我不是搞資訊保安的專家,對這方面本也沒什麼研究,只是,最近無意的一次試驗,引起了一些思考,越來越感覺到,我們在這個充斥著網路的世界中,似乎已經沒有安全可言。想要獲得別人的一些個人資訊甚至唾手可得。也許有很多人平時就比較注意自己的個人資訊,盡量少洩露。但是千里之堤,毀於蟻穴,乙個不懷好意的人,只要發現一點點漏洞,就可以以此為起點,去獲得更多的資訊。
事情起因於,一次我在嘗試無線網的monitor模式,偶然發現附近有乙個沒有設定密碼的無線網,於是試著捕獲了一段時間的資料報,dump出來一看,裡面有明文的http資訊,更進一步,裡面有登入某乙個**的post請求,而且該請求是沒有加密的,事實上,目前很多**的登入系統都是乙個簡單的form,提交資料的時候沒有任何的加密措施。於是,很簡單就拿到了這個人在這個**上的使用者名稱和密碼,試著登入了一下,果然能成功,不過裡面除了**,也沒啥有用的資訊。
這個使用者名稱是乙個郵箱位址,我想很多人都會把乙個密碼用在多個地方吧,於是我用這個密碼登入了一下郵箱,果不出所料,這下,你就可以看到這個人的更多的資訊了,甚至,手機號,位址等等比較敏感的資訊。
再進一步的話,也許你能拿到更多的資訊,不過我想說的是,所有這些,僅僅起因於無線網沒有設定加密,當然,後面的每乙個突破點都是因為存在漏洞。
像這樣的攻擊,最讓人鬱悶的是,它可以讓使用者在完全不之情的情況下洩露了自己的資訊。如何去防範這樣的攻擊,也不是單從乙個方面就能夠完全解決的,只能說,在平時的使用中,盡量要小心了,我想到這麼幾點:
1.對於區域網共享上網的環境,使用mac靜態繫結,方法很簡單,先得到閘道器的mac,寫個.bat指令碼,用arp -s命令新增靜態繫結,然後將這個指令碼放入啟動組。這樣可以防止區域網上的arp欺騙,但是對於路由器遭到攻擊,植入嗅探器的情況,這樣就失效了。
2.使用ssl連線。這個不光是客戶端解決的問題,重點在伺服器端,好在現在很多**在傳遞敏感資訊的時候已經使用ssl連線了。
3.個人的密碼千萬不要前篇一律,如果別人獲得你在乙個**上的密碼,就很有可能獲得你在其他重要**上的賬號,比如,網上銀行。當然,到處設定不同的密碼似乎不太現實,實在記不住,我想比較好的策略是,對於重要的賬號,比如,網上銀行,可以單獨設定乙個密碼。
4.對於無線網,盡量使用wpa加密,對於wep,目前可以在半小時內破解,而wpa暫時還沒有比較好的破解方法。同時,在無線路由器上,設定mac位址過濾,這樣即使有人獲得了密碼,也無法進入無線網,當然,這也不是絕對的,畢竟網絡卡的mac也是可以改的。
暫時就想到這麼多……
「拖庫」防不勝防,如何早做預防?
近期有訊息爆出某酒店資料庫被拖庫,資料主要包括註冊資料 酒店入住登記資訊以及開房記錄。此次事件涉及使用者資訊十分敏感,後續連串反應將造成的損失難以估計。我們在思考如何保護自己的資訊保安同時,更要思考企業如何保證資訊保安,做好安全加固,避免千丈之堤,潰於蟻穴。該酒店資訊洩露事件,起因疑似該公司程式設計...
資料洩露防不勝防?列許可權一招決勝企業安全高效協作
千呼萬喚的vika維格表 列許可權 功能上線啦 通過給成員配置 可編輯 或 唯讀 的許可權,讓敏感資料可以隨心控制,極大提高協同工作的效率和資料的安全性 為資料列配置 可編輯 或 唯讀 許可權 例如 你在做進銷存管理的時候,可以通過 列許可權 保護商品的成本 不被公開,售價不被修改等等 在活動評比管...
網路釣魚防不勝防 大型科技公司竟被騙逾1億美元
網路釣魚防不勝防 大型科技公司竟被騙逾1億美元,3月22日 隨著網際網路的飛速發展,網路詐騙屢見不鮮。之前就有報告指出,針對更 值目標 如高管 的網路釣魚活動呈增長態勢。近期,美國司法部公布的乙份起訴書顯示,立陶宛一名網路犯罪分子精心策劃了一場網路釣魚 這名網路犯罪分子名為evaldas rimas...