日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
2010年揚名的十大WEB黑客技術(shù)

【 1月26日外電頭條】在由一個專家小組公開投票選出的2010年網(wǎng)絡(luò)黑客技術(shù)名單中,在線網(wǎng)上銀行交易威脅成為黑客技術(shù)中的年度頭號殺手。該技術(shù)被稱之為Padding Oracle加密技術(shù),黑客則是利用了微軟的網(wǎng)絡(luò)架構(gòu)ASP.NET保護AES加密cookie的原理。

成都創(chuàng)新互聯(lián)是一家以重慶網(wǎng)站建設(shè)公司、網(wǎng)頁設(shè)計、品牌設(shè)計、軟件運維、成都網(wǎng)站營銷、小程序App開發(fā)等移動開發(fā)為一體互聯(lián)網(wǎng)公司。已累計為門窗定制等眾行業(yè)中小客戶提供優(yōu)質(zhì)的互聯(lián)網(wǎng)建站和軟件開發(fā)服務(wù)。

如果在cookie中的加密數(shù)據(jù)已經(jīng)被改變,那么ASP.NET處理它的方式就會導(dǎo)致應(yīng)用程序留下一些關(guān)于解密信息的蛛絲馬跡。這樣一來,黑客們就可以推斷出從加密密鑰中被淘汰出來的可能的字節(jié),從而減少了未知字節(jié),讓解密范圍縮小到足夠可以被猜測出來。

黑客的開發(fā)商——Juliano Rizzo和Thai Duong已經(jīng)開發(fā)了一種執(zhí)行該襲擊的黑客工具。

Padding Oracle在投票過程中被評為第一。參與該投票的評審團成員包括InGuardians的創(chuàng)始人Ed Skoudis,NoScript的作者Girogio Maone ,Armorize的總裁Celeb Sima,Veracode的首席技術(shù)官Chris Wysopal,OWASP的董事長兼總裁Jeff Williams,獨立安全評估公司的安全顧問Charlie Miller,Mitre的Steven Christey和White Hat Security副總裁Arian Evans。

該排名由Black Hat、OWASP和White Hat Security聯(lián)合發(fā)起,有關(guān)黑客的細(xì)節(jié)將在下個月于德國舉行的2011年IT安全主題展示大會上逐一透露。

以下列出位于前十位的其它Web黑客技術(shù):

1. Padding Oracle:如果輸入的密文不合法,類庫則會拋出異常,這便是一種提示。攻擊者可以不斷地提供密文,讓解密程序給出提示,不斷修正,最終得到的所需要的結(jié)果。

2. Evercookie:它能夠讓Jave腳本創(chuàng)建的cookie隱藏在瀏覽器的八個不同的位置,因此很難徹底消除它們。Evercookie可以讓黑客識別出用戶的電腦,即便之前的cookie已經(jīng)被刪除。(由Samy Kamkar設(shè)計)。

3. Hacking Autocomplete:指定瀏覽器自動在被打開的網(wǎng)站上填寫表格,惡意網(wǎng)站上的腳本就可以通過點擊查詢儲存在受害者電腦里的不同數(shù)據(jù)迫使瀏覽器填寫他的個人數(shù)據(jù)。(由Jeremiah Grossman設(shè)計)。

4. 用緩存注射來攻擊HTTP:將惡意的Jave腳本庫注射進瀏覽器的緩存可以讓攻擊者破壞受SSL保護的網(wǎng)址,直到緩存被清除為止。在前一百萬個最常用的網(wǎng)站中有將近一半使用外部Java腳本庫。(由Elie Bursztein、Baptiste Gourdin和Dan Boneh設(shè)計)。

5. 使用ClickJacking和HTTP Parameter Pollution繞過CSRF的保護:通過網(wǎng)站請求偽造的防護措施,誘導(dǎo)受害者泄露他們的電子郵件ID。攻擊者可以重置受害者的密碼并獲取訪問他們賬戶的權(quán)限。(由Lavakumar Kuppan設(shè)計)。

6. IE8中的通用XSS:Explorer 8擁有跨點腳本保護,這種攻擊方式會讓網(wǎng)頁以一種潛在的惡意方式不正當(dāng)?shù)貜棾觥?/p>

7. HTTP POST DoS:HTTP POST將會被發(fā)送到服務(wù)器上,讓攻擊者知道有多少數(shù)據(jù)正在被傳輸,然后數(shù)據(jù)傳送速度會變得非常緩慢,并且會占用大量服務(wù)器資源。當(dāng)很多這樣的數(shù)據(jù)進行同時傳輸?shù)臅r候,服務(wù)器就會超載。(由Wong Onn和Tom Brennan設(shè)計)。

8. JavaSnoop:一個連接到目標(biāo)機器的Java代理與JavaSnoop工具連接來測試該機器上的應(yīng)用程序以便尋找其安全弱點。它可以是一個安全工具也可以成為黑客工具,取決于用戶的心態(tài)。(由Arshan Dabirsiagh設(shè)計)。

9. 火狐的CSS歷史黑客,不為內(nèi)部網(wǎng)端口掃描使用JavaScript:層疊樣式往往是為了定義HTML的演示,在受害者瀏覽網(wǎng)站的時候它可以被用來抓取瀏覽器的歷史記錄。而歷史信息可以用來對受害者進行釣魚攻擊。(由Robert "Rsnake" Hansen設(shè)計)。

10. Java小程序DNS重新綁定:一堆Java小程序可以引導(dǎo)瀏覽器至攻擊者控制的頁面,強迫瀏覽器繞過它的DNS緩存,這樣就可以讓DNS重新綁定攻擊變得輕而易舉了。(由Stefano Di Paola設(shè)計)。

作者:Tim Greene

出處:http://www.networkworld.com/news/2011/012411-top-web-hacking-techniques.html?page=1

【.com獨家譯稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】

【編輯推薦】

  1. 最新網(wǎng)絡(luò)釣魚:單次攻擊多個實體
  2. Yersinia:一款支持多協(xié)議的底層攻擊檢測工具
  3. DDoS攻擊:網(wǎng)絡(luò)戰(zhàn)爭的尖頭兵
  4. Anonymous黑客攻擊烏合之眾

網(wǎng)頁標(biāo)題:2010年揚名的十大WEB黑客技術(shù)
文章源于:http://www.5511xx.com/article/cdhihes.html