purpleforest-CSDN博客

原创一种利用unicode控制符的新型社交工程攻击方法

利用windows系统对于unicode控制符的解析，提供一种简单却有效的社会工程攻击方式。

2010-06-12 14:38:00 1898

转载 25种让你精力充沛的方法

1、晨练5分钟　　起床后锻炼5分钟，不仅为身体充电，而且能加倍燃烧卡路里。很多人误认为晨练必须5点钟爬起来跑上几公里，其实是不必要，也不太现实的。你只消花5分钟，做做俯卧撑和跳跃运动，使心率加快，就能达到理想的效果；要么对着镜子冲拳100下，感受那种能量积蓄的过程。2、养成喝水习惯　　处于缺水状态的你，会时常感觉衰惫。清早起来先喝一杯水，做一下内清洁，也为五脏六腑加些“润滑剂

2009-10-13 15:07:00 670

原创利用public权限获取webshell

通过SQL注入获取服务器的webshell，相关方法已经介绍很多了，但大多数方法都是基于SA权限的，而在实际情况中，通过注入更多的是获取到public权限，如何利用public权限就能获取webshell，本文给出了一种实施思路。 (1)、获取WEB路径要往网站目录下写入Web Shell，那么首先就应该获取网站的根目录。利用扩展存储过程xp_dirtree。通

2009-10-10 13:29:00 1270

转载开始→运行→输入的命令大全

calc----启动计算器 certmgr.msc--证书管理实用程序charmap--－启动字符映射表 chkdsk.exe--－Chkdsk磁盘检查 ciadv.msc--－－索引服务程序 cleanmgr--**整理 cliconfg--SQL SERVER 客户端网络实用程序 Clipbrd--－剪贴板查看器 cmd.exe--－CMD命令提示符 compmgmt.msc－－－计算机管理

2009-09-23 10:52:00 571

原创通过虚拟磁盘彻底实现文件隐藏

隐藏文件的方法很多，但这些方法不是不彻底就是太复杂。本文提供一种利用虚拟磁盘的方法，只需一个简单的批处理文件，可以快速安全的隐藏不想让别人看到的文件。 1、打开记事本，输入如下内容： @ECHO OFFMD D:/Recycled/UDrives.{25336920-03F9-11CF-8FD0-00AA00686F13}>NULIF EXIST M:/NUL GOTO DELET

2009-09-18 14:43:00 1281 1

原创 Windows系统提权——登录后门全设置

当我们取得Windows系统的登录权限后，下一步考虑的无疑是登录后门的设置问题，如何设置隐藏的登录后门，本文提供两种思路以供借鉴。一、建立隐藏的管理员账号登录：思路：通过这种方式，攻击者可以设置后门，将账号管理中显示为已禁用的用户如guest授予管理员权限，并随时登录。步骤：1 、打开regedit：打开hkey_Local_Mashion，单击SAM，点击右键，点权限，将“

2009-07-13 14:56:00 1799 1

原创信息安全工程师技能测试题

姓名：日期：分数（满分100）：第一部分安全基础知识（共10题，每题1分，共10分） 1. 信息安全最关心的三个属性是什么？A. ConfidentialityB. IntegrityC. AuthenticationD. Aut

2009-06-22 14:40:00 2088

转载史记·陈冠希列传

陈公冠希者，江东上海府人也，龙额准目，骨骼清奇。冠希年尚垂髫，肆意狂放，不拘礼法，世人奇之。时有名士宋祖德者，见冠希，异其貌，讶然曰："此子治世之情魔，乱世之淫棍也！" 　　　　冠希之父，岭表巨贾，家资亿万，然冠希少时父弃其母，携小蜜而去，独遗巨资与冠希。冠希遂得日糜金二千，恣意放浪，悠游裙钗之中，狎戏脂粉之间。　　　　既弱冠，冠希携巨资而入梨园为伶，未几，声名鹊起，名动香

2009-06-15 11:22:00 606

转载关于生命和成长——七个心理寓言

（一）成长的寓言：做一棵永远成长的苹果树　　一棵苹果树，终于结果了。　　第一年，它结了10个苹果，9个被拿走，自己得到1个。对此，苹果树愤愤不平，于是自断经脉，拒绝成长。第二年，它结了5个苹果，4个被拿走，自己得到1个。“哈哈，去年我得到了10％，今年得到20％！翻了一番。”这棵苹果树心理平衡了。　　但是，它还可以这样：继续成长。譬如，第二年，它结了100个果子，被拿走90个，自己得到10个

2009-06-05 14:41:00 442

原创渗透测试流程和内容

渗透测试是在客户允许下和可控的范围内，采取可控的，不造成较大影响的黑客入侵手法，对网络和系统发起真正攻击。主要包括以下几个层次：Ø 层次一：通讯和服务该层次的安全问题主要体现在TCP/IP网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机、无需口令通过Rlogin以root身份登录到一台主机等，都是利用了TCP/IP协议本身的漏洞。Ø 层次二：操作系

2009-06-04 11:29:00 5758 1

原创 Web安全漏洞全面分析

　　1 当前 Web 安全现状　　互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前，全球因特网用户已达 13.5 亿，用户利用网络进行购物、银行转账支付和各种软件下载，企业用户更是依赖于互联网构建他们的核心业务，对此，Web 安全性已经提高一个空前的高度。　　然而，现实世界中，针对网站的攻击愈演愈烈，频频得手。CardSystems 是美国一家专门处理信用卡交易资料的厂商。该

2009-05-07 10:36:00 5045

转载少走弯路的十条忠告

走弯路是每个人不可避免的，重要的是如何从前人的走弯路过程中吸取经验，少走弯路，看到这篇文章很有感触：如何在涉世之初少走弯路，有一个好的开端，开始一番成功的事业？以下是一些先行者积累的10条有益的涉世忠告。好好地遵循、把握这些忠告和建议吧，比起所学的课堂课程来，它毫不逊色！ 1. 买个闹钟，以便按时叫醒你。贪睡和不守时，都将成为你工作和事业上的绊脚石，任何时候都一样。不仅要学会准时，更

2008-07-04 10:08:00 779 1

原创经典网络命令收集（只包括最常用、最基本的）

适用于windows2k/xp/2003 1.最基本，最常用的，测试物理网络的 ping 192.168.10.88 －t ，参数－t是等待用户去中断测试 2.查看DNS、IP、Mac等 A.Win98：winipcfg B.Win2000以上：Ipconfig/all C.NSLOOKUP：域名解析如查看河北的DNS ：C:/>nslookup Def

2008-07-03 14:53:00 595

原创关于孤独

换了一本新的日记本，没有换的是那份心情。记得我二十岁的时候，告别了青涩的花季年华，未来是迷茫的，也是充满憧憬和希冀的。那时我醉心于尼采和加缪，就像所有二十岁的年青人一样，我有一双稚嫩的手和满脑子尖锐的思想。那时我曾经写下“孤独是一条毒蛇……”。当我二十五岁的时候，我又回到了校园，经历了一场沉默的恋情。那时的孤独更像一杯酒，我满满的饮下，然后慢

2008-06-26 15:42:00 481

转载吴敬琏10年纵论股市：一个没有规矩的赌场

中国的股市很像一个赌场　　（2001年1月）　　2000年岁末，中央电视台《经济半小时》举行2000年度人物评选，吴敬琏网上点击率最高，被邀请做一次嘉宾。　　2001年1月12日，吴敬琏去上海开会，在旅馆里接受了追踪而至的中央电视台《经济半小时》记者的采访，就记者提出的有关庄家操纵股市问题作了回答。吴敬琏说，股价畸型的高，所以，相当一部分股票没有了投资价值。从深层次看，股市上盛行的违规、

2007-05-17 10:27:00 2194

原创信息安全风险分析理论模型概述

1、故障树模型（FTA）由Bell实验室的Waston H A 于1961年提出，作为分析系统可靠性的数学模型，现已经成为比较完善的系统可靠性分析技术。故障树分析方法可以分为定性和定量两种方式。是通过求故障树的最小割集，得到顶事件的全部故障模式，以发现系统结构上的最薄弱环节或最关键部位，集中力量对最小割集所发现的关键部位进行强化。2、层次分析法（AHP）由美国著名的运筹学专家

2007-04-17 15:12:00 5752

原创信息安全风险评估数据获取与收集方法

一、概述在对IT系统的风险进行评估中，第一步是定义工作范围。在这一步中，要确定IT系统的边界，以及组成系统的资源和信息。对IT系统的特征进行描述确立了风险评估工作的范围，描述了操作批准（或认可）边界，并对风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。成功的收集安全相关数据是进行信息技术系统安全风险分析与评估的关键。用于安全风险分析的数据来源有统计数据和专家

2007-04-13 10:57:00 6348

原创我心的春色

人生像一本书，今天当我翻看着我这本小小的日记本，便是在翻阅着我这三年多的人生。翻阅着我以前的故事，时而惆怅，时而微笑，那是一个落寞男人的心情。三年多的春夏秋冬，花开花谢，落在心里的却只有两个字，“孤独”。总是感觉时光像虚浮的梦境，那些已逝的岁月，曾经那么多的悲欢离合、是是非非，是真的存在过吗？那么存在的凭据又在哪里？似乎除了这一本小小的日记本之外别无他寻。总觉得经历过的一切该

2007-04-03 10:38:00 880

原创无线通信网络安全概述

1 无线通信网络中的不安全因素无线通信网络之所以得到广泛应用，是因为无线网络的建设不像有线网络那样受地理环境的限制，无线通信用户也不像有线通信用户受通信电缆的限制，而是可以在移动中通信。无线通信网络的这些优势都来自于它们所采用的无线通信信道，而无线信道是一个开放性信道，它在赋予无线用户通信自由的同时也给无线通信网络带来一些不安全因素，如通信内容容易被窃听、通信内容可以被更改和通信双方身

2007-04-02 15:00:00 11879

原创关于断网事件的海底光缆脆弱性问题探讨

本文发表于《信息网络安全》2007.2，欢迎转载，请注明作者和期刊名。关于断网事件的海底光缆脆弱性问题探讨张鉴国家信息中心网络安全部一、引言2006年12月26日晚27日凌晨，在距中国台湾南部约15公里的海域处，连续发生两次7级左右的强烈地震。铺设在该区域附近的中美海缆、亚太1号海缆、亚太2号海缆、FLAG海缆、亚欧海缆、FNAL海缆等多条国际海底通信光缆，在

2007-04-02 14:47:00 2721

原创信息安全风险评估理论和工具

当前，国际上提出了一些广义的、传统的风险评估理论（并非特别针对信息系统安全）。从计算方法区分，有定性的方法、定量的方法和部分定量的方法。从实施手段区分，有基于“树”的技术、动态系统的技术等。各类方法举例如下。l 定性的方法包括：初步的风险分析（Preliminary Risk Analysis）危险和可操作性研究（Hazard and Operability studi

2006-11-21 11:02:00 2923

翻译信息安全策略之六：Router Security Policy

摘要：此为国外某大型企业的信息安全策略规范，涉及企业信息安全的各方面，共数十个策略，我将陆续翻译整理出来。这是第六篇：路由器安全策略。欢迎转载，但请注明出处及译者。请不要用于商业用途。原文： Router Security Policy 1.0 PurposeThis document describes a required minimal secu

2006-11-06 13:59:00 2110 1

转载金融领域UNIX网络系统的安全管理策略

一.UNIX系统的基本安全机制 1.用户帐号用户帐号就是用户在UNIX系统上的合法身份标志，其最简单的形式是用户名/口令。在UNIX系统内部，与用户名/口令有关的信息存储在/etc/passwd文件中，一旦当非法用户获得passwd文件时，虽然口令是被加密的密文，但如果口令的安全强度不高，非法用户即可采用“字典攻击”的方法枚举到用户口令，特别是当网络系统有某一入口时，获取passwd文件

2006-11-01 11:20:00 1196

转载亿元安全投入不堪一击根原何在?

中国信息化水平领先企业信息系统居然不堪一击日前中央电视台报道了全国最大的网上盗窃通讯资费案，31岁的程稚瀚是UT斯达康（中国）有限公司深圳分公司资深软件研发工程师，主要工作是帮助公司解决网络安全问题。此前任华为技术有限公司工程师，负责西藏移动等公司的设备安装。他做的事情是，从2005年2月，从西藏移动公司系统进入北京移动公司的充值中心数据库，获得最高系统权限，

2006-11-01 10:48:00 1019

原创人类目前已知最大的质数

人类目前已知最大的质数为：230402457-1 (9,152,052 decimal digits )。想看一下结果吗？请点下列链接：最大质数 ?

2006-10-31 15:42:00 3299

原创岁月如歌——记录那些曾感动过我的音乐

偶尔翻出旧唱片，当熟悉的旋律响起，思绪会不禁回到那曾经渺远的过去。岁月如歌，我想每个人都有自己的音乐人生，我们也许并不是歌者，但都有可以倾听的耳朵。 1、卡萨布兰卡第一次听到卡萨布兰卡，是我上初中的时候，那时并不知道歌词的内容，觉得这应该是一首关于人生的歌，一个沧桑的流浪歌手抱着一把木吉他在讲述自己一生的故事。后来看了电影《卡萨布兰卡》，又以为这是电影的主题曲，唱的是命运的无常和

2006-10-30 15:01:00 1227

原创无线传输层安全协议WTLS安全机制详解

WTLS的作用是保证传输层的安全，作为WAP 协议栈的一个层次向上层提供安全传输服务接口。WTLS是以安全协议TLS1.0标准为基础发展而来的，提供通信双方数据的机密性、完整性和通信双方的鉴权机制。WTLS在TLS的基础上，根据无线环境、长距离、低带宽、自身的适用范围等增加了一些新的特性，如对数据报的支持、握手协议的优化和动态密钥刷新等。 WTLS能够提

2006-10-27 15:57:00 5347 2

原创基于SET协议的电子商务安全机制分析

本文发表于《信息网络安全》2006.10，欢迎转载，请注明作者和期刊名。基于SET协议的电子商务安全机制分析张鉴国家信息中心网络安全部摘要：安全是电子商务发展的核心问题。本文分析了电子商务面临的安全威胁和相应的安全需求，对当前最通用的安全交易标准SET协议的工作原理和流程、安全技术、及存在的缺陷进行了比较详细的分析和阐述，对于促进电子商务安全机制的研究和开发具有一定的

2006-10-26 11:23:00 9546 3

原创 WAP安全架构模型

WAP安全构架由WTLS、 WIM(无线个人身份模块) 、WPKI、 WMLScript(无线标记语言脚本)四部分组成，各个部分在实现无线网络应用的安全中起着不同的作用。下面分别介绍这四部分的功能。1 无线传输层安全协议WTSL WAP规范的协议栈中专门设有一个安全协议层，即无线传输层安全协议WTLS。WTLS是由传输层安全协议TLS演变而来，可认证参加通

2006-10-24 15:41:00 4192

转载密码学的发展方向与最新进展

密码技术是信息安全的核心技术。如今，计算机网络环境下信息的保密性、完整性、可用性和抗抵赖性，都需要采用密码技术来解决。密码体制大体分为对称密码(又称为私钥密码)和非对称密码(又称为公钥密码)两种。公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色，已成为最核心的密码。当前，公钥密码的安全性概念已经被大大扩展了。像著名的RSA公钥密码算法、Rabin公钥密码算法和E

2006-10-23 14:37:00 11926

原创中科院信息安全国家重点实验室博士考试专业课试题

刚参加完中科院信息安全重点实验室的博士考试，趁着记忆还清晰，将专业课考题复述下来。总得感觉专业课考试不算难，只要将相关教材好好准备一下，应该就OK了。对于网络安全考试，如果有一定工作经验会更有优势。密码学（主要参考冯登国的《密码学导引》）1、简述密码学发展的三个主要阶段。解析：主要分为古典密码学、对称密码学、公钥密码学。可分别展开论述。2、序列初始值为10000

2006-10-23 10:00:00 4264 3

原创常用的信息安全风险评估自动化工具介绍

风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括： * COBRA —— COBRA（Consultative, Objective and Bi-functional Risk Analysis）是英国的C&A系统安全公司推出的一套风

2006-10-13 10:54:00 6135 1

原创无线公钥基础设施WPKI技术简介

WPKI是传统PKI对无线网络环境进行优化、修改后的扩展。WPKI通过管理证书、密钥及各种实体间的关系来增强移动电子商务的安全性。一 WPKI系统组成和原理基本的WPKI组件包括端实体应用（EE）、注册中心（RA）、认证中心（CA）和PKI目录。WPKI中，端实体应用（EE）和注册中心（RA）的实现与传统PKI不同，而且需要一个全新的组件－PKI门户。W

2006-10-13 09:57:00 4271 1

原创 IDS中的数据分析技术简述

数据分析是入侵检测系统的核心。各种分析方法各有利弊，但基于规则的检测方法因为事先将各种入侵方式表示为规则存放于规则库中，因此在规则库比较完备的基础上，可以有很好的检测效率，所以我们在该系统的实现中主要考虑了基于规则的检测方法。基于规则的检测方法是误用检测的一种。规则一般都是文本的、高层协议的过滤规则，如“目标地址为xxx.xxx.xxx.xxx的http协议包”。规则所能描述的

2006-10-11 16:39:00 1652

转载精英也如此犯傻 IT精英们不断上演的十大傻事

　　eWEEK刊登了一组幽默图片,描述了IT精英们一直不断重演的十大傻事.国内的这些IT精英们不一定会犯一样的错误,不过看看老外是怎么冒傻气的,也好让大家有则改之无则加勉.　　第一傻:不断的一次次做重复的事情　　好像对某些人来说,学习自动处理技术和掌握系统管理工具,是一件登天的难事.他们宁愿自己一点点手动的去做这些机械性的劳动. 第二傻:表现的像个雇员,而不是专业团队

2006-10-08 15:08:00 604

翻译信息安全策略之五：Remote Access Policy

摘要：此为国外某大型企业的信息安全策略规范，涉及企业信息安全的各方面，共数十个策略，我将陆续翻译整理出来。这是第五篇：远程访问策略。欢迎转载，但请注明出处及译者。请不要用于商业用途。原文： Remote Access Policy 1.0 Purpose The purpose of this policy is to define standards for co

2006-10-08 10:58:00 1840

原创美国信息安全风险控制及工作流程

风险控制是风险评估完成后实施的行为，是风险管理的第二个过程，它包括对风险评估过程中建议的安全措施进行优先级排序、评估和实现。风险控制不属于风险评估本身的工作内容，但与之密切相关。因为消除所有风险往往是不切实际的，甚至也是近乎不可能的，所以高级管理人员和业务职能主管有责任运用最小成本方法来实现最合适的控制，将使命风险降低到一个可接受的级别，使得对单位造成的负面影响最小化。1 风险控制选

2006-09-29 15:57:00 2004 1

翻译信息安全策略之四：Password Policy

摘要：此为国外某大型企业的信息安全策略规范，涉及企业信息安全的各方面，共数十个策略，我将陆续翻译整理出来。这是第四篇：口令策略。欢迎转载，但请注明出处及译者。请不要用于商业用途。原文： Password Policy 1.0 OverviewPasswords are an important aspect of computer securit

2006-09-29 13:16:00 5188

原创美国信息安全风险评估工作流程详述

通过参考NIST SP800系列标准关于信息安全风险评估的阐述，以下列举了美国政府在实施风险评估和风险控制时的一般流程，具有普遍性，但并不意味着这是固定不变的方法。步骤1：描述体系特征在对信息系统的风险进行评估中，第一步是定义工作范围。在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统的进行授权运行

2006-09-28 17:47:00 6729

　　《The Google Story》中文叫《撬动地球的Google》，讲述这家平民媒体公司的权威性记录，描述这家公司如何在短短几年内便对信息世界带来革命性影响，彻底改变人们获取各种信息的方式。其中渗透了一种Google的企业文化和立企之本，希望国内的各位IT企业家们好好研读一番，从Google身上领悟到一种你们所没有的思想，学会如何以网民为本位！下面是国外一个博客上一位朋友写的一段《The G

2006-09-26 14:32:00 724

空空如也

空空如也