- 資訊安全:
1.Linux 惡意程序分析學習筆記 by Freebuf
Linux下惡意程序常見的感染方法:
(1)ELF文件感染:
首先病毒須以某種方式寄生於宿主,這就意味著病毒需要修改宿主插入自身代碼。當被感染宿主執行時,宿主源代碼與病毒體共同映射到程序進程空間,病毒搶先於宿主執行,之後將控制權交還宿主。
(2)編譯替換可執行程序:
通過暴力破解,其他軟件的漏洞(如網站漏洞上傳web shell,遠程代碼執行等漏洞)獲得一定的系統權限。然後收集系統內核信息,編譯對應版本的病毒,通過替換已有進程或者一些隨機進程名等方式在系統中運行。通常通過命令方式或者bash腳本方式執行。
(3)編譯替換SO:
通過替換so源碼中的一些常用函數,在裡面添加惡意的功能,然後替換掉原來的so文件,使得惡意函數被執行。
2.Joomla反序列化漏洞的查漏補缺 by Freebuf
通過user-agent注入序列化對象代碼到SESSION內容中,利用SESSION內容會存入數據庫,通過使用utf-8的畸形字符截斷部分內容,使注入對像後的序列化字符串仍保證正確結構。
利用PHP默認SESSION序列化的php方式,通過傳入帶豎線的字符串,來使前面的序列化內容作為鍵值,保證發序列化過程不會在解析注入對象內容前停止,從而實現用戶自定義對象解析。
這個漏洞最有意義的地方,就是告訴了我們在PHP下使用默認的SESSION機制會存在對象注入的風險。如果你對於SESSION的序列化內容進行了存儲(文件或者數據庫),那麼請注意這些存儲對象的一些截斷特性,否則和SESSION序列化特性配合起來,威力不容小覷啊。
3.入侵明星帳戶竊取性愛視頻,巴哈馬男子面臨起訴 by Freebuf
Alonzo Knowles最終被被控誘騙上百名名人提供他們的郵箱賬號密碼以此盜取他們的個人信息,而使用的是簡單社會工程學、釣魚技巧,獲取資料包括還未上映的電影劇本和音樂,甚至還有一名受害人的性資料。
目前有消息稱犯罪嫌疑人是通過非法入侵明星的電子郵件帳戶並發送計算機惡意程序的方式,來竊取個人隱私信息。
Linux下惡意程序常見的感染方法:
(1)ELF文件感染:
首先病毒須以某種方式寄生於宿主,這就意味著病毒需要修改宿主插入自身代碼。當被感染宿主執行時,宿主源代碼與病毒體共同映射到程序進程空間,病毒搶先於宿主執行,之後將控制權交還宿主。
(2)編譯替換可執行程序:
通過暴力破解,其他軟件的漏洞(如網站漏洞上傳web shell,遠程代碼執行等漏洞)獲得一定的系統權限。然後收集系統內核信息,編譯對應版本的病毒,通過替換已有進程或者一些隨機進程名等方式在系統中運行。通常通過命令方式或者bash腳本方式執行。
(3)編譯替換SO:
通過替換so源碼中的一些常用函數,在裡面添加惡意的功能,然後替換掉原來的so文件,使得惡意函數被執行。
2.Joomla反序列化漏洞的查漏補缺 by Freebuf
通過user-agent注入序列化對象代碼到SESSION內容中,利用SESSION內容會存入數據庫,通過使用utf-8的畸形字符截斷部分內容,使注入對像後的序列化字符串仍保證正確結構。
利用PHP默認SESSION序列化的php方式,通過傳入帶豎線的字符串,來使前面的序列化內容作為鍵值,保證發序列化過程不會在解析注入對象內容前停止,從而實現用戶自定義對象解析。
這個漏洞最有意義的地方,就是告訴了我們在PHP下使用默認的SESSION機制會存在對象注入的風險。如果你對於SESSION的序列化內容進行了存儲(文件或者數據庫),那麼請注意這些存儲對象的一些截斷特性,否則和SESSION序列化特性配合起來,威力不容小覷啊。
3.入侵明星帳戶竊取性愛視頻,巴哈馬男子面臨起訴 by Freebuf
Alonzo Knowles最終被被控誘騙上百名名人提供他們的郵箱賬號密碼以此盜取他們的個人信息,而使用的是簡單社會工程學、釣魚技巧,獲取資料包括還未上映的電影劇本和音樂,甚至還有一名受害人的性資料。
目前有消息稱犯罪嫌疑人是通過非法入侵明星的電子郵件帳戶並發送計算機惡意程序的方式,來竊取個人隱私信息。
- 自我成長:
1.你未必要創業,但在接下來的時代,一定要有獨立運作的能力 by 張國洋
如果你還年輕,請想辦法讓自己具備某項完整的特長! 再來,讓自己具備能【獨立解決問題】的能力,慢慢的讓自己能獨當一面,能成為公司不可或缺的合作夥伴。
後續,你就能找更多需要你服務的人,讓對單一公司(客戶)的仰賴度降低。等到S象限能站穩了,就可以開始嘗試創業,讓自己變成一個經營者(踏入B象限)。
等B象限踏穩了,手上有一定的資產,必須要把資產(以及時間)投資在能產生被動收入的事業。
2.我只想要一個平穩的生活,這有甚麼不好? by 張國洋
所以年輕人該考量的,反而不是滿足於小小的平穩,而是該有一個遠大的夢想,大到能奮力去追尋的地步!因為很努力地追求夢想,最後都可能只落到平穩過活。
更何況你若夢想很小,努力很少,你的努力會完全無法對抗自然耗損,最後只是讓自己走在下降趨勢中。 所以找出自己的天命所在,認真的強化,那恐怕才是讓生活平穩的唯一方法。
3.上班族該知道的祕密 : 功勞與苦勞的價值表 by 張國洋
你得做些老闆期待看到的工作;甚至得自己上些課,學些技能,改變自己看事情的高度與角度,才會得到好機會。 (這也說明了,若只是等著公司來培訓的,往往到一定位置就爬不上了。 很少公司願意把你升到管理職,然後才來培訓你的。)
至於那些苦勞、委屈、還有加班這類表演表現,充其量只能讓你捧住飯碗不碎罷了。
但我也得說,我並不是宣揚說大家應該下班時間就走人。 也不是告訴你說加班就沒用,所以你不該加班。 你還是可以為了道義與責任感把細節都做足。
但只是你得知道,這些不是升遷的關鍵。 你若知道這些,且還加班投入時,最少之後你不會覺得受傷。 因為你是做該做的事情,而不是為了分數做某事。
如果你還年輕,請想辦法讓自己具備某項完整的特長! 再來,讓自己具備能【獨立解決問題】的能力,慢慢的讓自己能獨當一面,能成為公司不可或缺的合作夥伴。
後續,你就能找更多需要你服務的人,讓對單一公司(客戶)的仰賴度降低。等到S象限能站穩了,就可以開始嘗試創業,讓自己變成一個經營者(踏入B象限)。
等B象限踏穩了,手上有一定的資產,必須要把資產(以及時間)投資在能產生被動收入的事業。
2.我只想要一個平穩的生活,這有甚麼不好? by 張國洋
所以年輕人該考量的,反而不是滿足於小小的平穩,而是該有一個遠大的夢想,大到能奮力去追尋的地步!因為很努力地追求夢想,最後都可能只落到平穩過活。
更何況你若夢想很小,努力很少,你的努力會完全無法對抗自然耗損,最後只是讓自己走在下降趨勢中。 所以找出自己的天命所在,認真的強化,那恐怕才是讓生活平穩的唯一方法。
3.上班族該知道的祕密 : 功勞與苦勞的價值表 by 張國洋
你得做些老闆期待看到的工作;甚至得自己上些課,學些技能,改變自己看事情的高度與角度,才會得到好機會。 (這也說明了,若只是等著公司來培訓的,往往到一定位置就爬不上了。 很少公司願意把你升到管理職,然後才來培訓你的。)
至於那些苦勞、委屈、還有加班這類表演表現,充其量只能讓你捧住飯碗不碎罷了。
但我也得說,我並不是宣揚說大家應該下班時間就走人。 也不是告訴你說加班就沒用,所以你不該加班。 你還是可以為了道義與責任感把細節都做足。
但只是你得知道,這些不是升遷的關鍵。 你若知道這些,且還加班投入時,最少之後你不會覺得受傷。 因為你是做該做的事情,而不是為了分數做某事。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言