本文目录一览:
- 1、CSDN密码泄露是怎么的
- 2、什么是黑客?红客又是什么?
- 3、关于电子商务中的身份认证,怎么防范黑客之类的入侵者?
- 4、CSDN被黑客攻击,为什么会影响那么大,甚至自己的帐号密码都要修改
- 5、csdn,天涯,世纪佳缘等网站都是怎么泄密的?是黑客攻击他们各单位的服务器造成的泄密吗?
- 6、黑客 用什么操作系统 csdn
CSDN密码泄露是怎么的
好多大网站都被黑客攻击了包括CSDN,人人网,sina,开心网,百合网,京东商城等等。数据泄露已经超过一个月。过亿用户数据被外传。
这次事件收益更大的是 *** 水军和营销公司,他们得到了大量用户邮箱, *** 等数据。如果有人打 *** 清楚的知道你的个人数据,不用怀疑,多半是你的数据外泄了。
什么是黑客?红客又是什么?
黑客: 黑客这个名词,恐怕一千个人脑里有一千个不同的模样。举几个例子。深受病毒蠕虫木马侵害的大叔大婶们,脑海浮现出来的恐怕就是,几个拿石头砸完玻璃就跑的小孩,下楼气喘吁吁去抓,却不见踪影,只得痛骂一句,你们这些不干好事的黑客。喜爱电影黑客帝国的同学们,联想到的可能是,盯着满屏01010111跳动目不转睛抓起 *** 就消失了的神秘人士。技术人员应该会客观点啦,黑客嘛,不就是那些用些工具,利用些漏洞,攻击这玩玩攻击那玩玩的。且不论褒贬,究竟谁才是黑客?熊猫烧香的作者是不是,看到老外网站的主页就拼命想挂个红旗又是不是呢,最近报道的攻击DNS根服务器的又不是不是呢。不着急回答上面这些问题,先回答文苗同学的另外两个问题吧。之一个问题是,凯文.米特尼克(Kevin Mitnick)是不是黑客? 知道他的传奇事迹的人大概都会回答,肯定是。不知道Mitnick先生,没关系,先说说他的故事。Kevin Mitnick,3岁时父母离异,跟着母亲过日子。上世纪70年代末,13岁的他,那时还在上小学,先是迷上了无线电,后来很快就对计算机发生了兴趣,这下就没完没了了。不久就退学了,因为非法闯入其他学校的 *** 。退学了,更自由了,他打工赚钱,买了一台性能不错的电脑(小霸王学习机之类的)。不久,15岁的他闯入北美空中防务指挥系统,慢悠悠翻完指向苏联的核弹头资料,觉得无聊了,就溜出来了。Mitnick觉得不够 *** ,打起联邦调查局的主意。某天,突然发现FBI们正在调查一位入侵者,觉得挺有兴趣,一看,真吃了一惊,居然调查的就是Mitnick自己。于是花了点时间,破译了FBI中央系统的密码,每天认真的翻阅FBI对自己的调查档案起来。顺便还和FBI开了点玩笑,把一些特工的资料改成了罪犯。FBI费劲力气,最后还是把Mitnick给逮到了,发现居然是个16岁的小孩。大概觉得年纪太小,还颇有天份,就从轻发落了,Mitnick很快就假释了。Mitnick可没想要收手,比以前动作更大了,1988年再度入狱,一年徒刑,具体的罪名是,著名的DEC(被Compaq收购了,Compaq后来又被HP并购了)指控他盗取该公司的软件。这次 *** 怒了,严密监视他,有公司想聘请他,可是 *** 会严重警告,最后没有公司敢要他了。即使这样,FBI还是不放心,收买了一个家伙,诱使Mitnick重操旧业,果然他上当了。当时Mitnick毕竟是Mitnick,又闯进了FBI的系统,发现了FBI的圈套,在逮捕他之前逃跑了。据不可靠的传说,说Mitnick在逃跑的过程中还控制了加州的 *** 网,以方便监听警察和特工们。后来甚至还有人说Mitnick在蹲监狱时,拿个小破收音机改造改造,就能上网,这个我是颇为不相信了。后来的结局是,一位叫下村勉的日本专家也被Mitnick调戏了,发誓要抓到Mitnick,两人玩起了猫和老鼠的游戏。下村勉费尽千辛万苦,查找一切蛛丝马迹,和动画片的结局不一样,猫最后赢了,Mitnick在1995年的情人节被抓住了。故事说完了,大部分的人听完了故事,可能会觉得Mitnick是个真正的黑客了。Mitnick前些年已经出狱了,似乎还是不允许接触电脑,写起了书,有本叫作入侵的艺术,国内也翻译了。CSDN上还有试读, 再问第二个问题吧,这个问题是,如果问Eric Raymond,Mitnick是不是黑客?恐怕答案可能是两个字母,NO。Eric Raymond何许人也?被公认为是开源运动的主要领导者之一,著有《The Art of UNIX Programming》,还写了著名的五部曲,其中的大教堂和市集号称是自由软件运动的“圣经”。五部曲还有一篇是《如何成为一名黑客》,文中对黑客的定义是这样的,"长久以来,存在一个专家级程序员和 *** 高手的共享文化社群,其历史可以追溯到几十年前之一台分时共享的小型机和最早的ARPAnet实验时期。 这个文化的参与者们创造了“黑客”这个词。 黑客们建起了Internet。黑客们使Unix操作系统成为今天这个样子。黑客们搭起了Usenet。黑客们让WWW正常运转。如果你是这个文化的一部分,如果你已经为它作了些贡献,而且圈内的其他人也知道你是谁并称你为一个黑客,那么你就是一名黑客。” 他也说了什么样的人不是黑客“另外还有一群人,他们大声嚷嚷着自己是黑客,实际上他们却不是。他们是一些蓄意破坏计算机和 *** 系统的人(多数是青春期的少年)。真正的黑客把这些人叫做“骇客”(cracker),并不屑与之为伍。多数真正的黑客认为骇客们是些不负责任的懒家伙,还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客, 正如拿根铁丝能打开汽车并不能使你成为一个汽车工程师。”Raymond先生说的黑客精神,其实就是自由和共享。所以,如果问Eric Raymond先生,Mitnick是不是黑客?Raymond会说,Mitnick先生从事的是“专门以破坏别人安全为目的的行为”,不是黑客。究竟什么是黑客?不同的人是有不同的答案,我的答案,择日再说。据fenng两分钟前的最新消息,黑客的定义分为古典,现代,和后现代,哈哈。如果Mitnick算是"邪道"黑客,Raymond自然就是"正道"的黑客了。可是无论正邪,黑客其实都影响软件甚至IT业界发展。杀毒软件厂商和其他计算机安全公司之所以还有口饭吃,某种程度上,得谢谢那些病毒蠕虫和"黑客"们,如果他们期盼猪年收成更好,得祈祷虫子们来得更猛烈些,快要过年的时候,我给他们的建议是,记得给"黑客"和病毒作者多拜年和拜好年。
关于电子商务中的身份认证,怎么防范黑客之类的入侵者?
电子商务源于英文ELECTRONIC
COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着电子商务的普及,人们已经习惯于网上购物,网上
银行和电子支付等新兴事物,然而 *** 安全始终是制约电子商务发展的一个主要瓶颈。
一、电子商务的身份认证
在
电子商务活动中,由于所有的个人和交易信息要在一个开放的 *** (如Internet)进行传输和交换,故我们需要身份认证技术去验证客户的身份。身份认证
一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态密码),客户有什么特征(如指纹,虹膜和脑电波等)。国内外常见身份认证技术包
括:用户名/密码方式 、IC卡认证、USB
Key认证和生物特征认证等。随着 *** 和黑客技术的发展,用户名/密码方式认证已经被证明是不安全的。由于静态的密码方案不能抵御重放攻击,字典攻击且密
码容易忘记,
所以其安全性是很低的,不能满足电子商务中身份认证的要求。目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USB
Key认证技术等)。
二、各种身份认证技术的比较
1.
静态的用户名和口令方案。在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论
坛,BBS和电子信箱。目前公司和个人受到 *** 攻击的主要原因是静态密码政策管理不善。大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简
单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月。当时CSDN的安全系统
遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很
多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。总而言之,静态密码身份认证方案的优点是实施成本低,不需要购置特殊的设备,用户体验
性好,但其安全性较低。
2.
客户证书USBKey(U盾)方案。从技术角度看,客户证书USBKey是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024
位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。目前国内几大商业银行,如工商银行、农业银行
和交通银行等都采用了USBKey方案。 *** 黑客即使知道了客户的登录密码和支付密码,但如果没有USBKey在手,黑客还是不能够从你的帐户转出一分
钱。故这种身份认证方式可以很好地避免账号、密码被盗等可能出现的风险。USBKey方案的优点是安全性很强,但由于涉及到了硬件故其成本较高,且
USBKey使用前需要先安装驱动。对于一些常常出差或者需要在不同机器上使用USBKey的客户来说,由于计算机各种操作系统(如Windows和
Linux)和硬件(各种不同品牌机器)的差异性,可能在安装时会遇到一些兼容性问题,这大大减低了用户的体验满意度。
3.
短信认证方案。目前一些大型电子商务网站往往采取“静态密码+短信认证”方案。该类系统使用数字物理噪声源产生完全随机变化的动态(验证)密码,并通过无
线通信方式将该动态密码发送到用户的无线通信终端(寻呼机或移动 *** 等)
上。譬如支付宝网站在用户支付小额金额时只需输入支付密码,但额度如果超过一定额度(如200元),则支付宝网站向用户手机(注册时登记的号码)发一条验
证短信,然后用户在网站上输入6位的手机验证码和支付密码后才能完成付款。采用这种身份认证方式的优点是既保证了小额支付的快捷性,又保证了大额支付的安
全性。但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态,当 *** 出现拥塞时将导致验证密码传输会有较大的时延,甚至将使系统无法正
常完成身份认证过程,而且由于短信的发送会产生大量的短信费用,对中小型电子商务网站来说仍然是不小的开销。
4.
动态口令认证方案。动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据服务商提供的动态口令令牌的显示数字来输入
动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如
Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了动态口令认证方案。该方案的特点使用简单,用户无须
安装任何驱动,操作时只需输入当前显示的6位动态口令即可。其不足之处是安全性没有USBKey强,如在2011年上半年,全国各地出现了多起中国银行动
态口令泄露安全事件。黑客们首先设计了多个钓鱼网站,然后引诱中银用户输入登录密码和动态口令。动态口令虽然为一次性口令,但其在60秒之内是可反复使用
的。故黑客得到了用户的登录密码和动态口令之后,只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了。
再参考 你就完全知道了
现在最多使用的是CA和数字证书两种技术
CSDN被黑客攻击,为什么会影响那么大,甚至自己的帐号密码都要修改
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
二:挂马恢复措施:
1.修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序之一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码更好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2.创建一个robots.txt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件
之一步:修改后台里的验证文件的名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4.限制登陆后台IP
此 *** 是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全之一嘛。
5.自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找你的网站程序提供商。
8. cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9.目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10.自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护
a.定期备份数据。更好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
csdn,天涯,世纪佳缘等网站都是怎么泄密的?是黑客攻击他们各单位的服务器造成的泄密吗?
是的。最早是黑客攻击csdn,导致大量用护数据泄漏。并且csdn的用户密码还是明文。而这些用户中有大量的人,他们喜欢用同一个账号和密码,这就导致他们在其他知名论坛上的ID被盗。
黑客 用什么操作系统 csdn
各有不同,但多数都是用WIN7然后搭建虚拟机里面各种操作系统都存在