联网服务供应商和电信公司以各种形式的公开呼吁,像是阿拉伯酋长国的Etisalat还有在巴林的Batelco,都旨在放宽对VoIP的限制,但整个进程进展缓慢,中东各国无法达成共识。多次推迟引入VoIP技术被广泛认为是统治家族的利益博弈,因为他们的利润来自庞大外来人口产生的大量国际长途电话。尽管存在这些障碍,Skype公司的VoIP程序还是在这里获得了实质性的进展并且现在走在了国际电信业务革命的最前沿。

在2008年年末,Skype拥有令人震惊的全球用户数量:4.05亿。根据TeleGeography的研究,这比上一年增长了47%,其通话服务站全球国际通话时长的8%。Skype现在每天可以吸纳380000个新用户,并且,如果各大阿拉伯语黑客论坛中的讨论版块在讨论Skype,那么这些新增加的用户很有可能是中东的。

像“MultiSkype”这样的程序,它允许计算机用户在同一时间运行多个S[……]

阅读全文

发人深思的一天——关于《金融时报》被黑的反思

2013年7月31日 没有评论

原文:http://labs.ft.com/2013/05/a-sobering-day/

翻译:童进

我原本一直认为自己对钓鱼攻击比较有防范意识。在钓鱼攻击中,攻击者会创建一个与受害者经常使用的系统一模一样的登录页面,用来欺骗他们以获取用户名和密码。相比之下,经验不足的Web用户非常容易遭受这种攻击,因为他们不能很好的理解Web工作原理,所以几乎无法分辨网页的真伪。

大约10天前,一个或一群自称叙利亚电子军(SEA)的黑客对《金融时报》进行了一场非常有针对性的网络攻击。我们并不是他们攻击的第一个目标,事实上在我写这篇文章过程中,我们甚至就已经摆脱“最新被攻击目标”的称号了。但是这次攻击给我上了很重要的一课,针对一个大型公司的攻击并不是随机发送让你重置PayPal账户那样的欺诈邮件,它们通过精心的伪装,往往难辨真假。这些发送到《金融时报》的电子邮件成功盗取了我们公司的Google账户,这其中便有我的。

事情是这么发生的

5月14号,一些包含钓鱼网站链接的电子邮件,从外部的邮件帐户发到金融时报。其中有些来自金融时报员工的个人账户,这表明这些员工本身已经被攻击了,但那并非是为了攻击金融时报而进行的攻击。邮件中会包含一个链接,它看起来像是CNN.com上的一篇文章,但实际却链接到一个已经被黑掉的WordPress网站(这个网站相当知名,但在这里指出他们的名字并不合适,而且他们已经修复了问题)。这个站点有一个名为ft.php的文件。因为邮件是HTML格式,它可以链接到一个与显示[……]

阅读全文

浏览器是如何存储密码的

2013年7月19日 没有评论

原文:http://raidersec.blogspot.com/2013/06/how-browsers-store-your-passwords-and.html

翻译:成明遥

一、引言

我之前的文章中介绍了名为dumpmon的推特机器人,它监控着众多“贴码网站”的账户转储、配置文件和其他信息。自那以后,我一直留意着监测到的信息。接下来会有关于dumpmon的一系列文章,而本文则关注浏览器是如何存储密码的。

这里提到dumpmon,是因为我偶然发现一些贴码,比如这篇,应该是感染在计算机上的恶意软件的日志。我便想:我总是认为最好不要让浏览器直接存储密码,但是原因呢?恶意软件从感染的计算机中获得密码会有多轻松呢?因为从一处获得所有想要的资料有点困难,所以我决定在此文贴出结果以及一些从各个浏览器的密码管理器中提取密码的简单代码。

二、浏览器

本文所述,是在windows 8系统上分析下述浏览器,此处链接列表是为了帮助读者直接跳到感兴趣的浏览器部分:

三、Chrome浏览器

获得密码难易程度:简单

chrome

我们从Chrome浏览器开始。令人失望的[……]

阅读全文

2011年-2012年渗透测试调查

2013年7月12日 没有评论

原文:PHDays活动资料

翻译:章典

这次调查涵盖Positive Technologies的专家对2011年到2012年的渗透测试进行一般的统计数据。其中包括了外部测试和攻击方的渗透测试。

在2011年和2012年,Positive Technologies的专家进行了超过50次渗透测试,本研究基于其中20个最具规模的测试报告结果(每年10个结果)。我们将那些受限制的主机排除,因为这些主机的测试结果无法广泛反映目标信息系统的安全级别。

这次研究涵盖了政府和商业的主要机构,其中包括了专业RA机构评出的俄罗斯前400强的企业。

一、2011和2012年整体数据

最低攻击条件(对重要资源的控制)

Positive Technologies的专家对其中75%的目标进行测试,并获得了管理和完全控制重要资源的权限,几乎一半(45%)的测试结果显示,任何外部攻击者都可以获得相同访问权限。四分之一的测试显示,位于内部攻击者在用户网段可以对关键资源完全控制,并不需要任何额外的特权。

最低攻击条件(边界绕过)

其中一半的系统不需要额外的特权便可由攻击者绕过安全边界。每个Internet用户都可能访问系统中的外部网络。在这种情况下,如果对大型国有企业公司进行未授权的渗透测试,那么意味着会造成巨大的损失,这些结果表明,俄罗斯的企业信息安全处于一个很低的水平。

部分web攻击者获取权限级别

[……]

阅读全文