西西河

主题:【讨论】纯技术探讨:访问网站导致被黑的可能和难度大小 -- 铁手

共:💬25 🌺52
分页树展主题 · 全看首页 上页
/ 2
下页 末页
      • 家园 数字触目惊心。

        From Wiki

        XSS surpassed buffer overflows to become the most common of all publicly reported security vulnerabilities in recent years, [5] and at least 68% of websites are likely open to XSS attacks on their users.[6] Cross-site scripting holes in general can be seen as vulnerabilities which allow attackers to bypass security mechanisms.

        当然,数字准不准可以以后考证。

      • 家园 社会工程很强大

        有很多种方法可以实现对具体用户的精确打击,操作系统本身的漏洞虽然越来越少,但有个必要的前提是用户能够及时更新,但国内绝大多数用户没有这样的意识或是手段。单纯指望某个防火墙的缺省设置可以抵御外界的恶意渗透是不太现实的,防火墙可以主动抵御一些明显的恶意攻击,但遇到无法判断的时候还是要提交用户处理,对于系统运作不太了解的用户面对天书一般的术语基本没有多少判断能力,导致的后果也不言而喻。

        其实我想案例中的受害人认为所受到的攻击和其在论坛发表的言论有关的看法有待商榷,除非有比较确实的证据,比如攻击者留言之类,而且有时候这样的留言也是被当作转移注意力的手段来使用。

        密码被修改有两种情况需要注意:一种是植入木马截获键盘输入,一种是联网时候攻击者取得受害人的身份凭证直接设定新密码。在这种情况下你的密码有多复杂其实没有意义。尤其是后一种,对方根本不需要知道你的密码是什么。

        • 家园 对,俺喜欢社会工程

          花在某个变节者身上的钱比花在高技术黑客身上的回报要高得多。找人绑架、威胁、恐吓、折磨某人获取密码的方法不需要什么高技术。

    • 家园 大赛链接

      cansecwest

    • 家园 理论上,访问网站被黑的可能性是很大的。

      讨论问题之前,先引用一段

      上周在加拿大温哥华举行的全球黑客大赛中,继苹果MacBook Air笔记本被攻破之后,运行Vista的富士通笔记本也在大赛最后一天被攻破,三台分别运行Linux、Mac OS X和Vista的笔记本中,只有运行Linux系统的索尼Vaio完好无损。

      大赛第一天,三部笔记本电脑系统完好无损。这一情况也在组织者的意料之中,因为大赛第一天只允许参赛者实施基于网络的攻击手段,并且不能与用户进行互动交流,这种类型的攻击目前还非常少见。但每过一天,奖金将会减半,不过攻击难度也会因放松规则而减少。

      大赛第二天,Independent Security Evaluators的查利·米勒利用Safari浏览器的一个漏洞通过一个尚未使用的代码攻破了运行Mac系统的MacBook Air笔记本。米勒获得了1万美金的奖励,外加这台被攻破的MacBook Air。

      大赛第三天,去年该大赛的获胜者之一、沙恩·马考勒在VMware的研究人员亚里山大·索蒂洛夫等人的协助下攻破了运行Vista的富士通笔记本电脑。

      根据大赛的规定,在上述发现的漏洞被修补之前,马考勒和米勒不能透露漏洞的具体细节。但马考勒透露,他发现并利用的是一个跨平台漏洞,通过Java绕过了Vista的安全防护。

      这篇报道说明了两个问题:

      1.基于网络的攻击(俺称之为主动攻击),就是在知晓对方IP的前提下,利用各种手段探测,分析攻击目标的弱点,然后自动向攻击目标发出攻击“数据包”而攻击得手变得越来越困难。

      2.基于OS,特别是浏览器的漏洞(BUG)采用钓鱼的方法(俺称之为被动攻击)成为攻击(被黑)的主要手段。实际上,俺已经在本栏目的多个帖子中或多或少的谈及了这个问题。

      老铁,俺要喝水去了。

      通宝推:高子山,
      • 家园 道高一尺魔高一丈

        等浏览器完善,黑热点是什么?

        p2p或者播放器?

      • 家园 赞同的几句话

        基于OS,特别是浏览器的漏洞(BUG)采用钓鱼的方法(俺称之为被动攻击)成为攻击(被黑)的主要手段。

        其实基于OS的攻击,对个人用户来讲,更为普遍。

        当然这是就铁手的这个帖子说话的话,那说穿了其实太简单了:任何网站不会提供给个人用户那么危险的服务啊。

        再就是代码的话了:基本上这种方式,是网站先被黑,然后呢,就是用户遭殃。

        当然这两段话,背离了铁手的主题:访问网站导致被黑的可能和难度大小。

        代码兄其实说的已经很清楚了:基本上是网站先被黑。

        唉,这个问题,改天真的应该好好讨论一下,若兰先收藏。

    • 家园 先占个沙发

      在不进入网站后台的情况下,通过发贴也能实施一些攻击。比如,现在西西河是允许flash的,而flash就可能有漏洞,可能未经用户允许就打开某个外部链接。网页挂马现在也很常见了。

      相反,知道用户IP一般没啥用,除非这个用户IP所对应的计算机是开放服务的。用户IP的用处更多体现在“人肉”方面吧。

分页树展主题 · 全看首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河