互联网时代第七集《控制》观后感

1

纪录片一开始以人的恶性为引点,为全文作了奠基。接着是以世界头号社会工程学黑客米特尼克的事迹作为“互联网安全故事”的开始。并介绍了DeCon大会上黑阔们破解ATM机的演示,由于有利可图,网络犯罪案件急剧增长,网络安全事件也是倍数增长。紧接是讲述了爱沙尼亚的被DDOS攻击事件,以及伊朗核电站被“震网病毒”攻击事件,反映了网络安全的重要性所在。随着网络规模的扩大,“网络欺凌”事件的影响力也是被无穷放大。纪录片还讲述了关于网络安全犯罪法律完善以及各国法律的双重标准阻碍网络犯罪法律的发展。影片最后讲述了美国政府的“棱镜”监听事件以及根服务器控制权的相关问题,突出了网络时代,新世界各国所需占领的新战略格局–网络空间。

Read More

OpenSSL又出新漏洞,DROWN Attack

攻击者可以利用DROWN来对目标服务器进行中间人攻击,受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。

drown

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。
影响超过1100万网站我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。
Read More

MouseJack:15行代码控制无线鼠标和键盘

WIFI

Bastille的研究团队发现了一种针对蓝牙键盘鼠标的攻击,攻击者可以利用漏洞控制你的电脑操作。研究团队将此攻击命名为MouseJack。

七大厂商皆中招
软件工程师马克纽林说:“利用假冒的无线电脑鼠标和键盘可以从100米的距离利用便携式外围设备入侵笔记本电脑,这些设备来自至少七家大厂商,包括罗技、微软、亚马逊”。
Read More

Metasploit渗透测试实验报告

meta0

一、实验目的
1、模拟灰盒测试对模拟“定V”公司进行渗透测试攻击,最终目的是控制所有服务器及内网客户机,并进行后渗透测试攻击
2、掌握科学的完整的渗透测试方法,本次实验采用PTES标准渗透测试方法,共7个阶段:
(1)前期交互阶段(跳过)
(2)情报搜集阶段
(3)威胁建模阶段
(4)漏洞分析阶段
(5)渗透攻击阶段
(6)后渗透攻击阶段
(7)报告阶段
3、熟练掌握metasploit框架并能灵活运用
4、掌握漏洞挖掘以及漏洞分析的方法,并训练写exp代码及POC的能力
5、通过本次实验了解以后学习的主要方向,了解信息安全专业技能必备的一些知识,比如汇编,操作系统原理等等,并锻炼自学能力。

Read More