-網絡安全 | 知乎問答精選

 

NEW

Chrome 這幾天為何屢屢淪陷?

http://www.cnbeta.com/articles/176499.htm 【弘一的回答(7票)】: 1,那些黑客也承認,Chrome是最安全的,為了挑戰自己,玩命黑Chrome已證明自己 2,Chrome不是孤立的,它也用到別的東西,比如用到了Flash。Flash不是Google開發的,利用Flash的漏洞不能算Chrome的錯(幾乎每個瀏覽器都用到Flash,就是說針對Flash的攻擊能攻擊每個瀏覽器)~ 【王成的回答(3票)】: 主要是因為Google對攻破Chrome...



網絡安全工程師在面試安全崗位時,哪些內容是加分項?

【大風的回答(11票)】: 去年我在微博上貼了一些在面試安全工作時會加分的內容,如下: 1. wooyun上提交的漏洞,並被廠商認可的。最好是不同類型的,能表達你的知識面。(CVE、微軟、Google的漏洞平台效果同) 2. 在黑客類雜誌上發表了文章的,比如《黑客X檔案》等,表明你有一定的研究精神。 3. 原創的技術類博客文章,比如漏洞原理分析等,說明你除了知其然,還知其所以然。 4. 自己挖掘的漏洞...



用什麼方式記密碼最好?

【金城七的回答(856票)】: 當年CSDN密碼洩漏,你們還沒有注意到程序員的逆天密碼能力嗎? 密碼:ppnn13%dkstFeb.1st, 解釋:娉娉裊裊十三余,豆蔻梢頭二月初 密碼:Tree_0f0=sprintf("2_Bird_ff0/a") 解釋:兩個黃鸝鳴翠柳 密碼:csbt34.ydhl12s 解釋:池上碧苔三四點,葉底黃鸝一兩聲 密碼:for_$n(@RenSheng)_$n+="die" 解釋:人生自古誰無死 密碼:while(1)Ape1Cry&&Ape2Cry 解釋:兩岸猿聲啼...



國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎?

【余天升的回答(49票)】: 看到上面幾位的回答,我真心覺得,當前信息安全保護的意識過於低下,連一些基本的保護措施都能夠被認為是「沒有必要」。同意@任冬 的觀點,都在偷懶,不重視安全,沒有什麼理由好開脫的。 如同@lumin 所說,信息安全的保護確實分成兩個部分,端的安全(可以具體到客戶端和服務器端)和鏈路的安全,也就是傳輸過程中的安全。 一般我們可以認為,端都是可信的。對於服務器端,你願意...



Web 攻擊在整個網絡攻擊體系中的地位和作用是怎樣的?

【餘弦的回答(35票)】: 重要鋪墊 這個地位和 Web 在整個網絡空間所處的地位有關,1995年《喬布斯:遺失的訪談》裡喬大爺提到:「未來,互聯網與 Web 是一個大趨勢。」注意:1995年那時有什麼呢?這句話無疑是具備極強預見性的。 如果,我們把網絡空間分為三大組成部分(雲->管->端)來看的話,現在的雲幾乎都是基於 Web 的成熟協議來對外提供服務的,比如 HTTP 協議,最流行的傳輸格式是 JSON,其次...



網絡攻防平台有哪些?

【周智的回答(38票)】: DVWA: Damn Vulerable Web Application DVWA - Damn Vulnerable Web Application 基於 php 和 mysql 的虛擬 Web 應用,「內置」常見的 Web 漏洞,如 SQL 注入、xss 之類,可以搭建在自己的電腦上,隨便黑不犯法。搭建環境也很簡單,下一個 XAMPP 包裝上就差不多能用了。 另外可以翻烏雲(WooYun.org | 自由平等開放的漏洞報告平台)和 sebug(http://sebug)上關於開源 Web 應用的歷...



新浪微博的 GSID 洩露是什麼樣一個漏洞?怎麼被人發現的?

【飛黎的回答(25票)】: 這個漏洞的發現源於我在使用網頁版本的新浪微博。 在使用過程中,看到跳轉的鏈接中,包含了我自己的gsid。 然後我好奇的google了下「新浪 gsid」, 然後接著搜索「site:http://weibo.com gsid」就搜到了@蔣濤CSDN 的gsid。 目前到底是什麼洩露了gsid? google一下,你就知道,答案是:新浪微盤!!! 稍微解釋下gsid: 新浪微博,有一個手機gsid的漏洞,就是可以從谷歌搜到用戶的gsi...



如何完全抹除自己在網絡上的痕跡?

包括照片、交友、日誌等個人信息? 這很難,但有辦法嗎? 突發冒出這個想法。 【李映輝的回答(10票)】: 藏木於林,同樣的關鍵字,各種註冊ID 發表蛋疼信息,在百度、google 你的消息長達幾百頁後,估計就沒人會對你有興趣了 【hago的回答(6票)】: 成為九大長老之一,然後就可能了 【曹帥的回答(3票)】: 堅村政則有本書《完全失蹤手冊》 【interjc的回答(3票)】: 搜郵箱,找每一個註冊成功的郵件,順籐摸瓜...



我可以用新浪微博登錄第三方平台,是否意味著我的用戶名和密碼已經被新浪送給了第三方?

技術盲,求科普。 【cracKid的回答(8票)】: 可能樓主不是很瞭解OAuth認證方式,以下來自維基百科http://zh.wikipedia.org/wiki/OAuth: 使用OAuth進行認證和授權的過程如下所示: 用戶訪問客戶端的網站,想操作用戶存放在服務提供方的資源。 客戶端向服務提供方請求一個臨時令牌。 服務提供方驗證客戶端的身份後,授予一個臨時令牌。 客戶端獲得臨時令牌後,將用戶引導至服務提供方的授權頁面請求用戶授...



通過郵箱和手機號碼查詢註冊網站的服務是怎麼實現的?

【知乎用戶的回答(133票)】: 很可能像樓上說的,不是通過數據庫。 我決定去試一試,如果是數據庫的話,不會實時更新。所以我們註冊一個新號立刻去搜,應該是搜不到的。如果是利用不能重複註冊的原理,那一定是可以顯示出來的。 用新郵箱的號申請了一個當當。 確認一下 去網站試了試,果然就有了。 所以不是數據庫,就醬。 ———————————————— 你們可以試試 admin@163.com 【周靈鈞的回答(80票)】: 不能...