前几天看到一片文章《XSS Hack:获取浏览器记住的明文密码》(抱歉因安全考虑无法提供链接,请感兴趣的朋友百度之),讲的是目前还在萌芽中的一种跨站攻击方式——密码填充劫持。花了点时间研究了一下,觉得这种方法是几乎所有人都很难防范的。我在《网络安全的基石 – 密码安全》一文中曾提到了三种密码攻击的方法,而这次出现的是一种全新的攻击方法,十分隐蔽,且完全不需要互动。 跨站脚本攻击(Cross-Site Scripting),简称XSS,是近几年来十分流行的攻击手段,对社交网站等用户参与的网站尤为有效。我还记得前几年人人网就出过一次攻击,那时所有受影响的人都会自动转发一个帖子,而看到帖子的好友会继续转发,病毒式的扩散开来。
Tag: 安全
网络安全的基石 – 密码安全
这篇文章探讨的是现在网络安全中关注较少但极为重要的密码安全。今天距备受瞩目的CSDN及多个社交网站的集体密码泄露已经过去了将近一年,这次事件给很多人敲响了警钟,但警钟归警钟,密码还是照原样设置,似乎渐渐将这件事情淡忘。然而,近来关于QQ盗号团伙的新闻却提醒我们,我们的不在意,不代表那些想用我们账号的人不在意。在之前的日志中,我也强调,淘宝诈骗的唯一目标就是我们的密码,而其他近些年的恶意软件设计,无一例外将目标锁定在用户的密码上。所以,将密码安全称之为“网络安全的基石”,不为其过。 那么,到底有多少种密码攻击方式呢?说多有很多,说少,其实就三种:
关于防范淘宝诈骗的几点技巧
网络购物在中国十分流行,今天的支付宝交易额短短8小时就达到100亿。市场巨大,诈骗的机会就大,因为许许多多网购的人都对电脑并不熟悉,对于一些比较常见的骗术缺乏最基本的了解。网上有很多受骗案例,也零零散散地有一些防范手段,但授人与鱼不如授人以渔,了解这些诈骗背后的道理,才能从根本上防止自己陷入他人的圈套。 首先,我们要弄清楚为什么会有诈骗。诈骗不是请客吃饭,不是做文章,不是绘画绣花。诈骗的人明白失败的代价,所以他们会用一切手段伪装自己,但同时会提高攻击的目标性,而不是传统意义上的电脑攻击。说白了,骗子的目标就是你的钱,换言之,就是你手中的银行卡的账户和密码。这是终极目标。为了达到这个目标,它可以顺带着骗取你的支付宝账户和密码,淘宝账户和密码。没有其他的。又因为我们的用户名是可见的,那么他们唯一的目标就是密码。因为几乎所有人都不会傻乎乎地把密码明文存储在电脑里,又因为现代网络安全技术使用https杜绝了中途切断破解通讯,那么骗子的手段只有一个,那就是让你自己输入密码。 以上这一段啰啰嗦嗦,归结成一句话:你输密码的时候,就是你最脆弱的时候,是你最需要警惕的时候。