- 資訊安全:
1.利用Google爬虫DDoS任意网站,利用Spreadsheet作为DDoS武器 by 黑吧安全网
Google的FeedFetcher爬虫会将spreadsheet的=image(“link”)中的任意链接缓存。
例如我们将=image(“http://example.com/image.jpg”)输入到任意一个Google spreadsheet中,Google就会“派出”FeedFetcher爬虫去抓取这个图片并保存到缓存中以将其显示出来。
但是,我们可以为文件名附加上随机参数,使FeedFetcher多次抓取同一文件。也就是说,如果一个网站有一个10MB的文件,要是将以下列表输入到Google spreadsheet中,那么Google的爬虫就会抓取该文件1000次。
=image("http://targetname/file.pdf?r=0")
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
...
=image("http://targetname/file.pdf?r=1000")
附加上随机参数后,每个链接都被看作是不同的链接,因此Google爬虫会去抓取多次,使网站产生大量出站流量。所以任何人只需使用浏览器并打开一些标签,就可以向web服务器发动巨大流量HTTP GET洪水攻击。
但是这种攻击使攻击者根本不需要有多大的带宽,只需要将“图像”地址输入进spreadsheet,Google就会从服务器上抓取这个10MB的数据,但是因为地址指向一个PDF文件(非图像文件),攻击者从Google得到的反馈为N/A。很明显这种类型的流量可以被放大多倍,引起的后果很可能是灾难性的。
2.flash漏洞:CVE-2015-3113和CVE-2015-3043的比较 by 黑吧安全网
CVE-2015-3113的影响类似于CVE-2015-3043。都是在Flash Player内造成缓冲区溢出。事实上,代码针对前一次的利用程序,在18.0.0.160版本里,那次的利用程序也会造成崩溃。
如果用户访问了带有某一个恶意Flash文件的网站,那么两种漏洞可被使用于在他们的系统上运行任意代码(例如恶意软件)。这些用户访问恶意或被攻陷的网站(含有恶意Flash文件),未安装补丁的Flash Player存在风险。
CVE-2015-3113 和CVE-2015-3043都是FLV音频解析流中的漏洞。它们都出现在Flash Player处理音频的过程中;通过修改FLV文件的音频便签可以触发它们。
它们都溢出一个硬编码长度的堆buffer,其长度为0x2000。 CVE-2015-3043 和 CVE-2015-3113 都使用 sample_count * sample_size > 0x2000来触发这个bug ,并绕过检查长度。
3.SecureAxcess:这个USB装置可以保证你的邮件、聊天、文件传输安全可靠 by FreeBuf
用户将SecureAxcess插入到计算机的USB接口上,输入密码然后就可以启动一个称为SecureCommunique的“无浏览器”平台,该平台是运行于SecureAxcess中用于封闭消息、文件传输和聊天的应用程序。该程序完全是自动从RAM在令牌上运行,而不是在计算机上。
SecureAxcess采用了真正的双因素身份验证:为了访问机密数据,用户既需要物理设备(令牌),也需要密码。至于硬件方面,这个袖珍型设备是基于Atmel |SMART SAMA5 Cortex-A5微处理器,并且拥有内置的加密机制(AES)。
确保数据安全的最佳方法是,确保身份认证在一个安全、离线位置、脱离软件和浏览器的环境中进行。SecureAxcess是一个固体熔融的塑料,在不破坏里面数据的情况下根本不能打开。
Google的FeedFetcher爬虫会将spreadsheet的=image(“link”)中的任意链接缓存。
例如我们将=image(“http://example.com/image.jpg”)输入到任意一个Google spreadsheet中,Google就会“派出”FeedFetcher爬虫去抓取这个图片并保存到缓存中以将其显示出来。
但是,我们可以为文件名附加上随机参数,使FeedFetcher多次抓取同一文件。也就是说,如果一个网站有一个10MB的文件,要是将以下列表输入到Google spreadsheet中,那么Google的爬虫就会抓取该文件1000次。
=image("http://targetname/file.pdf?r=0")
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
...
=image("http://targetname/file.pdf?r=1000")
附加上随机参数后,每个链接都被看作是不同的链接,因此Google爬虫会去抓取多次,使网站产生大量出站流量。所以任何人只需使用浏览器并打开一些标签,就可以向web服务器发动巨大流量HTTP GET洪水攻击。
但是这种攻击使攻击者根本不需要有多大的带宽,只需要将“图像”地址输入进spreadsheet,Google就会从服务器上抓取这个10MB的数据,但是因为地址指向一个PDF文件(非图像文件),攻击者从Google得到的反馈为N/A。很明显这种类型的流量可以被放大多倍,引起的后果很可能是灾难性的。
2.flash漏洞:CVE-2015-3113和CVE-2015-3043的比较 by 黑吧安全网
CVE-2015-3113的影响类似于CVE-2015-3043。都是在Flash Player内造成缓冲区溢出。事实上,代码针对前一次的利用程序,在18.0.0.160版本里,那次的利用程序也会造成崩溃。
如果用户访问了带有某一个恶意Flash文件的网站,那么两种漏洞可被使用于在他们的系统上运行任意代码(例如恶意软件)。这些用户访问恶意或被攻陷的网站(含有恶意Flash文件),未安装补丁的Flash Player存在风险。
CVE-2015-3113 和CVE-2015-3043都是FLV音频解析流中的漏洞。它们都出现在Flash Player处理音频的过程中;通过修改FLV文件的音频便签可以触发它们。
它们都溢出一个硬编码长度的堆buffer,其长度为0x2000。 CVE-2015-3043 和 CVE-2015-3113 都使用 sample_count * sample_size > 0x2000来触发这个bug ,并绕过检查长度。
3.SecureAxcess:这个USB装置可以保证你的邮件、聊天、文件传输安全可靠 by FreeBuf
用户将SecureAxcess插入到计算机的USB接口上,输入密码然后就可以启动一个称为SecureCommunique的“无浏览器”平台,该平台是运行于SecureAxcess中用于封闭消息、文件传输和聊天的应用程序。该程序完全是自动从RAM在令牌上运行,而不是在计算机上。
SecureAxcess采用了真正的双因素身份验证:为了访问机密数据,用户既需要物理设备(令牌),也需要密码。至于硬件方面,这个袖珍型设备是基于Atmel |SMART SAMA5 Cortex-A5微处理器,并且拥有内置的加密机制(AES)。
确保数据安全的最佳方法是,确保身份认证在一个安全、离线位置、脱离软件和浏览器的环境中进行。SecureAxcess是一个固体熔融的塑料,在不破坏里面数据的情况下根本不能打开。
- 企業管理:
1.人才为什么是不听话的人?9个思维让你的管理更高级 by 世界经理人
为什么人才不听话?或者说显得不听话?因为他有不同的见解,就是这么简单的。为什么人才总是显得对你的见解有意见?因为他可能看到了你的见解中不足的地方。如果他所看到的不如你,那算什么人才?这种人能在实质上帮忙你的公司你的企业提高吗?
2.导致中小企业执行力差的根源是什么 by 泽亚企业管理咨询
(1)缺乏规章制度,操作流程不健全
(2)人比制度灵活,执行易发生变数
3.如何识别具有领导潜质的员工? by 黄志猛
(1)岗位的挑战性如何?高挑战的岗位要求培养对象的自信心要高一些,否则以后面临着困难与挑战时,他内心的想法是“知足常乐”,“人生苦短,何必强求”。
(2)该领导岗位未来的绩效目标是什么?培养对象的性格特质与岗位目标相匹配?开拓型的岗位需要一个人的掌控型性格;激励、品牌塑造、社交等岗位需要表现型性格;服务类岗位需要耐心型性格;专业研究、成本控制、流程规范需要细致型性格。
(3)岗位的工作压力如何?是否需要经常加班?高压力的工作需要培养对象的精力特别旺盛。记住:精力是一种客观存在的隐性才能。
(4)岗位是否需要思维的高敏锐性?敏锐性是客观存在的另一种隐性能力,例如,高敏锐度的人很容易做到听话听音,低敏锐度者别人不把话不说透,他就不明白。
(5)岗位是否需要作重大决策?这些决策是属于把握机遇型决策还是稳健型决策?决策模式同样是一种客观存在的隐性才能。有些人在决策时擅长于把握机遇,有些人则优柔寡断错失时机,不同的决策内容需要选择不同的人才培养。
为什么人才不听话?或者说显得不听话?因为他有不同的见解,就是这么简单的。为什么人才总是显得对你的见解有意见?因为他可能看到了你的见解中不足的地方。如果他所看到的不如你,那算什么人才?这种人能在实质上帮忙你的公司你的企业提高吗?
2.导致中小企业执行力差的根源是什么 by 泽亚企业管理咨询
(1)缺乏规章制度,操作流程不健全
(2)人比制度灵活,执行易发生变数
3.如何识别具有领导潜质的员工? by 黄志猛
(1)岗位的挑战性如何?高挑战的岗位要求培养对象的自信心要高一些,否则以后面临着困难与挑战时,他内心的想法是“知足常乐”,“人生苦短,何必强求”。
(2)该领导岗位未来的绩效目标是什么?培养对象的性格特质与岗位目标相匹配?开拓型的岗位需要一个人的掌控型性格;激励、品牌塑造、社交等岗位需要表现型性格;服务类岗位需要耐心型性格;专业研究、成本控制、流程规范需要细致型性格。
(3)岗位的工作压力如何?是否需要经常加班?高压力的工作需要培养对象的精力特别旺盛。记住:精力是一种客观存在的隐性才能。
(4)岗位是否需要思维的高敏锐性?敏锐性是客观存在的另一种隐性能力,例如,高敏锐度的人很容易做到听话听音,低敏锐度者别人不把话不说透,他就不明白。
(5)岗位是否需要作重大决策?这些决策是属于把握机遇型决策还是稳健型决策?决策模式同样是一种客观存在的隐性才能。有些人在决策时擅长于把握机遇,有些人则优柔寡断错失时机,不同的决策内容需要选择不同的人才培养。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言