与乡村寡妇风流韵事

特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%
打开

360浏览器
打开
CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解
打开

从比肩赵本山到阶下囚,魏三渐变人生的秘密,藏在父母的“破屋”
打开
特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%
打开

360浏览器
打开
App内打开
乡村奇闻:一位漂亮小寡妇和留守男人的风流韵事
2017-06-12木易星座
只谈风月,不谈政事。微信号:pangzhujun007

乡村奇闻:一位漂亮小寡妇和留守男人的风流韵事

原创:庞祝君

我今年26岁,四年前,我在打工时认识了广西南宁一个小伙子,就嫁到了他那个偏僻的村子里,春节前结的婚,过年后我们夫妻俩就到广东打工了。

打工过程中,我有几个月身孕后便回到村里待产。就在这段时间,我丈夫一天早上出去上班,被一辆货车当场撞死。后来我把孩子生了下来,且顶住了许多人的劝说,毅然留在这个家里,养育儿子,赡养身体长年有病的家公家婆。

我老公只有一个姐姐,嫁到很远的山区里,回一趟娘家要半天工夫,于是,照顾老人的重任就落在我的身上。

我也曾出去打过工,但后来又回来了,回到村里耕田种地。其实种地也没什么,不就是犁田耙地辛苦点吗,这些在我的心目中是很简单的事情啊!

我没改嫁,说明我很传统,换到有的女人,可能早就改嫁了,我妈妈说,你一改嫁我就不认你这个女儿!

我不知道妈妈为什么有这种陈旧的观念,可她说,做女人还是传统一点的好,你再嫁,如果不幸福,还不如不嫁,所以我就留在这个家里,继续做我孩子的妈妈,做我公公婆婆的女儿。就凭这个,村里的人都说我是好人,都很尊重我,也没人敢欺负我。

可是,有一个男人闯入了我的生活。

我们这条村子,从村头到村尾有好几百米,我和他同住在村尾,而且住在村尾的都是几个留守妇女,只有他家是男人,因为他老婆外出打工了。由于我们村的地形都是梯田,不能机械化耕田收割,必须靠人力耕作,犁田耙地女人弄不动,所以我就请他做这些事情。

村尾的几个留守妇女,有时也吃醋,但凭我在村里的影响力,她们都不敢制造我的绯闻。

可是他不怕其他女人吃醋,一到农忙的时候,这些留守的妇女,她们都有外家的亲戚或请人出工钱来帮忙种地,可我就只能请他,他也很主动的帮助我。

我给过他工钱,但他不要,他说他就这个犁田耙地的命,收了钱,他一辈子也不安逸。他老婆出外打工后,面对两个孩子,他既当爹又当妈,做饭洗衣服带孩子,过去这都是女人的事,可这些现在全让他给摊上了。他最怕洗衣服,但又不得不洗。一次我过路看见他洗衣服,我就主动的说,以后我帮你洗吧!

后来,我就帮我洗衣服,还给他孩子检查作业,算是相互帮助吧!

有风言风语传到他老婆的耳朵里,说我跟他有见不得人的事,这话后来又传到他的耳朵里,我对他说,真不好意思,是我害了你,要不以后你不来帮我干活了,免得你老婆瞎猜疑,因为我是一个寡妇。

没有男人的女人最难熬的是晚上,这个时候我打电话约几个妇女一起打麻将、斗地主。有时晚上睡不着觉,躺在床上看电视,看到凌晨才睡着。

有人说我和他是奸夫淫妇,但我也不生气,因为我坐得很正。

我经常到他家里给孩子辅导作业,所以他老婆有时候打电话回来,我正在给孩子讲解孩子遇到的学习难题,每当这个时候,他老婆就不高兴,警告她老公不要对我太好,同时也叫我不要太过分。

我跟他来往几年,他为了我的农活,我为了他孩子的学习而相互帮助,始终没有暗示过什么,就连抛一个媚眼都没有,感觉像兄妹。

因为我是一个很正统的女人,很守妇道,他对我的笑几乎都是当着他孩子的面笑的,平时干农活,干完了他就回家了,没有很多的瓜葛,所以,没有像人们所说的那样寡妇门前是非多!

我们村在外打工有一对离婚了,说出来都不好意思,是女的不守妇道引起的,那女的不知道是做了人家的小三还是二奶什么的,男的拿出10万给她老公就拜拜了,像我这样的傻女不是说我们村,就是整个社会也真的不多。

而像他那样的留守男人也许更少,几年来助人为乐为了我一个小寡妇,而没有半点的非分之想。

故事讲完了,这就是我跟这个男人的“风流韵事”。(注明:插图来自网络,图文无关)

[温馨提示]:

评论:文章末尾右下角已开启了评论功能,请各位多提宝贵意见

打开360浏览器阅读全文

360浏览器,你关心的都在这里
0daybank

三个箭头是什么牌子

特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%
打开

360浏览器
打开
CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解
打开

从比肩赵本山到阶下囚,魏三渐变人生的秘密,藏在父母的“破屋”
打开
特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%
打开

360浏览器
打开
App内打开
三个向下箭头的品牌
2019-01-14问答 / 查看原文
三个向下箭头的品牌
创建于 2015-07-02

韩国三个箭头朝下的是什么牌子
1个回答
wjdddc

2015-07-03

日本 ,DESCENTE,(迪桑特)。

360浏览器,你关心的都在这里
0daybank

76岁属什么生肖

特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%
打开

360浏览器
打开
CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解
打开

从比肩赵本山到阶下囚,魏三渐变人生的秘密,藏在父母的“破屋”
打开
特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%
打开

360浏览器
打开
App内打开
年龄与生肖 2019年76岁属什么生肖

第一星座
快传号 | 2019-01-22
关注
  人的一生有太多的心酸,太多的无奈,无论你喜欢与否,你都得去接受,我们这一生从妥协开始,我们一出生就注定了我们的生肖,别无选择,到后面生活的妥协,这就是所谓的长大吧!那么本期的年龄与生肖为大家揭晓2019年76岁属什么生肖?

  2019年虚岁76岁属什么生肖:属羊、属猴  2019年周岁76岁属什么生肖:属马、属羊  2019年虚岁76岁的人生日:(即出生于公历1944年1月1日—1944年12月31日)  1944年1月1日—1944年1月24日:农历癸未年(羊年)  1944年1月25日—1944年12月31日:农历甲申年(猴年)

  2019年周岁76岁的人生日:(即出生于公历1943年1月1日—1943年12月31日)  1943年1月1日—1943年2月4日:农历壬午年(马年)  1943年2月5日—1943年12月31日:农历癸未年(羊年)  2019年虚岁76岁属什么生肖:属羊、属猴  2019年周岁76岁属什么生肖:属马、属羊

  2019年76岁属猴人有较强的进取心,性格倔强,才智高且具优秀的头脑,行动活泼好动且伶俐,但是2019年76岁属猴人有自以为是的毛病,所以常导致错误失败。  2019年76岁属羊人性格温顺,人际交往圆融随和,做事稳重谦卑,给人以靠得住的感觉,但是2019年76岁属羊人个性主张淹没在随大流的队伍里,难得彰显出来个人的特点。  2019年76岁属马人各个方面天赋极高,领悟力也强,头脑和四肢敏捷,有觉察力自由奔放,但是2019年76岁属马人有半途而废的习惯,盛气凌人,自制力欠佳。

打开360浏览器阅读全文

360浏览器,你关心的都在这里
0daybank

牧野遥

特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%

360浏览器

CBA外援凌晨3点大闹隔离酒店 被曝光后道歉:希望得到谅解

从比肩赵本山到阶下囚,魏三渐变人生的秘密,藏在父母的“破屋”

特朗普与普京通话谈合作:美三大股指均涨超3%,微软涨逾7%

360浏览器

App内打开

后宫动漫姐妹之牧野四姐妹

汽车改装看点快传号 | 2018-09-23

在后宫动漫中,姐妹属性的不在少数,今天我们来一起分享《牧野一家》中的四姐妹,至于具体是什么番作,如果有不知道的,可以去询问你熟悉的那些绅士们

牧野遥

姓名:牧野遥

排行:长女

三围:B96/ W58/ H88

声优:计名荚香

作为长女牧野遥一直都很照顾家里,属于明朗的元气少女,在牧野一家中,身材也是相当的出众,很会照顾妹妹们的感受,有点小毛病,会说着“可能会如何如何”这样的牵着妹妹们走。有着草率、而且无论发生什么都若无其事的性格。

牧野枣

姓名:牧野枣

排行:次女

三围:B73/ W51/ H68

声优:五十岚裕美

牧野枣在学校是剑道部的成员,虽然在姐妹中的个子是最矮的,但是她的气势非常的强劲,身材娇小但擅长运动,因为想穿华丽的衣服,而对自己只能穿小孩衣服的事十分苦恼。

牧野晶

姓名:牧野晶

排行:三女

三围:B92/ W56/ H91

声优:河原木志穗

可以说牧野晶是除了长女之外身材最好的人,性格比较的温顺,学习成绩优异,在学校并没有参加社团活动,再加上她比较的擅长做料理,性格也相对的沉稳,可以说是四姐妹中比较类似大和抚子这样的女性。

牧野冬

姓名:牧野冬

排行:四女

三围:B80/ W53/ H76

声优:梅原千寻

可以说牧野冬是四姐妹中忍耐力最好的一个人,无论愉快和不愉快的事情都会默默藏在心中,甚至在母亲去世的时候,心中留下了阴影。在表面上有着开朗懂事的好性格,不过对于二姐牧野枣让她感觉难以对付。

总得来说,牧野家的四姐妹虽然在性格上都各有不同,但是最终被攻略都是一致的,我一直认为,这家的四姐妹的过人之处就是,绅士们在观影的时候,可以感觉到不同性格和身材所表现出来的景象都是不同的。

打开360浏览器阅读全文

0daybank

暴力破解

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
微软:暴力破解面前,增强密码复杂性基本没用dawner专栏作者2014-12-02金币奖励+10共617725人围观 ,发现 35 个不明物体WEB安全数据安全
password.jpg

我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性,要求我们在设置密码时必须包含大小写字母、数字或特殊字符。

微软发布的最新研究报告称:增强密码复杂性基本是没有任何意义的。在本文中,我将简要分析一下微软的理论,并且与大家探讨下两个新的密码安全解决方案。

什么是暴力破解?

暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。更多信息请点我

增强密码复杂性基本没用

在密码强大到无视社工字典的攻击后,黑客采取的攻击称为暴力破解。这类暴力破解又分两种:在线破解和离线破解。

在线破解时,黑客通常使用与用户正常操作时相同的应用接口(比如登录时用到的web接口),因而可能被某些安全防控规则限制。然而由于离线破解的必要条件是黑客已经获取了密码文件,因而黑客们进行密码暴力猜解时通常是毫无忌惮、无所限制的。

微软安全研究人员发现,通过在线破解所尝试直至成功的次数最高约为100万次,而离线破解则达到了10亿次之多。

因此一个不太复杂的百万次猜解级别的密码“tincan24”与一个10亿次猜解级别的密码“7Qr&2M”相比,他们对于在线破解来说都是强密码,而通过离线破解则都不堪一击。同时后者还更加难以记住。

这就告诉我们,在离线暴力破解攻击面前,增强密码复杂性基本没用。

1211.jpg

当密码文件泄露后

为了对抗密码文件泄露后的离线破解攻击,我们需要做一些防护措施。

在微软的报告里提到一个通用解决方案:
将每个密码进行加密,然后将密钥储存在硬件安全模块(HSM)之中。因为HSM并没有提供密钥的外部访问接口,所以想要解密密文,只能通过应用程序走正常流程,那样即使拿到了密文也没有太大用处。
两个创新性防护方案
对于防密码文件泄露,国外安全研究者提出两个创新性的解决方案:

1、在Derbycon 2014大会上,Benjamin Donnelly和Tim Tomes提出了他们的“球链”(BAC)解决方案。BAC提供了一种方法,可以人工填充密码文件从而增加文件大小。当然,密码数据会安全地存放在文件里不会丢失,这样一来密码的猜解难度增大了许多。打个比方,黑客想要在线猜解一个2TB大小的密码文件,至少得花费1个月的时间。这么长的时间,再加上如此大的数据发送量,黑客的攻击有非常大的可能性会暴露。

2、以色列某新兴公司Dyadic,向公众展示了它的分布式安全模块(DSM)。DSM运用了最先进的分布式计算(MPC)加密技术,通过把每组密码进行分割后,分布式存储在多个服务器上。黑客想要破解密码,需要遍历多个服务器。由于各服务器有着不同的访问凭证,甚至操作系统也可能不一样,这会大大增加黑客的破解难度。

FreeBuf结语

把密码保护的重任压在用户身上是不科学的,作为安全研究人员,我们显然不能一味地要求用户增加密码复杂度。而诸如使用对称/非对称算法存储密码、加盐(salt)、加密机的使用似乎都是老生常谈,技术也并不新鲜。

有没有一些新的技术或方式可以提高密码及密码存储安全性?上文中国外的安全研究者抛出了两种方法,国内的同志们的呢?欢迎在本文评论中讨论和交流。

[参考来源securityweek,译/FreeBuf小编dawner,转载请注明来自FreeBuf.COM]

dawner
dawner
289 篇文章
等级: 9级
||
相关推荐

Github账号遭大规模暴力破解攻击

如何利用查表瓶颈,对抗口令Hash破解

全能暴力破解测试工具——Patator v0.5

业务逻辑漏洞探索之暴力破解

如何破解12位+字符的高强度密码?

关于口令强度等级的设计

如何找到SQL注入中的盐

在多GPU系统上使用hashcat进行密码破解

这些评论亮了

whitemonty(4级)这家伙很懒,就是不肯写个人说明!回复
吓得我把密码改回123456
)33(亮了

AH回复
爲什麽不說增加密碼複雜性對的作用?
)7(亮了

dawner(9级)黎明已经过去,黑暗就在眼前!回复
@ AH 可以脑补联想下辩论赛~一般都是单向论证的 :mrgreen:
)6(亮了

dawner(9级)黎明已经过去,黑暗就在眼前!回复
@ 我是来捣乱的 各种认证,找一个不可仿冒的认证感觉相对靠谱些。。
)6(亮了

鹿人饼回复
@ dawner 到了生物密码时代数据库安全就变得至关重要了,一旦被窃或者泄露由于其唯一性真是亡羊补牢都不知从何处下手……
)6(亮了
发表评论已有 35 条评论

AH 2014-12-02回复1楼
爲什麽不說增加密碼複雜性對的作用?

亮了(7)

dawner 专栏作者(9级)黎明已经过去,黑暗就在眼前! 2014-12-02回复
@ AH 可以脑补联想下辩论赛~一般都是单向论证的 :mrgreen:

亮了(6)

干掉你 (1级) 2014-12-02回复2楼
不切实际,大大增加成本。。

亮了(5)

dawner 专栏作者(9级)黎明已经过去,黑暗就在眼前! 2014-12-02回复
@ 干掉你 技术总是在不断进步的,总会有成本和价值平衡的那天 :mrgreen:

亮了(5)

我是来捣乱的 2014-12-02回复3楼
密码基本已死

考虑信任设备提供的安全凭证,以前是retina,fingerprint,palm,什么的,现在可以考虑未破解越狱的手机/移动设备作为凭证,被盗了什么的,另说

亮了(3)

dawner 专栏作者(9级)黎明已经过去,黑暗就在眼前! 2014-12-02回复
@ 我是来捣乱的 各种认证,找一个不可仿冒的认证感觉相对靠谱些。。

亮了(6)

liaoxj2046 (2级) 2014-12-03回复
@ dawner 比如像认证过的客户端证书,像网银登录用的U盾那类,就可以用来做安全登录。像这个网站就是用的安全证书登录https://login.wosign.com/login.html 跟密码比,安全系数高很多。

亮了(5)

huachishi (3级) 2014-12-02回复4楼
到底是要怎样。。。

亮了(5)

He1en的爸爸 2014-12-02回复5楼
生物密码是趋势

亮了(5)

dawner 专栏作者(9级)黎明已经过去,黑暗就在眼前! 2014-12-02回复
@ He1en的爸爸 同意此观点。。

亮了(4)

鹿人饼 2014-12-02回复
@ dawner 到了生物密码时代数据库安全就变得至关重要了,一旦被窃或者泄露由于其唯一性真是亡羊补牢都不知从何处下手……

亮了(6)

liaoxj2046 (2级) 2014-12-03回复
@ 鹿人饼 目前的生物密码应用,也就用在电影里了,要普及给大众,还有段时间呢~

亮了(2)

terry2656590 (1级) 2014-12-02回复6楼
要在安全性和操作性中间找到一个平衡点,增加用户操作性有时候适得其反。

亮了(3)

dawner 专栏作者(9级)黎明已经过去,黑暗就在眼前! 2014-12-02回复
@ terry2656590 对啊,一味地追求某个极端都不好

亮了(3)

kor1989 2014-12-02回复7楼
抛弃密码验证,采取其他方案。

亮了(3)

bilibili 2014-12-02回复8楼
弱弱的问一下:”用户名和密码就一定要加密密码吗? “

————->>”那你觉得呢?“

亮了(1)

dawner 专栏作者(9级)黎明已经过去,黑暗就在眼前! 2014-12-02回复
@ bilibili 感觉还是加下密放心些。。防止猪一样的队友。。

亮了(2)

小糊涂笙 2014-12-02回复9楼
合作打击恐怖分子是良策啊

亮了(2)

Lumia-ff 2014-12-02回复10楼
哈哈

亮了(0)

ncstc 2014-12-02回复11楼
好吧

亮了(0)

李铁军 2014-12-02回复12楼
双步验证成为必然之选,开通之后,密码简单或复杂都无所谓了。//: 酷

//:决定密码强度的因素包括复杂度和长度,而密码长度对于密码强度的影响更为明显,因此复杂密码不如长密码。之前我写了这篇文章来重新定义当前的密码安全标准( )

亮了(0)

王小馨馨xin 2014-12-02回复13楼
我要网购了拜拜

亮了(1)

iOSDever 2014-12-02回复14楼
对,我就说这个研究怪怪的,原来是离线//: 在线破解时密码复杂点还是有好处,当密码猜解多次错误时禁止此ip猜解效果更好。离线就没什么好说的了//:就国内的网络安全现状来说,增强密码的复杂程度还是有用的……当然,对明文保存密码的网站无效……

亮了(0)

Cyanlover 2014-12-02回复15楼
嗨,假呗儿没得我们也

亮了(0)

Arctic丶z 2014-12-02回复16楼
只要时间允许,当然任何强度的密码在暴力破解下都能够解开。但是并非所有人都有这样的设备与能力来进行破解。

亮了(0)

CAKETEASE 2014-12-03回复17楼
就是咯挖鼻屎

亮了(0)

Hundred_Lee 2014-12-03回复18楼
拜拜

去屎吧

亮了(1)

whitemonty (4级)这家伙很懒,就是不肯写个人说明! 2014-12-04回复19楼
吓得我把密码改回123456

亮了(33)

凌伟同学 (1级) 2014-12-04回复20楼
话说题主知道10亿次的10亿次猜解较好的CPU大概要跑多久么

亮了(0)

不愿透露性别的王先生 2014-12-05回复21楼
我想把密码改成:灪麣鸾鹂鲡驫饢籱癵爨,要怎么操作呢?急急急!!!在线等.

亮了(4)

玩水族网 2014-12-27回复22楼
我感觉 应该用中文当做密码~应该不错

亮了(0)

Little Monk (1级) 2015-01-09回复23楼
密码的次数限制怎么破,还有qq如何暴力破解

亮了(0)

holycake (1级) 2015-05-23回复24楼
斷章取義以達到嘩眾取寵的目的嗎……在硬件設備越來越發達的當下離線破解自然較容易,不過仍需要很大量的時間和硬件成本。

亮了(0)

HundredLee 2014-12-03回复25楼
拜拜

去屎吧

亮了(0)

ebiann 2014-12-03回复26楼
就是咯挖鼻屎

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登录?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
dawner
dawner专栏作者

黎明已经过去,黑暗就在眼前!

289
文章数
421
评论数
3
关注者

关注
最近文章
celery超时机制小结
2019.10.14

浅谈Git监控平台
2019.07.30

浅谈安全运维优化
2019.07.19

浏览更多
相关阅读
安全应急响应 | 如何从内核中直接获取隐藏的进程信息博彩巨头BetVictor泄露了自己内部系统的密码列表44CON议题《攻击 VxWorks:从石器时代到星际》探究ATBroker.exe:一个被病毒利用的微软进程利用Flash漏洞病毒分析报告
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践,从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群:590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright ? 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank

小米安全中心

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
登录
注册
小米安全中心认证厂商TA的专栏认证作者等级:4 级注册日期:2014年10月15日认证信息:小米公司安全技术品牌
2

关注者

6

金币

他的文章
他的点评
他的关注
关注他的
标题时间操作
IoT上SSL安全开发小结 专栏2020-03-31
浅谈智能门锁离合器安全设计 专栏2020-03-20
个人信息保护之TrustArc合规认证 专栏2020-03-09
GDPR实践 | 隐私成熟度模型PM2(一) 专栏2020-02-28
Exploit Spring Boot Actuator之Spring Cloud Env学习笔记 WEB安全2020-02-02
小米安全团队招新又双叒叕开始啦! 安全招聘2019-12-17
11.21 第三届小米IoT安全峰会 只等你来 活动2019-11-15
漏洞扫描技巧之Web漏洞扫描器研究 WEB安全2019-09-07
绕过Android域名白名单校验的方法 WEB安全2019-07-30
小米云服务专项测试,严重漏洞奖励可达40000元! 企业资讯2019-07-19
招人啦!小米安全中心欢迎你的加入! 安全招聘2019-06-19
招人啦!2019小米安全团队招聘季启动! 安全招聘2019-04-19
招人啦!2019小米安全团队招聘季启动! 企业资讯2019-04-17
小米安全2018秋招正式启动 安全招聘2018-09-10
小米安全诚邀优秀的你加入 安全招聘2018-06-19
小米安全中心招聘 安全招聘2017-01-19

本站由阿里云 提供计算与安全服务

官方QQ群:590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright ? 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank

社会工程学

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
防范社会工程学攻击的简单技巧与姿势明明知道2015-05-06共662972人围观 ,发现 14 个不明物体网络安全
社会工程学的方方面面

互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。通常人是这三者中最弱的一环,因此也成为了攻击进入任何组织电脑网络最简单的方式。

现代黑客已经将攻击目标由组织机构的系统转为人类的操作系统(Human Operating System)。对个体攻击需要一套不同的工具和从蛮力转变为策略的技巧,而社会工程学利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益等等都为黑客攻击提供了极大的方便。

FreeBuf百科:社会工程学

社会工程学,准确来说,不是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。说它不是科学,因为它不是总能重复和成功,而且在信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。

现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码,电话诈骗如以知名人士的名义去推销诈骗等,都运用到社会工程学的方法。近年来,更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。

且不论形式及内容,社会工程攻击的成功很大程度上取决于人类在尝试谨慎分析不同情况时出现的盲点。实际上,网络安全就是知道在任何给定情况下你可以将机密信息托付给谁。保持警惕性以及避免在任何情况下根据表面想象进行判断可以让你在防御社会攻击中更胜一筹。

有哪些常见的社会工程学攻击?

社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。这是一个保持不断完善并快速发展的艺术。但一些社会工程攻击误区仍然时有出现,如下所示。

伪造一封来自好友的电子邮件:这是一种常见的利用社会工程学策略从大堆的网络人群中攫取信息的方式。在这种情况下,攻击者只要黑进一个电子邮件帐户并发送含有间谍软件的电子邮件到联系人列表中的其他地址簿。值得强调的是,人们通常相信来自熟人的邮件附件或者是链接,这便让攻击者轻松得手。

在大多数情况下,攻击者利用受害者账户给你发送电子邮件,声称你的“朋友”因旅游时遭遇抢劫而身陷国外。他们需要一笔用来支付回程机票的钱,并承诺一旦回来便会马上归还。通常,电子邮件中含有如何汇钱给你“被困外国的朋友”的指南。

钓鱼攻击:这是个运用社会工程学策略获取受害者的机密信息的老把戏了。大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者,例如FBI。

通常网络骗子冒充成你所信任的服务提供商来发送邮件,要求你通过给定的链接尽快完成账户资料更新或者升级你的现有软件。大多数网络钓鱼要求你立刻去做一些事,否则将承担一些危险的后果。点击邮件中嵌入的链接将把你带去一个专为窃取你的登录凭证而设计的冒牌网站。

钓鱼大师们另一个常用的手段便是给你发邮件声称你中了彩票或可以获得某些促销商品,要求你提供银行信息以便接收彩金。在一些情况下,骗子冒充FBI表示已经找回你“被盗的钱”,因此需要你提供银行信息一边拿回这些钱。

诱饵计划:在此类型的社会工程学阴谋中,攻击者利用了人们对于例如最新电影或者热门MV的超高关注,从而对这些人进行信息挖掘。这在例如Bit torrent等P2P分享网络中很常见。

另一个流行方法便是以1.5折的低价贱卖热门商品。这样的策略很容易被用于假冒eBay这样的合法拍卖网站,用户也很容易上钩。邮件中提供的商品通常是不存在的,而攻击者可以利用你的eBay账户获得你的银行信息。

主动提供技术支持:在某些情况下,攻击者冒充来自于微软等公司的技术支持团队,回应你的一个解决技术问题的请求。尽管你从没寻求过这样的帮助,但你会因为自己正在微软产品并存在技术问题而尝试点击邮件中的链接享用这样的“免费服务”。

一旦你回复了这样的邮件,便与想要进一步了解你的计算机系统细节的攻击者建立了一个互动。在某些情况下攻击者会要求你登录到“他们公司系统”或者只是简单寻求访问你的系统的权限。有时他们发出一些伪造命令在你的系统中运行。而这些命令仅仅为了给攻击者访问你计算机系统的更大权限。

如何免受社会工程学攻击?

钓鱼攻击

当心来路不明的服务供应商等人的电子邮件、即时简讯以及电话。在提供任何个人信息之前验证其可靠性和权威性。

缓慢并认真地浏览电子邮件和短信中的细节。不要让攻击者消息中的急迫性阻碍了你的判断。

自学。信息是预防社会工程攻击的最有力的工具。研究如何鉴别和防御网络攻击者。

永远不要点击??来自未知发送者的电子邮件中的嵌入链接??。如果有必要就使用搜索引擎寻找目标网站或手动输入网站URL。

永远不要在未知发送者的电子邮件中下载附件。如果有必要,可以在保护视图中打开附件,这个在许多操作系统中是默认启用的。

拒绝来自陌生人的在线电脑技术帮助,无论他们声称自己是多么正当的。

使用强大的防火墙来保护你的电脑空间,及时更新杀毒软件同时提高垃圾邮件过滤器的门槛。

下载软件及操作系统补丁,预防零日漏洞。及时跟随软件供应商发布的补丁同时尽可能快地安装补丁版本。

关注网站的URL。有时网上的骗子对URL做了细微的改动,将流量诱导进了自己的诈骗网站。

不要幻想不劳而获。如果你从来没有买过彩票,那你永远都不会成为那个中大奖的幸运儿。如果你就没有丢过钱,那为什么还要接受来自FBI的退款呢?

不幸成了社会工程攻击的受害者,该怎么办?

由于社会工程攻击的温柔属性,大多数受害者都不知道他们已经被攻击了,而可能要耗费几个月的时候才能发现这个安全漏洞。一旦你怀疑自己是社会工程攻击的受害者时,你首先要做的就是重设一个密码。

为你的所有账户创建一个新的强密码,并且要确保你的新密码与你的家人无关,因为攻击者可能知道很多关于你和你的家人的信息。其次,联系你的银行,仔细检查你的财务报表。最后,可以考虑报告有关职能机构,以避免潜在发生的身份盗窃及冒名邮件诈骗。

总结

社会工程学攻击这个老掉牙的骗局随着时间的推移变得更好也更狡猾了。黑客将持续使用这一攻击方式,并年复一年地得到不俗的回报。防范社会工程学攻击就必须要知道在网上何时该相信何人。在你提供个人信息前请谨慎地分析每一个情况。更为重要的是,在网络上不要过于贪婪了。当一笔交易实在是太“划算”的时候,请三思而后行!

* 参考来源hackread,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

更多精彩# 社会工程学
明明知道
明明知道
131 篇文章
等级: 8级
||
相关推荐

电子邮件安全问题分析(一)

2019年最大的网络威胁:电子商务网络攻击的崛起

电子邮件安全问题分析(二)

网络攻击瞄准个人银行,谈谈5个典型攻击手段

社交媒体和骗局:赛门铁克发布2015网站安全威胁报告

BEC诈骗横行,企业员工如何防钓鱼?

当微信遇上社会工程学,明枪易躲暗箭难防

卡巴斯基2019年Q1垃圾邮件与钓鱼攻击统计分析

这些评论亮了

Mr_ettercap回复
对于刚刚成年的我来说,社会工程学基本无效。没有女朋友,没有存款,更不会有人找我借钱
)19(亮了
发表评论已有 14 条评论

Mr_ettercap 2015-05-06回复1楼
对于刚刚成年的我来说,社会工程学基本无效。没有女朋友,没有存款,更不会有人找我借钱

亮了(19)

TMS (1级) 2015-05-06回复2楼
专业社工师表示,很难预防。。。成功率依然还是比较高的

亮了(5)

M 2015-05-06回复
@ TMS 肿么才能称谓专业社工师呢

亮了(3)

jacker (6级)Ubuntu Arch Vim爱好者 2015-05-06回复3楼
对于不会操作电脑的不用担心社工的

亮了(3)

yege0201 (3级) 2015-05-06回复4楼
比如看到这篇文章的标题然后点了进来,其实就已经证明被社会工程学了(但并不属于攻击)~这就是利用了人们的好奇心,最常见的就是“标题党”

社会工程学不好防,但社会工程学攻击还是能够通过加强意识及时止损的~

亮了(5)

换个马甲去看你 2015-05-06回复5楼
朋友此言差矣,有可能最终目标不是你,但你绝对有可能是其中一环

亮了(2)

打到资本主义 2015-05-06回复6楼
楼主妖言惑众,小心我社你~国内各大黑阔拿手的就是”社工”

亮了(0)

夜尽天明 (6级)千秋邈矣独留我,百战归来再读书 2015-05-06回复7楼
河蟹表示不服

亮了(0)

夜尽天明 (6级)千秋邈矣独留我,百战归来再读书 2015-05-06回复8楼
~~~河蟹怎么变河蟹了

亮了(0)

父亲 (4级) 2015-05-06回复9楼
社工,防不了。 完。

亮了(1)

丶苏晨c 2015-05-07回复10楼
[挖鼻]

亮了(0)

ban1sh 2015-05-07回复11楼
这叫探测案例;-)

亮了(0)

闭关中的雾玥_vulpes殿下 2015-05-07回复12楼
现在都是失败案例吧

亮了(0)

hawkeye 2017-07-15回复13楼
@ Mr_ettercap ,我是你远方亲戚,借我10000快,2天就还你

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登录?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
明明知道
明明知道

be kind to one another

131
文章数
53
评论数
0
关注者

关注
最近文章
如何证明你是“比特币之父”中本聪?
2016.04.14

供应链安全问题再现:一个药品管理系统怎么会有1400个漏洞?
2016.04.04

中国黑客在Pwn2Own 2016上是怎样一种存在?
2016.03.17

浏览更多
相关阅读
Google Hacking:教你找女神当微信遇上社会工程学,明枪易躲暗箭难防《通天神偷》之溜进某电力公司服务器Camelishing:成熟的社会工程学工具技术分享小心图片泄露你的信息
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践,从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群:590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright ? 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank

owasp

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
OWASP 2019首届信息安全论坛北京站成功举办FB客服认证作者2019-01-21共54312人围观活动
2019年1月12日,OWASP中国北京区域安全论坛暨2019首届北京企业信息安全建设沙龙于北京民族园智选酒店成功举办。

会议回顾
本次沙龙设立了三个议题和一个大咖面对面公开讨论环节,通过大家的提问和交流,现在大部分企业单位的问题还是停留在怎么选好人、怎么选好工具、怎么设定好的流程,安全人在企业的价值和自我定位,工具怎么用好,怎么用在合适的场景,流程的落地问题,就以上问题一一给各位做了解答,无论是OWASP中国副主席王颉的企业安全建设还是漏洞盒子的SRC运营,还是来自安恒信息的比较热门的S-SDLC的最佳实践,给各位嘉宾提供了较好的参考。OWASP中国北京分会负责人张坤从主动和被动两个维度分析了企业信息安全的价值体现和整体推动效果,从合规驱动和事件驱动分析了信息安全人员和团体的价值体现和自我定位,针对嘉宾对安全组织架构的困惑,也借鉴国外成熟信息安全组织架构分析了国内安全的成长过程和发展方向。
image.png

本次北京论坛,参会人员近200人,座无虚席。本次沙龙以“企业信息安全建设”为主题,围绕企业信息安全建设、S-SDLC的实施、SRC的搭建和运营、数据安全、企业安全部门的价值和定位等热点话题展开激烈讨论和交流。

微信图片_20190118183051.png

来自各行各业的企业信息技术负责人、信息安全专家以及各种安全团队、安全研究机构的人员参与了本次沙龙。

参会企业、机构包括:

中央电视台、毕马威、朝阳网安、公安部一所、公安部十五所、瓜子二手车、国泰君安、国网电力、海尔、华夏银行、借贷宝、澳门金沙导航、拉勾网、联通、神州优车、神州租车、首钢、顺丰商业、途游、小米、阳光保险、宜人贷、宜信、亿联银行、光大银行、中国海油、中国科学院、中国网安、中铁等等。

image.pngimage.png

通过会议讨论和交流,可以看出,信息安全已经在各行各业中开始得到重视,企业信息安全建设已经普及并日趋完善。

主题分享
OWASP,以开源的方式支撑企业应用安全体系化建设
OWASP 中国副主席 王颉

针对国外应用安全行业有关“把安全左移”的发声和国内安全行业重视S-SDLC和DevSecOps的落地实践机遇,王颉博士从S-SDLC的角度分享了企业开展应用安全体系建设的思路与方法;并从人员意识培训、流程实践落地、工具应用三个维度,介绍了企业在软件安全开发相关环节中能直接从OWASP社区获得的成熟项目及每个项目的价值。

image.png

全生命周期开发安全的旧瓶与新酒

安恒信息安全研究员 杨廷锋

整个议题首先从乙方传统交付的全生命周期开发安全切入,总结了在服务过程中遇到的难闭环、难接受、投入大、数据化低的问题,以及所导致的方案难落地问题。之后通过对目前的软件开发领域的DevOps技术革命以及DevSecOps技术理念进行介绍分析,总结出优化全生命周期开发安全的交付方案的思路。思路基本上从工具化、自动化、数据化、流水线化、基线化五个角度,结合开发人员体验去优化整体方案。

image.png

企业SRC如何赢在起跑线
漏洞盒子SRC产品负责人 来勇

企业安全建设在经过了防火墙,渗透测试,红蓝对抗等等方案后,企业SRC凭着测试灵活,成本低,见效快的特点迅速被各行业的企业所接受。如何让企业创建的SRC能够以良性健康的形式开展,我们分享了SRC系统的基本组成部分,SRC运营的基本方式方法。通过简单易懂的方法论,让企业在安全建设的道路上起步更见稳健。

15476069831069.png

大咖面对面
大咖面对面环节,通过征集和投票选取了三个议题进行了激烈讨论和问答,分别是:

1.企业信息安全的定位和价值;

2.企业信息安全的运营;

3.数据安全。

OWASP中国副主席王颉、OWASP中国北京分会负责人张坤、墨迹天气信息安全总监王真、马拉西亚HITB全能黑客金福,四位大咖对以上议题进行了分析和讨论,并一一解答了十数位嘉宾的数十个问题,其中包括企业信息安全组织架构问题、信息安全人员的自我驱动、信息安全部门和人员的价值体现、信息安全运营难题、和公司内部的沟通和协调、数据安全的痛点、数据安全的分类分级做法等。

本次创新环节,改变了传统议题的讲师说和圆桌会议的讲师互相说的局面,把话筒交给听众,为到场嘉宾解答身边的问题。

image.png

image.png

本次活动召集人、OWASP中国北京区域负责人张坤表示,此次从结果来看凝聚了北京区域信息安全人员,推进产业升级中的企业信息安全建设转型升级。

OWASP中国有关负责人也表示,2019年OWASP中国会继续加大力度,推进各个区域的活动开展,为会员提供更多交流分享的平台。

时值新年,会议主办方owasp中国、安恒信息、漏洞盒子为到场嘉宾准备了大量礼品,包括一等奖一名、二等奖两名、三等奖三名、提问奖品十二名、抽奖十二名、与会人员奖品百份等共一百三十余份礼品。

image.png

image.png

资料分享
关于本次大会议题分享资料,遵循本次大会嘉宾意见,放出部分演讲PPT,详情请扫码查看。

微信图片_20190117142737.jpg

更多精彩# OWASP# 安全沙龙
FB客服
FB客服
447 篇文章
等级: 9级
||
相关推荐

OWASP中国·北京分会2019首届信息安全沙龙

热烈祝贺2019OWASP中国吉林区域安全沙龙成功举办

OWASP中国吉林区域安全沙龙即将召开

EISS-2018企业信息安全峰会 | 11月30日.上海

闭门议题前瞻 | 红蓝对抗,甲方的矛与盾

EISS-2019企业信息安全峰会丨3月29日·北京

EISS-2018企业信息安全峰会上海站11月30日成功举办

EISS-2018企业信息安全峰会将于北京举办

昵称
请输入昵称
必须您当前尚未登录。登录?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
FB客服
FB客服认证作者

FreeBuf官方客服

447
文章数
501
评论数
15
关注者

关注
最近文章
白帽公开课|CTF中Web各种题目的解题姿势
2020.03.27

斗象科技春招来了!安全行业Top创业公司&前景福利双赢的offer不香吗?
2020.03.27

白帽公开课|纯实战化攻防教学:玩转白帽子操作系统Blackarch
2020.03.25

浏览更多
文章目录

会议回顾
主题分享
OWASP,以开源的方式支撑企业应用安全体系化建设
企业SRC如何赢在起跑线
大咖面对面
资料分享
相关阅读
OWASP Benchmark的搭建和使用OWASP Juice Shop:专用于安全技能训练的OWASP靶场(含演示视频)OWASP Juice Shop题解(一)Hacking-Lab top 10系列教程热烈祝贺2019OWASP中国吉林区域安全沙龙成功举办
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

会议回顾
主题分享
OWASP,以开源的方式支撑企业应用安全体系化建设
企业SRC如何赢在起跑线
大咖面对面
资料分享
活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践,从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群:590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright ? 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank

网络攻击

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
“世界大战”尽在掌控:盘点全球网络攻击实时追踪系统凌晨几度i认证作者2015-01-21金币奖励+15共4910887人围观 ,发现 25 个不明物体其他头条
关注网络安全,关注FreeBuf的小伙伴们每天都在关注着世界上每时每刻都在发生的网络攻击事件。也许你很难想象全球范围内所有攻击活动进行时的壮观场景,也很难了解网络攻击和攻击背后的组织是怎样的……那么本文将带你一览无余。

FreeBuf科普:攻击数据从何而来?

这是一些很形象、生动、有趣的攻击可视化记录。所有在地图上展示的大数据都是来自真实的生活目标、“蜜罐”和安全公司部署的“诱饵系统”收集的数据,其中有攻击来源、攻击方式以及攻击频率。

此外,地图中显示破坏系统的“攻击方”组织通常是从别的某个地方发起的,也就是说你所看到的“攻击源”很可能只是攻击者的一个攻击“跳板”,并非真实发起地,真正幕后攻击者会用多重伪造技术,隐藏的很深。

FireEye公司“网络威胁地图”

直接上图,下面的“网络威胁地图”讲述的就是一个真实故事,是FireEye曾透露的某黑客组织对零售商和它们的信用卡系统发起的网络攻击!此时你脑海会想起什么呢?一定会想起洲际导弹导弹!没错,还记得1984年的《战争游戏》中出现的北美防空司令部的监视器画面吗?!地图上并没有太多的原始数据,但是看起来的确很有趣有木有!

10.png

FireEye的“网络威胁地图”

穿越:https://www.fireeye.com/cyber-map/threat-map.html

挪威公司的IPViking地图:Eye candy-addictive

下面一幅来自挪威公司的IPViking地图更有炫酷了,它包含每个相关攻击的丰富数据,比如攻击组织名称和网络地址,攻击目标所在城市、被攻击的服务器。还列举出最容易受攻击的国家,和最喜欢发起攻击的国家(细心的读者会发现,天朝与米国常常各登榜首,小编想这并不公平,或许另有目的…)

11.png

挪威的IPViking攻击地图:Eye candy-addictive

穿越:http://map.ipviking.com/

来自Arbor Networks由全球270个ISPs匿名分享流量的“数字攻击地图”

另一个有趣的,包含大量攻击信息的追踪系统当属Arbor Networks的“数字攻击地图”。地图中的数据来源于美联储,其中的网络攻击流量都是由全球270多个ISP客户统计并同意匿名分享的。这个服务提供商可真是提供了真正实用的服务啊,因为它可以帮你及时追查先前的网络攻击,最早可追溯到2013年的6月!

12.png

来自Arbor networks的由全球270个ISPs匿名分享流量的“数字攻击地图”

穿越:http://www.digitalattackmap.com/

最像视频游戏的卡巴斯基(Kaspersky)“网络实时地图”

卡巴斯基的“网络实时地图”还有更好玩的地方,与其他系统相比,它最像一个交互式视频游戏了。你所看到的千变万化的数据是由卡巴斯基实验室各种扫描服务器提供的,因此,这也具有了一定灵活性,你可以布局自定义扫描,过滤某些恶意威胁,如E-mail恶意软件,Web site攻击、漏洞扫描等等。

13.png

最像视频游戏的卡巴斯基(Kaspersky)的“网络实时地图”

穿越:https://cybermap.kaspersky.com/

Anubis Networks的Cyberfeed带你巡视全球恶意软件感染现状

它使用类似谷歌地球的表现形式,地图数据是来自已知的著名恶软件家族,它展示更多是恶意软件感染地图,而不像网络攻击地图,也不是十分互动的。在这一方面,它很像芬兰公司的f-secure,趋势科技的“全球僵尸网络威胁活动地图”和Team Cymru的“网络恶意活动地图”(下面都有介绍)。

05.png

Anubis Networks的Cyberfeed带你进行巡视全球的恶意软件感染现状

穿越:https://www.anubisnetworks.com/products/threat-intelligence/

Team Cymru的“网络恶意活动地图”

这张地图也有电影版本的,你可以下载下面的格式:

H.264/MPEG-4 (~2MB)
Windows Media (~7MB)
MPEG-2 (~2MB)
电影版本连同下面的图片每天都更新。

08.jpg

穿越:http://www.team-cymru.org/Monitoring/Malevolence/maps.html
电影版本:http://www.team-cymru.org/visualizations/compromised_map/recent.wmv

趋势科技“全球僵尸网络威胁活动地图”

09.png

穿越:http://apac.trendmicro.com/apac/security-intelligence/current-threat-activity/global-botnet-map/

蜜网项目(Honeynet Project)“蜜蜂地图(Honey Map)”

蜜网项目(Honeynet Project)的“蜜蜂地图”,它看起来不是超级"性感",但是它的实时威胁蜜罐系统的里含有相当数量的有用信息,其中就包含Virustotal对每一个威胁和攻击中恶意软件分析的链接。

06.png

蜜网项目(Honeynet Project)的“蜜蜂地图(Honey Map)”

穿越:http://map.honeynet.org/

OpenDNS实验室作品

此外再加一个OpenDNS实验伙伴们“绘制”的一个图文并茂的网络攻击追踪地图。

07.png

OpenDNS全球网络概览

穿越:http://labs.opendns.com/global-network/

Nexusguard Hubble更闪亮

13.jpg

闪亮动态地图From hubble.nexusguard.com

穿越:http://hubble.nexusguard.com/

[参考信息来源Here,由FreeBuf小编/凌晨几度i编辑,转载须注明来自FreeBuf黑客与极客专栏文章(FreeBuf.COM)]

凌晨几度i
凌晨几度i
39 篇文章
等级: 6级
||
相关推荐

你家路由器“有趣”的24小时:路由器真的安全吗?(含视频)

一周海外安全事件回顾(2014.03.10–2014.03.16)

针对爱尔兰DDoS攻击的取证分析

“红遍全球”的恶意软件Mirai,你所需要知道的那些事

VirusTotal Graph增加新特性,查看各文件的相关性将更加容易

海湾局势再度告急,伊朗炼油厂大火,疑似为网络攻击“复仇”反击

【RSA2017专题】盘点RSA 2017展台上的那些威胁情报产品

美国怀疑伊朗发起了一连串网络攻击

这些评论亮了

H2nn4p回复
做得不错,可以用来拍电影。
因为,
毕竟,
谁会在攻击的时候,
不用跳板,
呢?
)34(亮了

davie80(3级)回复
好牛逼的既视感
)17(亮了

Bill回复
@ 谭晓生 都是有数据的,后台读取或取的数据,传给前端,前端做交互。这里面大部分是具备实时监控能力的大公司,只是有可能数据不是最新的,但是不会是模拟数据,因为地图是都是读取的json地图包,模拟数据的话,落点会不确定,会有很多打到海上。
)10(亮了

freebuffzck(5级)回复
卡巴斯基的最帅!
)10(亮了

谭晓生回复
FireEye的亲测就是js动画,根本没有实时数据,只能用来意淫
其他的估计也差不多
这种东西只能用来装13
)8(亮了
发表评论已有 25 条评论

LJokerP (4级)来世愿做友人A 2015-01-21回复1楼
火钳刘明

强势占座

亮了(4)

davie80 (3级) 2015-01-21回复2楼
好牛逼的既视感

亮了(17)

sky 2015-01-21回复3楼
牛逼的视觉盛宴

亮了(4)

Fiend520 (7级) 2015-01-21回复4楼
网络不好,看着和打马赛克是的哈哈

亮了(3)

D之国度 (1级)快樂每從辛苦得,便宜多自噄虧来。 2015-01-21回复
@ Fiend520 挪威公司的IPViking地图比较流畅!!!

亮了(2)

freebuffzck (5级) 2015-01-21回复5楼
卡巴斯基的最帅!

亮了(10)

paidir (1级) 2015-01-21回复6楼
视觉效果很高端

亮了(3)

Rechange (6级)关注网络安全、智能硬件 2015-01-21回复7楼
好酷炫 ?

亮了(3)

花如雪 2015-01-21回复8楼
好像LINUX有这种动态的桌面插件和壁纸吧,求~~

亮了(2)

mtfeng (1级) 2015-01-21回复9楼
其实,我比较好奇的是,即使这些数据是一些组织或安全公司以蜜罐的技术来实现收集的,但是应该也是部分的吧?并不能代表真实互联网的实际攻击流量.

亮了(4)

路人丙 2015-01-21回复10楼
一直都以为IPViking只是动画 装13用的 汗

亮了(4)

huachishi (3级) 2015-01-21回复11楼
好久不见这位牛逼的作者了,一回归就这么酷炫 ?

亮了(5)

flowind 2015-01-21回复12楼
这视觉冲击有点炫….

亮了(3)

華 (1级) 2015-01-21回复13楼
炫。。。

亮了(2)

SHIELD-SKY (1级) 2015-01-21回复14楼
太酷了。。。

亮了(2)

谭晓生 2015-01-22回复15楼
FireEye的亲测就是js动画,根本没有实时数据,只能用来意淫

其他的估计也差不多

这种东西只能用来装13

亮了(8)

Bill 2016-02-18回复
@ 谭晓生 都是有数据的,后台读取或取的数据,传给前端,前端做交互。这里面大部分是具备实时监控能力的大公司,只是有可能数据不是最新的,但是不会是模拟数据,因为地图是都是读取的json地图包,模拟数据的话,落点会不确定,会有很多打到海上。

亮了(10)

秋天的毛栗子 2015-01-22回复16楼
situation awareness//: 转发微博

亮了(2)

囚于心56831 2015-01-22回复17楼
很牛

亮了(3)

Asiaidc.net 2015-01-23回复18楼
很牛的文字与视觉盛宴,非常全面,与大家分享了.

亮了(4)

王凯旗 2015-08-05回复19楼
我的天

亮了(1)

zoonctrl (6级)该怎么做好信息安全? 2015-11-12回复20楼
好好玩的样子

亮了(3)

H2nn4p 2015-12-11回复21楼
做得不错,可以用来拍电影。

因为,

毕竟,

谁会在攻击的时候,

不用跳板,

呢?

亮了(34)

零御 (1级) 2017-08-13回复22楼
完全没用,现在小学生都知道,开虚拟机,跳到太平洋了。谁特么不用跳板。

亮了(0)

attack 2017-08-22回复23楼
2017.08.22 attack on cyber

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登录?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
凌晨几度i
凌晨几度i认证作者

FB作者

39
文章数
185
评论数
1
关注者

关注
最近文章
汽车安全:汽车黑客手册(电子书下载)
2015.02.09

“世界大战”尽在掌控:盘点全球网络攻击实时追踪系统
2015.01.21

涨姿势:如何让你的Google账户更安全
2014.11.19

浏览更多
相关阅读
[细节剖析]X Windows中一个22年的漏洞安全难寻一隅之地,飞上天照样能黑你浅谈开源威胁情报工具和技术卡巴斯基:Duqu 2.0病毒使用的数字证书窃取自富士康2019年第四季度DDoS攻击报告
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践,从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群:590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright ? 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank

世界黑客大会

FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
全球十大必去的黑客大会fber2015-08-04金币奖励+8共717943人围观 ,发现 14 个不明物体头条资讯

9.png

DEF CON概述

99.png

由绰号为“Dark Tangent(黑暗切线)”的黑客Jeff Moss创办,是世界上最知名的“黑客大会”。 DEF CON每年在美国内华达州的拉斯维加斯举行,第一届DEF CON在1993年6月举办,因此它也是最古老的网络安全会议之一。

DEF CON名称源自军事上的“战备状态(Defense Condition)”的缩写,作为一个会议的名称,“Con”也可解读为“Conference(会议)”。此外,很多DEF CON小组的早期成员都是盗打电话破解者,他们喜欢的“DEF”也是电话键盘数字“3”上面印着的字母。

参加DEF CON的理由

吸引了世界上最好的网络安全研究人员和黑客参与,他们的兴趣在软件、计算机架构、硬件修改,以及任何可以被“破解或攻破”的东西。DEF CON的参会者大都非常友好且平易近人。

如果你是一个“黑客”,那么DEF CON不会让人失望。有大量的事情可以做。多个track的演讲聚集了优秀的演讲者,黑客相关的东西也有展示,例如,无线网络破解,撬锁,入侵无人机和夺旗竞赛。

DEF CON也非常的社交化。晚上有现场音乐表演,你可以交朋友,到处闲逛的同时学习安全知识,包括如何破解它们,这就是大会为你准备的。当然如果你喜欢在沙漠里玩射击,这也是去参会的一个理由。

最近的会议日期

日期:August 6 – 9, 2015

会议标题:DEF CON 23

地点:Paris/ Bally’s, Las Vegas, United States

日期:August 4 – 7, 2016

会议标题:DEF CON 24

日期:July 27 – 30, 2017

会议标题:DEF CON 25

ShmooCon概述

999.png

ShmooCon是一个非常流行的“清教徒”黑客大会。由SHMOO Group始创于1990年代后期,如果你有兴趣遇见网络安全领域的一些聪明人,这是一个“必须参加”的会议。你可能不知道,SHMOO Group背后的项目包括Linux Apache,PGP,OpenSSL和Snort!每年的门票销售都是秒杀,是因为很多的IT安全人员都想去。

参加ShmooCon的理由

它充满了惊人的黑客内容,通常有40场不同的讲座和演示关于各种IT安全话题,包括密码学、计算机安全如ShellCode,还有独特的schmoocon活动,如Shmooganography。

是什么让ShmooCon如此受欢迎?是演讲的质量,主办方花了很多精力在选择演讲者,演讲议题没有在其他会议讲过。

门票很便宜,只要150美元。 DEF CON是大约250美元。此外,主办方限制参会人数保证会议好管理,而不是铺天盖地的来一堆人。

最近的会议日期

日期:January 16 – 18, 2015

会议标题:ShmooCon

地点:Washington, DC, United States

ToorCon概述

1.png

ToorCon(”Root”倒过来写)是另一个美国西海岸的会议,在1999年圣地亚哥2600的用户群之后,这个黑客大会被命名。ToorCon做的事情有所不同,他们组织训练营甚至全世界巡回! ToorCon通过在非常棒的场地举办会议立即与其他会议区别开,比如2009年在华盛顿州东部废弃的导弹发射井举办ToorCamp,他们的WorldToor 2013是在南极洲的游轮上。Toorcamp是仿照欧洲黑客训练营为蓝本的。

参加ToorCon的理由

ToorCon的名誉是“深思熟虑的”聚集了最多400人一起参与动手讲座和演示,他们将演讲者及其个性融合的很好,比如Hacker Hotshots的Joe Grand和Hak5的Darren Kitchen。

ToorCon是一个开始你网络安全职业生涯的地方。我们建议你参与ToorCamp去结识安全社区里的其他人,你的简历如果有ToorCamp字样,如果你遇到合适的面试官,会让他产生你是“我们中的一个”的模糊感觉。

最近的会议日期

日期:October 21 – 25, 2015

会议标题:ToorCon

其中:San Diego, CA, United States

OWASP概述

11.png

开放Web应用安全项目(简写为OWASP)是一个为了提高软件的安全性,不以营利为目的的组织。有一个主要的OWASP APPSEC会议在美国旧金山,是推荐的。

参加OWASP的理由

如果你从事应用程序安全性(开发人员,程序员等)工作,参加OWASP会议是必须的。OWASP演讲和演示文稿最贴近Web应用安全内容。显然,编写安全的代码是应用程序防止数据被窃取,提高整体安全性很重要的一部分。你可以从OWASP会议中学习安全编码等重要的技能,这将最终帮助你与你的职业生涯进步。

最近的会议日期

日期:September 22 – 23, 2015

会议标题:OWASP AppSecUSA

地点:San Francisco, United States

RSA概述

111.png

不包含RSA的“全球十大必去黑客大会”是不完整的。RSA是“必须去”的包含大量安全厂商的会议,虽然有某些厌恶参加RSA的骨灰级网络文化元素,但毫无疑问,这是达成网络安全生意的地方。

RSA大会开始作为一个密码学的会议,但后来演变成一个更广泛的信息安全会议,分为厂商展览和演讲议题两大部分。

参加RSA的理由

提升你的网络安全职业!每一个主要的安全厂商,你能想到的会在那里,你如果有生意要做,或者寻找一份工作,这可能是你想参加的最好的网络安全会议。

如果你是网络安全的新人,在RSA这么大型的安全会议上,可以帮你找到自己的方向和定位。

最近的会议日期

日期:November 4 – 5, 2015

会议标题:RSA Conference Abu Dhabi

地点:Emirates Palace, Abu Dhabi, UAE

日期:February 29 – March 4, 2016

会议标题:RSA Conference USA

地点:Moscone Center, San Francisco, United States

THOTCON概述

1111.png

这个会议或许不是那么有名,但我们喜欢它足以把它列入我们的名单。这是一个在美国芝加哥的经典黑客(网络文化)会议,我们认为是很棒的。 THOTCON是一个非营利、有趣的、门票很便宜的非商业会议。

参加THOTCON的理由

门票非常实惠,每次都是飞快的销售一空。2016年的提示:学生价56.00美元,优惠期注册:106.00美元!

有很棒的演讲。如果你是一个安全的书呆子,你一定会喜欢他们演讲的质量和深度。如果你在芝加哥地区从事网络安全工作,这显然是一个“必须去”的会议。

最近的会议日期

日期:May 5 – 6, 2016

会议标题:THOTCON 0×7

地点:Chicago, United States

Black Hat概述

5.png

可以认为黑帽大会是DEF CON的商业版本,两个会议都是Jeff Moss所创立(黑帽大会已被出售)。黑帽大会具有全球的吸引力,其参会者比较“企业、公司化”,而大量的DEF CON参会者则更加“街头化”和“黑客化”。

黑帽大会有两个部分:黑帽培训,和黑帽简报(Black Hat Briefings,演讲)。网络安全培训是所有安全会议的重点,黑帽作为世界上最大的IT安全会议,培训更是被突出强调的。

参加Black Hat的理由

这是必须的。黑帽和DEF CON对于大多数网络安全的专业人士是一种“通行权(rights-of-passage)”,必须出席此会议是名望,信誉和全方位的满意度在提醒自己,你在最酷的行业工作。

如果你第一次听到什么事,那么你是在黑帽大会听到的。黑帽被誉为第一时间了解网络安全圈“突发新闻”的地方,特别是关于“严重问题”的安全漏洞。

最近的会议日期

日期:August 1 – 6, 2015

会议标题:Black Hat | USA

地点:Mandalay Bay, Las Vegas, United States

日期:November 10 – 13, 2015

会议标题:Black Hat | Europe

地点:Amsterdam, The Netherlands

TROOPERS概述

55.png

TROOPERS是德国的信息安全会议,它有一个良好的声誉作为欧洲有洞察力的黑客会议之一。主办方总能吸引一些世界上最优秀的头脑来演讲,他们看起来具有很棒的无忧无虑的精神。用他们自己的话说:“我们是Troopers(骑兵),不需要其它信条。这是一个团结的口号。如果你站起来应对日常的IT安全挑战,你就是骑兵!”。

TROOPERS在2007年就决定了方向,他们不会允许“平常的产品/供应商展示和销售”,相反,他们只是寻求更纯粹的网络安全技术议题。这太好了!

参加TROOPERS的理由

你可以接触到欧洲网络安全圈子的重量级人物。来自一些最大的和最坏的高科技公司有影响力的首席信息安全官,IT审计师,网络安全系统管理员,安全顾问等人都会出现。

海德堡(会议举办城市)是美丽的。在欧洲生活了很长的时间的我看来,海德堡在巴伐利亚地区是欧洲最令人惊叹的地方之一。

最近的会议日期

日期:March 14 – 18, 2016

会议标题:TROOPERS16

地点:Heidelberg, Germany

Nuit du Hack概述

555.png

我们喜欢这个会议是因为它有自己的优势,自从2003年在巴黎召开以来,被称为Hackerz Voice的黑客团体所影响,他们亦受到DEF CON的启发。

参加Nuit du Hack的理由

这是一个非常注重实践的会议,如果你是真正意义上的“黑客”,你会爱上它。Nuit du Hack是法国最古老的地下黑客会议之一,聚集了安全专业人员和任何级别的业余爱好者到一个地方,以测试他们的技能。有一堆的资源适合每一个人,他们甚至有小孩玩的环节,也有一个非常活跃的CTF比赛。

他们已经有了一个黑客职位公告板!我们爱这个。Nuit du Hack的兄弟们给参会者搞了一个安全工作的门户网站(https://yeswehack.com/),这是一个伟大的想法。

最近的会议日期

日期:June 20 – 21, 2015

会议标题:Nuit du Hack 2015

地点:Paris, France

B-Sides概述

5555.png

B-Sides不是某一个具体的会议,而是安全会议的全球运动。每个B-Sides会议基于社区驱动的理念,志愿者聚在一起讨论技术和安全问题。每年有数以百计的B-Sides会议发生在世界各地,我们强烈建议你参与进来。

参加B-Sides的理由

不像有些上面列出的会议可能会非常昂贵,他们通常是免费的!

他们是无处不在,如果你住在大城市,肯定能够找到一个B-Sides会议发生在您附近。

最近的会议日期(有数百!)

会议标题:Global B-Sides Events!

地点:全球!

原文评论中有人提到“不敢相信你居然忘记了“Chaos Communication Congress(CCC)”,作者表示感谢:“CCC绝对是最古老的黑客会议之一,将来会加进来。”

* 作者:辛巴达,参考来源concise-courses,sec-un,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

fber
37 篇文章
等级: 6级
||
相关推荐

【FreeBuf年货】2017年你不能错过的13场海外顶级信息安全峰会

DEF CON China 究竟值不值得一看?

13个有用的渗透测试资源博客

2018年美国RSA大会报名超详细攻略

FreeBuf独家专访HITCON创办人:来自台湾的骇客精神

安全技术人与政策制定者,如何才能跨过交流鸿沟?

DEF CON CHINA 1.0早鸟票3月11日开售,艺术作品征集启动

DEFCON China:不用办签证出国,在国内就能参加的全球知名黑客大Party是什么体验?

这些评论亮了

stonedeyy(1级)回复
全球十大必去的黑客大会,一个都去不了
)20(亮了
发表评论已有 14 条评论

stonedeyy (1级) 2015-08-04回复1楼
全球十大必去的黑客大会,一个都去不了

亮了(20)

专治不服 2015-08-04回复2楼
全是特么各种CON

亮了(4)

shentouceshi (4级)http://www.cnblogs.com/SEC-fsq... 2015-09-06回复
@ 专治不服 全是各种坑

亮了(1)

Rechange (6级)关注网络安全、智能硬件 2015-08-04回复3楼
? 其实也是一篇软文

亮了(3)

Fiend520 (7级) 2015-08-04回复4楼
没钱有个卵用呀哎

亮了(4)

科技大当家 2015-08-04回复5楼
找虐呀

亮了(0)

01iw 2015-08-04回复6楼
怎么办我想要罗莉con

亮了(0)

mialuz (1级) 2015-08-04回复7楼
高大上啊。。。。

亮了(0)

Soindigo (1级)Up to the moon 2015-08-04回复8楼
啧啧 然并卵

亮了(0)

blackeagle (3级)向FreeBuf致敬 2015-08-04回复9楼
我大360的ISC居然没进全球TOP 10,太桑心了。

亮了(5)

上铺的哥 2015-08-04回复10楼
现在就剩一个问题了……

亮了(0)

langyajiekou (6级) 2015-08-05回复
@ 上铺的哥 哥,不止一个问题。。。

亮了(1)

笑呵呵 (1级) 2015-08-05回复11楼
一个都没去过

亮了(1)

g0ttl (1级) 2017-05-15回复12楼
去打扫卫生啊

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登录?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我

fber

这家伙太懒,还未填写个人描述!

37
文章数
3
评论数
0
关注者

关注
最近文章
安全圈向上看:殿堂级黑客大咖降临i春秋,放出烧脑挑战等你揭秘
2016.03.15

[推广]网站排名一直上不去?赛门铁克帮您提高百度排名
2015.08.18

调查问卷:斯诺登应该被赦无罪吗?
2015.08.14

浏览更多
相关阅读
VxWorks Fuzzing 之道:VxWorks 工控实时操作系统漏洞挖掘调试与利用揭秘腾讯都认错了,我们还在忍受哪些诱导推广行为?谷歌和火狐浏览器将不再信任中国CNNIC数字证书白帽子兴趣消退:“泥泞中”的苹果漏洞赏金计划Liftoh木马钓鱼邮件正在进行时
推荐关注

官方公众号

聚焦企业安全

官方QQ群 FreeBuf官方微博
文章目录

活动预告
3月

纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月

合规、技术、实践,从隐私保护走向数据安全
已结束
3月

冠军选手帮你把CTF知识点各个击破
已结束
3月

CTF之web安全入门
已结束

本站由阿里云 提供计算与安全服务

官方QQ群:590717869

用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋

斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright ? 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank