-網絡安全 | 知乎問答精選

 



用什麼方式記密碼最好?

【金城七的回答(856票)】: 當年CSDN密碼洩漏,你們還沒有注意到程序員的逆天密碼能力嗎? 密碼:ppnn13%dkstFeb.1st, 解釋:娉娉裊裊十三余,豆蔻梢頭二月初 密碼:Tree_0f0=sprintf("2_Bird_ff0/a") 解釋:兩個黃鸝鳴翠柳 密碼:csbt34.ydhl12s 解釋:池上碧苔三四點,葉底黃鸝一兩聲 密碼:for_$n(@RenSheng)_$n+="die" 解釋:人生自古誰無死 密碼:while(1)Ape1Cry&&Ape2Cry 解釋:...



國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎?

【余天升的回答(49票)】: 看到上面幾位的回答,我真心覺得,當前信息安全保護的意識過於低下,連一些基本的保護措施都能夠被認為是「沒有必要」。同意@任冬 的觀點,都在偷懶,不重視安全,沒有什麼理由好開脫的。 如同@lumin 所說,信息安全的保護確實分成兩個部分,端的安全(可以具體到客戶端和服務器端)和鏈路的安全,也就是傳輸過程中的安全。 一般我們可以認為,端都是可信的。對於服務...



Web 攻擊在整個網絡攻擊體系中的地位和作用是怎樣的?

【餘弦的回答(35票)】: 重要鋪墊 這個地位和 Web 在整個網絡空間所處的地位有關,1995年《喬布斯:遺失的訪談》裡喬大爺提到:「未來,互聯網與 Web 是一個大趨勢。」注意:1995年那時有什麼呢?這句話無疑是具備極強預見性的。 如果,我們把網絡空間分為三大組成部分(雲->管->端)來看的話,現在的雲幾乎都是基於 Web 的成熟協議來對外提供服務的,比如 HTTP 協議,最流行的傳輸格式是 JSON,其次...



網絡攻防平台有哪些?

【周智的回答(38票)】: DVWA: Damn Vulerable Web Application DVWA - Damn Vulnerable Web Application 基於 php 和 mysql 的虛擬 Web 應用,「內置」常見的 Web 漏洞,如 SQL 注入、xss 之類,可以搭建在自己的電腦上,隨便黑不犯法。搭建環境也很簡單,下一個 XAMPP 包裝上就差不多能用了。 另外可以翻烏雲(WooYun.org | 自由平等開放的漏洞報告平台)和 sebug(http://sebug)上關於開源 Web 應用的歷...



新浪微博的 GSID 洩露是什麼樣一個漏洞?怎麼被人發現的?

【飛黎的回答(25票)】: 這個漏洞的發現源於我在使用網頁版本的新浪微博。 在使用過程中,看到跳轉的鏈接中,包含了我自己的gsid。 然後我好奇的google了下「新浪 gsid」, 然後接著搜索「site:http://weibo.com gsid」就搜到了@蔣濤CSDN 的gsid。 目前到底是什麼洩露了gsid? google一下,你就知道,答案是:新浪微盤!!! 稍微解釋下gsid: 新浪微博,有一個手機gsid的漏洞,就是可以從谷歌搜到用戶的gsi...



如何完全抹除自己在網絡上的痕跡?

包括照片、交友、日誌等個人信息? 這很難,但有辦法嗎? 突發冒出這個想法。 【李映輝的回答(10票)】: 藏木於林,同樣的關鍵字,各種註冊ID 發表蛋疼信息,在百度、google 你的消息長達幾百頁後,估計就沒人會對你有興趣了 【hago的回答(6票)】: 成為九大長老之一,然後就可能了 【曹帥的回答(3票)】: 堅村政則有本書《完全失蹤手冊》 【interjc的回答(3票)】: 搜郵箱,找每一個註冊成功的郵件,順籐摸瓜...



我可以用新浪微博登錄第三方平台,是否意味著我的用戶名和密碼已經被新浪送給了第三方?

技術盲,求科普。 【cracKid的回答(8票)】: 可能樓主不是很瞭解OAuth認證方式,以下來自維基百科http://zh.wikipedia.org/wiki/OAuth: 使用OAuth進行認證和授權的過程如下所示: 用戶訪問客戶端的網站,想操作用戶存放在服務提供方的資源。 客戶端向服務提供方請求一個臨時令牌。 服務提供方驗證客戶端的身份後,授予一個臨時令牌。 客戶端獲得臨時令牌後,將用戶引導至服務提供方的授權頁面請求用戶授...



通過郵箱和手機號碼查詢註冊網站的服務是怎麼實現的?

【知乎用戶的回答(133票)】: 很可能像樓上說的,不是通過數據庫。 我決定去試一試,如果是數據庫的話,不會實時更新。所以我們註冊一個新號立刻去搜,應該是搜不到的。如果是利用不能重複註冊的原理,那一定是可以顯示出來的。 用新郵箱的號申請了一個當當。 確認一下 去網站試了試,果然就有了。 所以不是數據庫,就醬。 ———————————————— 你們可以試試 admin@163.com 【周靈鈞的回答(80票)】: 不能...



Gmail有多安全?

【丁劍臣的回答(9票)】: 倒不是Gmail有多安全,只是我們所處的環境比較「特殊」。 國內的郵箱,你可能一不小心就觸碰到什麼敏感詞之類,發不出郵件;或者你的郵件裡有什麼敏感的附件,在國內是不允許看或傳播的。那麼這就會出現問題。 我們知道很多東西會根據所謂的法律法規來阻止你獲得相關信息,你可能真的沒有興趣知道那些也沒去關注過,但是可能郵件中有一兩個詞不巧的碰到了敏感部分(有時是很莫名其...



企業 2013 年最高的 10 個信息安全威脅是哪些?

=======================================Wooyun Top Ten Risk 2013 http://vote.weibo.com/vid=2448953A1-引用不安全的第三方應用A2-互聯網洩密事件/撞庫攻擊A3-XSS跨站腳本攻擊/CSRFA4-系統錯誤/邏輯缺陷帶來的自動化枚舉A5-SQL注入漏洞A6-應用錯誤配置/默認配置A7-敏感信息洩露A9-未授權訪問/權限繞過A9-賬戶體系控制不嚴/越權操作A10-企業內部重要資料/文檔外洩 【王音的回答(16票)】: 以下是我認為如...