雪东博客

早茶闲话

cxd44@21cn.com (雪东) — Wed, 19 Nov 2008 23:20:50 +0800

胜者注视的是问题的答案，而败者只看到答案的问题；胜者往往是答案的组成部分，而败者往往是问题的组成部分；胜者有计划，败者有托词；胜者常说：虽有困难，还是办得到；败者常说：虽然办得到，但是太困难。

　　——“神探”李昌钰对胜者和败者的识别法。

　　夫妻离婚后通常会搬出去另觅新居，房屋需求因此增加，对建材和土地的需求也就跟着提高。

　　——美国一项调查发现，全球离婚率上升对地球环境有害。

　　做人像水，做事像山。做人尽量往低处走，让着别人，遇见利益和名声尽可能往下退，给自己留下做大的余地。做事一定要有自己的主见和目标，像山一样挺立在那儿，才能把事做好。

　　——新东方总裁俞敏洪

　　盲目投资，关门甩卖。

　　——深圳振兴路一商铺促销横幅

　　在中文语境中，“富豪”一词的内涵似乎就是“为富不仁”和“巧取豪夺”，表面尊崇，实为贬斥，而“商人”的称呼就总带有“无商不奸”的意味。

　　——著名学者许小年认为文化排斥是中国无法出现巴菲特的主要原因

　　一年365天，只有一天能遇见一件上乘的珍宝，其余的364天，都只有跟赝品打交道。

　　——台湾铜器鉴赏大师徐达诚坦承

　　树欲静而风不止。我，谨小慎微地做人做事，可外界无聊的声音却总是不断。我有些烦了。老虎不发威，你当我是HelloKitty！

　　——陈鲁豫在博客中回应她在灾区是作秀的批评

　　近30年来最大的变化是，中国人失去了闲暇。

　　——清华大学教授汪晖

　　在巨富中死去是一种耻辱，人民尊重的慈善家，比孤独僵死的守财奴更光荣、更伟大。

　　假如你有一杯水，你可以独自享用，假如你有一桶水，你可以存放在家里，假如你有一条河，应当学会与他人分享。

　　——被称为“中国首善”的陈光标近日表示，他的公司赚了一千万元必须拿出二至三成，帮助有需要的人

　　头20年我们吃饭睡觉享受，接下来的40年为养家糊口疲于奔命，而最后的10年呢，每天蹲在家门口，和过往的行人打招呼。

　　——有人这样形容人的一生

　　比尔•盖茨懂得一个朴素的道理，一个最善于挣钱的人，未必是最善于花钱的人，而这正是西方民间公益力量得以发育的基石。

　　——有媒体评论说

　　对手，成就我们的另一只手。

　　——央视奥运频道新设立的节目《对手》的推广词

　　赫胥黎曾经预言过人类文化灭亡的方式是没有人想读书，没有人想知道真理，文化成为了滑稽戏。在我们这个时代，他的预言真的有可能成为现实。

　　——调查显示，2007年中国仅有34%的人至少读了一本书。朱永新为此发出上述感慨。

　　我可以接受失败，但无法接受放弃。

　　——美国篮球明星迈克尔•乔丹

　　任用的是奴才，利用的是人才，不用的是庸才，喜欢的是“色才”，自身要独裁(才)。

　　——贪官的人才观

　　说时兴减肥，是想饿一饿女人；

　　说流行裸肩，是想冷一冷女人；

　　说眼皮变双，是想痛一痛女人；

　　说女人做情人，是想逗一逗女人。

　　——男人的招数

　　社会没地位，家庭没温暖，爱情没着落，友情没结果，活着没信心，要死没决心。

　　——六大闹心

继续阅读《早茶闲话》的全文内容...

找不到相关文章，请发表流言

值得回味的凡人语

cxd44@21cn.com (雪东) — Wed, 19 Nov 2008 23:16:52 +0800

1、一个人有生就有死，但只要你活着，就要以最好的方式活下去。

2、当我们失去的时候，才知道自己曾经拥有。

3、记住该记住的，忘记该忘记的。改变能改变的，接受不能改变的。

4、眼泪的存在，是为了证明悲伤不是一场幻觉。

5、妈妈说过没有人值得你为他哭，唯一值得你为他哭的那个人，永远都不会让你为他哭。

6、两人相爱时，渴求无限甜蜜的吻，但为何在争吵时，却要用接吻的嘴互相伤害呢?

7、幸福像掉到沙发下面的一粒纽扣--你专心找，怎么也找不到，等你淡忘了，它自己就滚出来了。

8、眼泪的温度有530℃，只是因为外面的世界太冷，流出来的时候才会降到53℃。

9、宠和爱是不同的两件事，宠可以没有交流，而爱则不能。

10、人生试题一共有四道题目：学业、事业、婚姻、家庭。平均分高才能及格，切莫花太多的时间和精力在任一题目上。

11、鱼说：你看不见我的眼中的泪，因为我在水里；水说：我能感受到你的泪，因为你在我心里。

12、人生在世，应该这样，在芬芳别人的同时美丽自己。

13、只需一分钟就可以碰到一个人，一小时喜欢上一个人，一天爱上一个人，但需要花尽一生的时间去忘掉一个人。

14、发光并非太阳的专利，你也可以发光。

15、人只要不失去方向，就不会失去自己！人生重要的不是所站的位置，而是所朝的方向。

16、每一件事都要用多方面的角度来看它。

17、理想的路总是为有信心的人预备着。

18、快乐要懂得分享，才能加倍的快乐。这也是三峡在线之所以总是在"盘点生活，分享经典"的理由。

19、抱最大的希望，为最大的努力，做最坏的打算。

20、生活中若没有朋友，就像生活中没有阳光一样。

21、宁为玉碎，不为瓦全。

22、要做的事情总找得出时间和机会，不要做的事情总找得出借口。

23、令人不能自拔的，除了牙齿还有爱情。

24、爱情就像一双袜子，越是瞧起来不顺眼的袜子，越有可能永远陪在你身边，越是喜欢的漂亮袜子经常会少一只。

25、我们缺少的不是机会，而是在机会面前将自己重新归零的勇气。

26、微小的幸福就在身边，容易满足就是天堂。

27、没有人因水的平淡而厌倦饮水，也没有人因生活的平淡而摒弃生活。

28、思恋一个人的滋味就像喝了一大杯冰水，然后用很长很长的时间流成热泪。

29、得不到你所爱的，就爱你所得的。

30、日出东海落西山，愁也一天，喜也一天;遇事不钻牛角尖，人也舒坦，心也舒坦。

继续阅读《值得回味的凡人语》的全文内容...

找不到相关文章，请发表流言

2007年中国汽车产量为世界第三

cxd44@21cn.com (雪东) — Tue, 18 Nov 2008 17:34:15 +0800

中国汽车产量为889.24万辆，同比增长22.0%

　　【《财经网》即时报道】世界汽车制造商协会(Organisation Internationale des Constructeurs d’Automobiles,OICA)日前公布的数据显示，2007年世界汽车总产量为7310.17万辆，同比增长5.4%，与上年同期相比，增幅提高1.4个百分点。
　　从汽车种类来看，乘用车产量继续保持小幅增长，商用车低迷走势有所缓解。2007年乘用车产量达5304.20万辆，同比增长6.1%；商用车产量为2005.97万辆，同比增长3.7%。
　　从地区来看，拉美、亚太和欧洲地区汽车产量增长较快，非洲和北美地区出现下降。其中，在阿根廷、巴西和哥伦比亚三国汽车产量的带动下，拉美地区增速达15.5%；亚太地区以8.5%的增长速度紧跟其后，汽车产量达3067.20万辆，占世界总产量的41.96%；受美国汽车减产的影响，北美地区汽车产量出现负增长，同比下降2.9%；非洲则下降5.8%。
　　从各国产量来看，排名前十名的国家汽车产量超过总量的75%，日本、美国和中国依旧位居前三。中国汽车产量为889.24万辆，同比增长22.0%。日本产量保持稳定，为1159.63万辆；美国汽车产量为1078.07万辆，降幅达4.5%。
　　世界汽车制造商协会1919年成立于巴黎，现有43个协会成员，囊括了所有的汽车生产国。■
　　（《财经》实习记者周玲玲）

继续阅读《2007年中国汽车产量为世界第三》的全文内容...

中国出美女的地方排名 (2008-11-4 18:53:19)

08AV-Test排名国产杀软两款入榜 (2008-5-27 19:38:30)

新中国成立前的汽车业（1901一1949年）

cxd44@21cn.com (雪东) — Mon, 17 Nov 2008 01:01:27 +0800

　　中国从1901年开始已有汽车进口。清光绪27年（1901年）冬，匈牙利人李恩时（Leinz）将 2辆汽车带入上海。同年腊月廿一日（1902年1月20日），经公共租界工部局例会上讨论，决定先发临时牌照，次年发正式牌照。1907年以后，中国少数沿海城市陆续出现汽车客运和汽车货运。1913年，全国经济委员会成立，督导公路建设，拨款地方修路，鼓励民办汽车运输，将公路列为政要之一。1917 年，当时中国第一条汽车运输线路张（家口）库（伦，今蒙古乌兰巴托）公路通车。到1927年全国公路总长已达29170千米，民用汽车保有量由1912年的294辆增长到18677辆。1934年成立公路委员会，统一路政，开展省际联运。到抗日战争爆发之前的这一时期，可以说是中国汽车运输业日趋繁荣的年代，每年平均进口汽车5500辆，全国公路总长延伸到117296千米，民用汽车保有量68917辆，出现了一批官办的和民营的出租汽车公司和公共汽车公司。

　　中国要建立民族汽车工业，制造汽车的愿望早在孙中山先生的《建国方略》中已提出。1931年张学良先生首先将造车设想付诸实施，在辽宁造出民生牌汽车

　　民生牌汽车

　　第1辆民生牌汽车诞生于20世纪30年代，东北国土即将沦陷之际，曾在上海3次参展，2次游行。表达了民众对国产汽车的钟爱，并对日本侵略者的义愤填膺。

（资料来源：《中国汽车工业发展史》，北京，1995年）

　　据史料记载，1926年6月，张作霖在奉天（今沈阳）成立迫击炮厂（1929年5月改称为辽宁迫击炮厂）。1928年，张学良在东北“易帜”，认为全国统一后要“化兵为工”，拟试制汽车。先在迫击炮厂内成立工业制造处，后改为附属民生工厂，张学良先后拨款80万元试制汽车。当时民生工厂有职员30人，工人177人，共207人。聘美国人迈尔斯（Myers）为总工程师，还雇佣了几名外国工程师。1929年3月民生工厂进口了一辆美国瑞雪号汽车进行装配、试验。后将该车拆卸、测绘，对部分零件、部件另行设计制造。历时2年，于1931年5月试制成功第1辆，定名为民生牌75型汽车。民生牌75型载货汽车可装载1.8吨货物，适于城镇使用，曾计划制造另一种为100型的货车，可装载2.7吨，适用于较差路面。

　　第一辆民生牌汽车诞生于东北即将沦陷之际，曾经历过国土沦丧的悲愤时期。“九·一八”事变后，正在制造的民生牌汽车全部落入敌寇之手。向美国订购并已运到牛庄（今营口市）的46台汽油机，只得转运天津。后日军将民生工厂改为同和自动车工业株式会社。此后，我国各地又试制过几种汽车。其中山西汽车修理厂试制的山西牌汽车，对社会公众影响颇大。

　　早在20年代，阎锡山在太原创办兵工厂，并已初具规模。1932年，阎锡山出任太原绥靖公署主任，以“生产救国，开发实业”为口号，将名为晋绥军修械所的兵工厂改称为壬申制造厂，制造农具等，其中双向引信厂改为山西汽车修理厂。厂址在太原小东门，工人百余名，厂长姜寿亭，主要负责修理绥靖公署的公车。

　　1932年3月，该厂技术员阎春和赴天津购置机器，用以仿造汽车。但由于技术、设备问题而未进行。4月，阎锡山令汽车修理厂制造汽车，由姜寿亭负责设计、试制。1932年12月仿美国飞德乐（Federal）牌汽车试制成装载量1.5吨的汽油载货汽车一辆，定名为山西牌。到1933年夏，试车行驶约 1.8万千米，名部件尚属完好。

　　1932年中国山西省自制载货汽车

　　由山西汽车修理厂仿美国Federal牌汽车制造的1.5吨汽油机载货汽车，左上角为该厂厂长姜寿亭。

（资料来源：《中国汽车工业发展史》，北京，1995年）

　　山西制成汽车的消息不胫而走，不仅成为山西省特大新闻，在国内也盛传一时。1933年9月号《道路月刊》以“晋省自制汽车成功”大标题作专题报道。 1934年初，中华全国道路建设协会函请实业部，通令全国兵工厂及各省建设厅派技士往山西考察，仿制山西自选的汽车。然而，山西省虽有创办汽车厂之举措，后终因资金短缺、工业基础薄弱，时局动荡，阎锡山本人亦无兴趣而未果。

　　此后，1936年曾筹建中国汽车制造公司，并于1937一1939年间用进口的散件组装约2000多辆柴油汽车。抗日战争期间，资源委员会也曾筹办并由中央机器厂生产过汽车。

　　在当时的中国，尽管存在资金和技术等方面的不足，但是，主要由于日本对华的侵略战争，使当时的中国从根本上丧失了建立汽车工业、生产汽车的条件。抗日战争胜利后，天津又曾尝试批量生产三轮汽车，也只是昙花一现。在新中国成立之前，中国人创建民族汽车工业的夙愿始终未能实现。中国民族汽车工业只有在新中国成立以后才变成了现实。

继续阅读《新中国成立前的汽车业（1901一1949年）》的全文内容...

找不到相关文章，请发表流言

黑客攻防之防范入侵攻击的主要方法技巧

cxd44@21cn.com (雪东) — Sun, 16 Nov 2008 13:23:21 +0800

　网络管理人员应认真分析各种可能的入侵和攻击形式，制定符合实际需要的网络安全策略，防止可能从网络和系统内部或外部发起的攻击行为，重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。

　防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。

　一、访问控制技术

　访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制，以及属性安全控制等多种手段。

　1.网络登录控制

　网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问，或禁止用户登录，或限制用户只能在指定的工作站上进行登录，或限制用户登录到指定的服务器上，或限制用户只能在指定的时间登录网络等。

　网络登录控制一般需要经过三个环节，一是验证用户身份，识别用户名；二是验证用户口令，确认用户身份；三是核查该用户账号的默认权限。在这三个环节中，只要其中一个环节出现异常，该用户就不能登录网络。其中，前两个环节是用户的身份认证过程，是较为重要的环节，用户应加强这个过程的安全保密性，特别是增强用户口令的保密性。用户可以使用一次性口令，或使用IC卡等安全方式来证明自己的身份。

　网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号，可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式，并对登录过程进行必要的审计。对于试图非法登录网络的用户，一经发现立即报警。

　2.网络使用权限控制

　当用户成功登录网络后，就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制，则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问，允许用户访问的资源就开放给用户，不允许用户访问的资源一律加以控制和保护。

　网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中，规定了用户可以访问的网络资源，以及能够对这些资源进行的操作。根据网络使用权限，可以将网络用户分为三大类：一是系统管理员用户，负责网络系统的配置和管理；二是审计用户，负责网络系统的安全控制和资源使用情况的审计；三是普通用户，这是由系统管理员创建的用户，其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限，或将其删除。

　3.目录级安全控制

　用户获得网络使用权限后，即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限，则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。

　一般情况下，对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限，进而保护目录和文件的安全，防止权限滥用。

　4.属性安全控制

　属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后，用户对这些资源的访问将会受到一定的限制。

　通常，属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作，可以限制用户查看目录或文件，可以将目录或文件隐藏、共享和设置成系统特性等。

　5.服务器安全控制

　网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

　二、防火墙技术

　防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵，为防止计算机犯罪，将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界，它能够严密监视进出边界的数据包信息，能够阻挡入侵者，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络的访问。

　三、入侵检测技术

　入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域，当这些区域受到攻击时，能够及时检测和立即响应。

　入侵检测有动态和静态之分，动态检测用于预防和审计，静态检测用于恢复和评估。

　四、安全扫描

　安全扫描是对计算机系统或其他网络设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看，它既是保证计算机系统和网络安全必不可少的技术方法，也是攻击者攻击系统的技术手段之一，系统管理员运用安全扫描技术可以排除隐患，防止攻击者入侵，而攻击者则利用安全扫描来寻找入侵系统和网络的机会。

　安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的，主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞，这种扫描称为网络安全扫描；而被动式安全扫描是基于主机的，主要通过检查系统中不合适的设置、脆弱性口令，以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患，这种扫描称为系统安全扫描。

　安全扫描所涉及的检测技术主要有以下四种：

　(1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。

　(2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及系统的内核，文件的属性，操作系统的补丁等问题。

　这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与平台相关，升级复杂。

　(3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息摘要算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上，不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。

　(4)基于网络的检测技术，它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。

　安全扫描技术正逐渐向模块化和专家系统两个方向发展。

　在模块化方面，整个安全扫描系统由若干个插件组成，每个插件封装一个或多个漏洞扫描方法，主扫描过程通过调用插件的方法来执行扫描任务。系统更新时，只需添加新的插件就可增加新的扫描功能。另外，由于插件的规范化和标准化，使得安全扫描系统具有较强的灵活性、扩展性和可维护性。

　在专家系统方面，安全扫描能够对扫描结果进行整理，形成报表，同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展，希望安全扫描系统能够对网络状况进行整体评估，并提出针对整个网络的安全解决方案。未来的系统，不仅仅是一个漏洞扫描工具，还应该是一个安全评估专家。

　五、安全审计

　安全审计是在网络中模拟社会活动的监察机构，对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估，还可以为制定合理的安全策略和加强安全管理提供决策依据，使网络系统能够及时调整对策。

　在网络安全整体解决方案日益流行的今天，安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估，是保障网络安全的重要手段。

　计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计，以及加强安全教育，增强安全责任意识。

　网络安全是动态的，对已经建立的系统，如果没有实时的、集中的可视化审计，就不能及时评估系统的安全性和发现系统中存在的安全隐患。

　目前，网络安全审计系统包含的主要功能和所涉及的共性问题如下：

　1.网络安全审计系统的主要功能

　(1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。

　(2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。

　(3)日志查询。能以多种方式查询网络中的日志信息，并以报表形式显示。

　(4)入侵检测。使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。

　(5)自动生成安全分析报告。根据日志数据库记录的日志信息，分析网络或系统的安全性，并向管理员提交安全性分析报告。

　(6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。

　(7)事件响应机制。当安全审计系统检测到安全事件时，能够及时响应和自动报警。

　(8)集中管理。安全审计系统可利用统一的管理平台，实现对日志代理、安全审计中心和日志数据库的集中管理。

　2.网络安全审计系统所涉及的共性问题

　(1)日志格式兼容问题。通常情况下，不同类型的设备或系统所产生的日志格式互不兼容，这为网络安全事件的集中分析带来了巨大难度。

　(2)日志数据的管理问题。日志数据量非常大，不断地增长，当超出限制后，不能简单地丢弃。需要一套完整的备份、恢复、处理机制。

　(3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击，如果单个分析每个目标主机上的日志信息，不仅工作量大，而且很难发现攻击。如何将多个目标主机上的日志信息关联起来，从中发现攻击行为是安全审计系统所面临的重要问题。

　(4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息，巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此，提供一种直观的分析报告及统计报表的自动生成机制是十分必要的，它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。

　六、安全管理

　1.信息安全管理的内涵

　根据我国计算机信息系统安全等级保护管理要求(GA/T391—2002)中的描述，信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括：

　(1)落实安全组织及安全管理人员，明确角色与职责，制定安全规划；

　(2)开发安全策略；

　(3)实施风险管理；

　(4)制定业务持续性计划和灾难恢复计划；

　(5)选择与实施安全措施；

　(6)保证配置、变更的正确与安全；

　(7)进行安全审计；

　(8)保证维护支持；

　(9)进行监控、检查，处理安全事件；

　(10)安全意识与安全教育；

　(11)人员安全管理。

　一般意义上讲，安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整的全部控制过程。而对整个系统进行风险分析和评估是明确信息安全目标要求的重要手段。

　2.信息安全管理的基本原则

　需要明确指出的一点是：不论多么先进的安全技术，都只是实现信息安全管理的手段而已。信息安全源于有效的管理，要使先进的安全技术发挥较好的效果，就必须建立良好的信息安全管理体系，这是一个根本问题。一直以来人们(特别是高层领导者)总是认为信息安全是一个技术上的问题，并将信息安全管理的责任限制在技术人员身上，事实上这种观点和做法是十分错误的。

　现在，信息已成为企业发展的重要资产，企业高层领导必须重视信息安全管理，必须参与信息安全管理工作，将信息安全管理视为现有管理措施的一个重要组成部分。

　在我国，加强对信息安全工作的领导，建立、健全信息安全管理责任制，通常以谁主管谁负责、谁运营谁负责和谁使用谁负责为基本要求，坚持的总原则是：主要领导人负责原则；规范定级原则；依法行政原则；以人为本原则；适度安全原则；全面防范、突出重点原则；系统、动态原则；以及控制社会影响原则。而信息安全管理的主要策略是：分权制衡、最小特权、选用成熟技术和普遍参与。

　3.信息安全管理的基本过程

　安全管理是一个不断发展、不断修正的动态过程，贯穿于信息系统生命周期，涉及信息系统管理层面、物理层面、网络层面、操作系统层面、应用系统层面和运行层面的安全风险管理。在这些层面上的安全管理是保证信息系统安全技术、安全工程运行正确、安全、有效的基础。总的安全目标是防止国家秘密和单位敏感信息的失密、泄密和窃密，防止数据的非授权修改、丢失和破坏，防止系统能力的丧失、降低，防止欺骗，保证信息及系统的可信度和资产的安全。

继续阅读《黑客攻防之防范入侵攻击的主要方法技巧》的全文内容...

消除主机风扇噪音的几种方法 (2008-10-28 22:30:24)

用GHOST恢复系统时出现A:\GHOSTERR.TXT的解决方法 (2008-10-19 12:44:48)

IE修复技巧两则 (2008-10-10 17:53:11)

黑客破解Email账号常用的三种方法 (2008-7-29 22:8:8)

vista系统比较“隐蔽”的删除方法 (2008-7-29 21:58:53)

修改TTL值巧妙骗过黑客

cxd44@21cn.com (雪东) — Sun, 16 Nov 2008 13:22:14 +0800

　黑客们攻击入侵别人计算机的时候，通常做的第一件事就是判断主机是否在线。判断的方法很简单，就是借助Ping命令来完成。其方法是在命令提示符下输入“PingIP地址”，如果返回类似这样的信息“Replyfrom221.231.114.219：bytes=32time=23msTTL=128”，那么则说明主机在开，即对方的电脑正在使用之中。

　由于不同的操作系统的漏洞、入侵方法是不同的，因此黑客们还会根据ping命令返回的信息判断对方使用的操作系统。判断的依据就是TTL的值。一般来说Windows2000/XP的计算机TTL值为120、128，而Unix/Linux的系统返回的TTL值则为64或255。我们都知道，Unix/Linux的漏洞以及入侵方法要比Windows难的多，因此我们可以修改系统返回TTL值，从而达到欺骗黑客的目的。

　运行“regedit”后打开注册表编辑器，选择“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters”，新建一个“DefaultTTL”Dword键值，并将该值修改为十进制的“255”或十六进制的“FF”，重新启动我的电脑使设置生效。

　现在只要对方再ping计算机时，就会返回错误的TTL值，让对方误以为使用的操作系统为Unix/Linux，从而起到南辕北辙的效果，让其在错误的道路上越走越远。

继续阅读《修改TTL值巧妙骗过黑客》的全文内容...

找不到相关文章，请发表流言

迫在眉睫：保护FTP服务器口令安全

cxd44@21cn.com (雪东) — Sun, 16 Nov 2008 13:21:24 +0800

　由于FTP服务器常被用来做文件上传与下载的工具，所以，其安全的重要性就不同一般。因为若其被不法攻击者攻破的话，不但FTP服务器上的文件可能被破坏或者窃取；更重要的是，若它们在这些文件上下病毒、木马，则会给全部的FTP用户带来潜在的威胁。所以，保护FTP服务器的安全已经迫在眉睫。

　而要保护FTP服务器，就要从保护其口令的安全做起。笔者在这里就谈谈常见的FTP服务器具有的一些口令安全策略，帮助大家一起来提高FTP服务器的安全性。

　策略一：口令的期限

　有时候，FTP服务器不仅会给员工用，而且还会临时给一个账号给外部的合作伙伴使用。如笔者在FTP服务器管理的时候，销售部门经常会因为一些文件比较大，无法通过电子邮件发送，需要通过FTP服务器把文件传递给客户。所以，在客户或者供应商需要一些大文件的时候，笔者就得给他们一个FTP服务器的临时帐号与密码。

　笔者现在的做法就是，在FTP服务器设置一个账号，但是，其口令则是当天有效，第二天就自动失效。如此的话，当客户或者供应商需要使用FTP服务器的话，我只需要更改一些密码即可。而不需要每次使用的时候，去创建一个用户；用完后再把它删除。同时，也可以避免因为没有及时注销临时帐户而给服务器带来安全上的隐患，因为口令会自动失效。

　大多数FTP服务器，如微软操作系统自带的FTP服务器软件，都具有口令期限管理的功能。一般来说，对于临时的帐户，就可以跟帐户与口令的期限管理一起，来提高临时帐户的安全性。而对于内部用户来说，也可以通过期限管理，来督促员工提高密码更改的频率。

　策略二：口令必须符合复杂性规则

　现在由不少银行，为了用户帐户的安全，进行了一些密码的复杂性认证。如诸如888888等形式的密码，已经不在被接受。从密码学上来说，这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具，如密码电子字典等等，非常轻松的进行破解。

　故为了提高口令本身的安全性，最简单的就是提高密码的复杂程度。在FTP服务器中，可以通过口令复杂性规则，强制用户采用一些安全级别比较高的口令。具体的来说，可以进行如下的复杂性规则设定。

　1、不能以纯数字或者纯字符作为密码

　若黑客想破解一个FTP服务器的帐号，其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码，一个是纯数字组成的，另外一个是数字与字符的结合。如分别为82372182与32dwl98s。这两个密码看起来差不多，可是对与密码破解工具来说，就相差很大。前面这个纯数字的密码，通过一些先进的密码破解工具，可能只需要24个小时就可以破解；可是，对于后面这个字母与数字结合的密码，则其破解就需要2400个小时，甚至更多。其破解难度比原先那个起码增加了100倍。

　可见，字符与数字结合的口令，其安全程度是相当高的。为此，我们可以在FTP服务器上进行设置，让其不接受纯数字或者纯字符的口令设置。

　2、口令不能与用户名相同

　其实，我们都知道，很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同，则是FTP服务器最不安全的因素之一。

　很多用户，包括网络管理员，为了容易记忆与管理，他们喜欢把密码跟用户名设置为一样。这虽然方便了使用，但是，很明显这是一个非常不安全的操作。根据密码攻击字典的设计思路，其首先会检查FTP服务器其帐户的密码是否为空；若不为空，则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话，则其再尝试其他可能的密码构成。

　所以，在黑客眼中，若口令跟用户名相同，则相当于没有设置口令。为此，在FTP服务器的口令安全策略中，也要把禁止口令与密码一致这个原则强制的进行实现。

　3、密码长度的要求

　虽然说口令的安全跟密码的长度不成正比，但是，一般来说，口令长总比短好。如对于随机密码来说，破解7位的口令要比破解5位的口令难度增加几十倍，虽然说，其口令长度只是增加了两位。所以，笔者在FTP服务器的口令策略中，强制用户的口令必须达到六位。若用户设置的口令低于六位的话，则服务器会拒绝用户密码更改的申请。

　策略三：口令历史纪录

　为了提高FTP服务器的安全，则为用户指定一个不能重复口令的时间间隔，这也是非常必要的。如笔者企业的FTP服务器中，有一个文件夹，是专门用来存放客户的订单信息，这方便相关人员在出差的时候，可以及时的看到这方面的内容。这个文件夹中的资料是属于高度机密的。若这些内容泄露出去的话，则企业可能会失去大量的订单，从而给企业带来致命的影响。

　所以，对于存放了这么敏感资料的FTP服务器，在安全性方面笔者是不敢小视。为此，笔者就启用了口令历史纪录功能。根据这个策略，用户必须每隔一个星期更改一次FTP服务器密码。同时，用户在60天之内，不能够重复使用这个密码。也就是说，启用了口令历史纪录功能之后，FTP服务器会纪录用户两个月内使用过的密码。若用户新设置的密码在两个月内用过的话，则服务器就会拒绝用户的密码更改申请。

　可见，口令历史纪录功能可以在一定程度上提高FTP服务器口令的安全性。

　策略四：账户锁定策略

　从理论上来说，再复杂的密码，也有被电子字典攻破的可能。为此，我们除了要采用以上这些策略外，还需要启用“帐户锁定策略”。这个策略可以有效的避免不法之徒的密码攻击。

　帐户锁定策略是指当一个用户超过了指定的失败登陆次数时，服务器就会自动的锁定这个帐号，并向管理员发出警告。通过这个策略，当不法人士试图尝试不同的口令登陆FTP服务器时，由于其最多只能够尝试三次（假如管理员设置失败的登陆次数最多为3），则这个帐号就会被锁定。这就会让他们的密码攻击无效。

　在采用帐户锁定策略时，需要注意几个方面的内容。

　一是采用手工解禁还是自动解禁。若采用手工解禁的话，则被锁住的账户必须有管理员手工解禁。而若设置为自动解禁的话，则当帐户锁住满一定期限的时候，服务器会自动帮这个帐号进行解锁。若对于服务器的安全性要求比较高的话，则笔者建议采用手工解禁的方式比较好。

　二是错误登陆的次数设置。若这个次数设置的太多，不能够起到保护的作用。若设置的太少的话，则用户可能因为疏忽密码输入错误，而触发帐户锁定，从而给服务器管理员凭空增加不少的工作量。为此，笔者的意见是，一般可以把这个次数设置为三到五次。这既可以保证安全性的需要，而且也给用户密码输入错误提供了一定的机会。

　三是遇到帐户锁定情况时，要能够自动向服务器管理员发出警报。因为作为FTP服务器来说，其不能够辨别这是恶意攻击事件还是一个偶然事件。这需要服务器管理员根据经验来进行判断。FTP服务器只能够提供暂时的保护作用。所以，当出现帐户锁定的情况时，服务器要能够向管理员发出警报，让其判断是否存在恶意攻击。若存在的话，则就需采取相应的措施来避免这种情况的再次发生。

　通过以上四种策略，基本上可以保障FTP服务器口令的安全。

继续阅读《迫在眉睫：保护FTP服务器口令安全》的全文内容...

找不到相关文章，请发表流言

教你如何用USB端口实现内外网隔离的方法

cxd44@21cn.com (雪东) — Sun, 16 Nov 2008 13:20:34 +0800

　网络蠕虫、网页挂马、恶意软件是目前针对互联网的新型犯罪的三种主要手段。黑客利用技术手段在用户无法发现的情况下，在个人电脑上植入特殊的病毒，并将其互相连通，集群管理，从中获得巨大的利益。

　由于每个被感染或者入侵的个体受到的损失可能非常小，因此其隐蔽性非常高，在没有特殊工具的帮助之下难以被发现。但是，由于其数量巨大，通过聚沙效应，往往可以积少成多，成为网络犯罪分子牟利的非常有效的工具。在个人电脑上网进行浏览网页时，利用敏感或者热门的关键字吸引用户进入，同时植入蠕虫、木马、恶意软件，已经成了上述恶意攻击的主要手段。

　基于USB2.0隔离方法的提出

　近年来，我国信息技术高速发展，电子政务的应用越来越广泛，在这些需要依靠信息系统处理日常事务的机构（如工商、税务、银行以及军队等）中，工作人员一方面要接入到互联网中，另一方面要连接到内网中，并在这两个网络中实现信息的交换。由于这些机构的内网中存在许多涉及国家、个人的机密信息，所以，必须在保证信息交换的前提下实现两个网络连接的安全。

　如何选择隔离手段将内网与外网进行隔离的同时进行必要的通信，这是目前应对新形势下网络犯罪最亟待解决的问题。本文提供了一种通过USB实现基于Http代理通信的同时实现内外网数据安全隔离的方案。

　安全隔离和信息交换系统的架构由两个拥有操作系统（可以是异构操作系统）的独立主机系统（内网机和外网机）和一个连接硬件组成，连接硬件通常是与以太网异构的介质组成，如某些隔离卡或交换矩阵等。这些连接硬件通过主机上的程序或硬件上独立的芯片来对两个网络中需要交换的信息数据进行封包、摆渡、解包，从而实现内外网之间数据的交换。

　本文提到的这种新的解决方案也是基于这种架构，不过其连接硬件采取了专用的USB2.0的方式。内外网主机使用专用的程序把需要交换的数据信息通过USB2.0端口进行传输，从而达到数据交换的目的。用这种技术可以抛弃较为脆弱的基于TCP/IP协议的内外网安全隔离机制，从真正意义上达到内外网连接时的安全隔离。USB2.0的理论传输速度可以达到480Mbps，这样的速度可以满足目前几乎所有用户的需求。并且USB支持双通道进出同步传输，这样就很容易解决传输过程中的双向问题。最后，这种USB2.0隔离机制和开发相应程序的成本很低廉，从而在很大程度上降低了安全隔离和信息交换的成本。所以这种新型的安全隔离和信息交换系统在当前的市场上具有较大的潜力。

　利用USBOTG技术实现

　本方案采用的基础是USBOTG技术。USB（UniversalSerialBus）即通用串行总线，是一种连接外部串行设备的技术标准。

　USB-OTG是USBOn-The-Go的缩写，实际上它是USBImplementersForum组织对于传统USB接口的一个追加协议，主要应用于各种不同的设备或移动设备间的连接和数据交换。传统的USB技术，虽然使得PC和周边设备的数据交换变得简单和方便，但它一旦离开了PC设备，就无法实现数据交换，因为没有一台设备能够充当PC一样的主机。有了USB-OTG，就可以完全脱离开PC。最新版本的USB-OTG便是直接建立在USB2.0基础之上的。它修改了USB接口的针脚定义和接口外形，使厂商可以根据需要将各种数码设备定义为“主机端”、“设备端”或具有双重身份的角色，这样网络及数码设备便可适时地变换身份，实现彼此之间的直接连接。

　本文提出的方案，可利用USB-OTG设备规范中的“多角色”特性，将与两台PC主机直连的USB通信设备同时作为host角色和slave角色，实现两台主机间直接通过USB端口相互通信。

　技术的原理及应用

　这种方案在实际应用中是及其方便的，因为传输的介质——USB连线在市场中已经很成熟，这样就只需要根据客户的需求来开发相应的程序就可以了。图1是简单的由两台PC组成的一个系统。

　当使用USB线连接PC1和PC2设备后，通过基于标准USB规范的程序就可以在其中任意一台设备上与另外一台设备进行通信，通过这种方式可以在这两台设备上任意进行OTG传输。

　这种方式完全抛弃了传统的TCP/IP协议，实现了安全隔离的作用。对于目前的网闸而言，连接内外网两端在逻辑上是同一台主机，虽然在隔离设备上采用了自己的私有协议，但是仍然是基于TCP/IP协议的。这样，在隔离策略设置不当，或者没有及时更新策略时，完全可能产生内网主机被入侵者逐步蚕食的情况。而USB通信协议是完全基于数据分块和方向制定的，可以确保外来数据能够在完全不到达内网主机的情况下，通过数据的定向同步映射到内网。这样，即使入侵者能够成功控制外网的代理机，在理论上，依靠目前的TCP/IP是无法构造能够同时兼容两层完全不同的传输介质和传输协议的数据通信，因此无法将恶意软件通过USB传送到内网的主机中。

　这种方法的基本原理是：利用Http协议“落地”的方式，转换为对单个网页内容的请求，然后通过USB协议对处于外网的代理机发出请求，下载完成后，“落地”为内网文件，提供给内网用户，其实现还是采用了Http请求重定向技术。

　由于USB同步协议为私有协议而不是公开的协议，而且传输介质为USB通信端口，入侵者在没有专用的硬件设备的前提下绝对无法对传输协议进行分析，因此即使能够控制客户端，也无法建立正常的传输将数据传入代理主机中。

　以上的工作流程可以建立一个较为安全的内外网交互体系，既可满足内网与外部的数据沟通，同时又大大减少了内网数据因为TCP/IP协议的弱点而使数据外泄的可能性。由于USB接口的带宽一般较大，可以同时支持多路数据同时传输，因此其应用上较为灵活和简便。

继续阅读《教你如何用USB端口实现内外网隔离的方法》的全文内容...

找不到相关文章，请发表流言

14招安全设置防止黑客攻击入侵

cxd44@21cn.com (雪东) — Sun, 16 Nov 2008 13:19:42 +0800

　1、禁止IPC空连接

　Cracker可以利用netuse命令建立空连接，进而入侵，还有netview，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把这个值改成”1”即可。

　2、禁止At命令

　Cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用taskscheduler服务即可。

　3、关闭超级终端服务

　如果你开了的话，这个漏洞都烂了。

　4、关闭SSDPDiscoverService服务

　这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

　5、关闭RemoteRegistry服务

　看看就知道了，允许远程修改注册表？！

　6、禁用TCP/IP上的NetBIOS

　网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

　7、关闭DCOM服务

　这就是135端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。

　8、把共享文件的权限从“everyone”组改成“授权用户”

　“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

　9、取消其他不必要的服务

　请根据自己需要自行决定，下面给出HTTP/FTP服务器需要最少的服务作为参考：

　EventLog

　LicenseLoggingService

　WindowsNTLMSecuritySupportProvider

　RemoteProcedureCall(RPC)Service

　WindowsNTServerorWindowsNTWorkstation

　IISAdminService

　MSDTC

　WorldWideWe/publishingService

　ProtectedStorage

　10、更改TTL值

　Cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

　TTL=107(WINNT)；

　TTL=108(win2000)；

　TTL=127或128(win9x)；

　TTL=240或241(linux)；

　TTL=252(solaris)；

　TTL=240(Irix)；

　实际上你可以自己更改的：

　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip

　Parameters：DefaultTTLREG_DWORD0-0xff(0-255十进制，默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

　11、账户安全

　首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧！破完了才发现是个低级账户，看你崩溃不？

　12、取消显示最后登录用户

　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon：DontDisplayLastUserName把值改为1。

　13、删除默认共享

　有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：

　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer

　Parameters：AutoShareServer类型是REG_DWORD把值改为0即可。

　14、禁用LanManager身份验证

　WindowsNTServersServicePack4和后续的版本都支持三种不同的身份验证方法：LanManager(LM)身份验证；WindowsNT(也叫NTLM)身份验证；WindowsNTVersion2.0(也叫NTLM2)身份验证；

　默认的情况下，当一个客户尝试连接一台同时支持LM和NTLM身份验证方法的服务器时，LM身份验证会优先被使用。所以建议禁止LM身份验证方法。

　1.打开注册表编辑器；

　2.定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa；

　3.选择菜单“编辑”，“添加数值”；

　4.数值名称中输入：LMCompatibilityLevel，数值类型为：DWORD，单击确定；

　5.双击新建的数据，并根据具体情况设置以下值：

　0-发送LM和NTLM响应；

　1-发送LM和NTLM响应；

　2-仅发送NTLM响应；

　3-仅发送NTLMv2响应；(Windows2000有效)

　4-仅发送NTLMv2响应，拒绝LM；(Windows2000有效)

　5-仅发送NTLMv2响应，拒绝LM和NTLM；(Windows2000有效)

　6.关闭注册表编辑器；

　7.重新启动机器。

继续阅读《14招安全设置防止黑客攻击入侵》的全文内容...

WordPress博客系统遇“李鬼” 被植木马 (2008-11-11 0:35:45)

黑客破解Email账号常用的三种方法 (2008-7-29 22:8:8)

识别常见的Web应用安全漏洞

cxd44@21cn.com (雪东) — Sun, 16 Nov 2008 13:18:12 +0800

　在Internet大众化及Web技术飞速演变的今天，在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升，以及基子Web的攻击和破坏的增长，安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身上面，Web应用程序几乎被遗忘了。

　也许这是因为应用程序过去常常是在一台计算机上运行的独立程序，如果这台计算机安全的话，那么应用程序就是安全的。如今，情况大不一样了，Web应用程序在多种不同的机器上运行：客户端、Web服务器、数据库服务器和应用服务器。而且，因为他们一般可以让所有的人使用，所以这些应用程序成为了众多攻击活动的后台旁路。

　由于Web服务器提供了几种不同的方式将请求转发给应用服务器，并将修改过的或新的网页发回给最终用户，这使得非法闯入网络变得更加容易。

　而且，许多程序员不知道如何开发安全的应用程序。他们的经验也许是开发独立应用程序或IntranetWeb应用程序，这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。

　其次，许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接通过了周边防火墙安全措施，因为端口80或443（SSL，安全套接字协议层）必须开放，以便让应用程序正常运行。Web应用程序攻击包括对应用程序本身的DoS（拒绝服务）攻击、改变网页内容以及盗走企业的关键信息或用户信息等。

　总之，Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。迄今为止，该方面尚未受到重视，因为企业用户主要使用防火墙和入侵检测解决方案来保护其网络的安全，而防火墙和入侵检测解决方案发现不了Web攻击行动。

　常见的Web应用安全漏洞

　下面将列出一系列通常会出现的安全漏洞，并且简单解释一下这些漏洞是如何产生的。

　已知弱点和错误配置

　已知弱点包括Web应用使用的操作系统和第三方应用程序中的所有程序错误或者可以被利用的漏洞。这个问题也涉及到错误配置，包含有不安全的默认设置或管理员没有进行安全配置的应用程序。一个很好的例子就是你的Web服务器被配置成可以让任何用户从系统上的任何目录路径通过，这样可能会导致泄露存储在Web服务器上的一些敏感信息，如口令、源代码或客户信息等。

　隐藏字段

　在许多应用中，隐藏的HTML格式字段被用来保存系统口令或商品价格。尽管其名称如此，但这些字段并不是很隐蔽的，任何在网页上执行“查看源代码”的人都能看见。许多Web应用允许恶意的用户修改HTML源文件中的这些字段，为他们提供了以极小成本或无需成本购买商品的机会。这些攻击行动之所以成功，是因为大多数应用没有对返回网页进行验证；相反，它们认为输入数据和输出数据是一样的。

　后门和调试漏洞

　开发人员常常建立一些后门并依靠调试来排除应用程序的故障。在开发过程中这样做可以，但这些安全漏洞经常被留在一些放在Internet上的最终应用中。一些常见的后门使用户不用口令就可以登录或者访问允许直接进行应用配置的特殊URL。

　跨站点脚本编写

　一般来说，跨站点编写脚本是将代码插入由另一个源发送的网页之中的过程。利用跨站点编写脚本的一种方式是通过HTML格式，将信息帖到公告牌上就是跨站点脚本编写的一个很好范例。恶意的用户会在公告牌上帖上包含有恶意的JavaScript代码的信息。当用户查看这个公告牌时，服务器就会发送HTML与这个恶意的用户代码一起显示。客户端的浏览器会执行该代码，因为它认为这是来自Web服务器的有效代码。

　参数篡改

　参数篡改包括操纵URL字符串，以检索用户以其他方式得不到的信息。访问Web应用的后端数据库是通过常常包含在URL中的SQL调用来进行的。恶意的用户可以操纵SQL代码，以便将来有可能检索一份包含所有用户、口令、信用卡号的清单或者储存在数据库中的任何其他数据。

　更改cookie

　更改cookie指的是修改存储在cookie中的数据。网站常常将一些包括用户ID、口令、帐号等的cookie存储到用户系统上。通过改变这些值，恶意的用户就可以访问不属于他们的帐户。攻击者也可以窃取用户的cookie并访问用户的帐户，而不必输入ID和口令或进行其他验证。

　输入信息控制

　输入信息检查包括能够通过控制由CGI脚本处理的HTML格式中的输入信息来运行系统命令。例如，使用CGI脚本向另一个用户发送信息的形式可以被攻击者控制来将服务器的口令文件邮寄给恶意的用户或者删除系统上的所有文件。

　缓冲区溢出

　缓冲区溢出是恶意的用户向服务器发送大量数据以使系统瘫痪的典型攻击手段。该系统包括存储这些数据的预置缓冲区。如果所收到的数据量大于缓冲区，则部分数据就会溢出到堆栈中。如果这些数据是代码，系统随后就会执行溢出到堆栈上的任何代码。Web应用缓冲区溢出攻击的典型例子也涉及到HTML文件。如果HTML文件上的一个字段中的数据足够的大，它就能创造一个缓冲器溢出条件。

　直接访问浏览

　直接访问浏览指直接访问应该需要验证的网页。没有正确配置的Web应用程序可以让恶意的用户直接访问包括有敏感信息的URL或者使提供收费网页的公司丧失收入。

　Web应用安全两步走

　Web应用攻击能够给企业的财产、资源和声誉造成重大破坏。虽然Web应用增加了企业受攻击的危险，但有许多方法可以帮助减轻这一危险。首先，必须教育开发人员了解安全编码方法。仅此项步骤就会消除大部分Web应用的安全问题。其次，坚持跟上所有厂商的最新安全补丁程序。如果不对已知的缺陷进行修补，和特洛伊木马一样，攻击者就能很容易地利用你的Web应用程序穿过防火墙访问Web服务器、数据库服务器、应用服务器等等。将这两项步骤结合起来，就会大大减少Web应用受到攻击的风险。同时管理人员必须采取严格措施，以保证不让任何东西从这些漏洞中溜走。

继续阅读《识别常见的Web应用安全漏洞》的全文内容...

找不到相关文章，请发表流言

雪东博客

早茶闲话

值得回味的凡人语

2007年中国汽车产量为世界第三

相关文章:

新中国成立前的汽车业（1901一1949年）

黑客攻防之防范入侵攻击的主要方法技巧

相关文章:

修改TTL值巧妙骗过黑客

迫在眉睫：保护FTP服务器口令安全

教你如何用USB端口实现内外网隔离的方法

14招安全设置防止黑客攻击入侵

相关文章:

识别常见的Web应用安全漏洞

雪东博客

早茶闲话

值得回味的凡人语

2007年中国汽车产量为世界第三

相关文章:

新中国成立前的汽车业（1901一1949年）

黑客攻防之防范入侵攻击的主要方法技巧

相关文章:

修改TTL值 巧妙骗过黑客

迫在眉睫：保护FTP服务器口令安全

教你如何用USB端口实现内外网隔离的方法

14招安全设置防止黑客攻击入侵

相关文章:

识别常见的Web应用安全漏洞

修改TTL值巧妙骗过黑客