邪恶八进制信息安全团队技术讨论组 » 论坛疯狂装吧{ Chat and Relax } » [原创]安全不是天天攻击 [查看完整版本]

fleshwound 2006-10-26 10:46

[原创]安全不是天天攻击

原创作者：fleshwound
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

看了很多如何攻击网站,和攻击个人电脑的文章,感受很多,一方面发现许多新的攻击思路,另一方面发现真正能攻击一个商用服务器的人还是少.安全不是天天搞攻击,搞信息安全更不是搞娱乐圈.真正的信息安全包含了许多的内容.
   现在很多人学会SQL注入了,用阿D之类的工具扫一下,发现一些变量没有过滤,就开始了罪恶的旅程,重构SQL语句当然能增加SQL方面的知识,但是并不表示能建立一个安全的系统.开发系统的人如果要做坏事,很快也可以成为一个攻击者.跨站不说了,涂改网页的时候你有种莫名的快感和无比的自信.但是,当叫你开发一个系统的时候,这种自信是否会存在.可以说,只要一个月的培训,就可以培养出不少的脚本攻击高手,但是用两年时间,也不一定能培养出一个合格的安全WEB信息系统开发人员。
    破解软件并不是破解加密算法，软件被破解并不是加密算法的错，而是使用加密算法不当所为。但在看雪论坛上我看了有几个朋友分析如何破解攻击软件中的加密算法,并给出了改进的加密算法使用方案，不禁肃然起敬,这真的很需要技术，需要比较多的数学，很多思想是原创的。这只是安全的一个方面，有很多人在这里做得很好。软件加密和保护需要的是更多的数学和更为深刻的普通人认为没有用的计算机专业基础知识。
  花了将近8个月时间，来拜读完的安全焦点《网络渗透技术》一书，更觉得安全不是天天搞攻击。一段SHELLCODE本身获得何种权限并没有什么，但是如何攻击的思想给软件开发本身有很多启示。很久以前，一位朋友就说过，做黑客并没有前途，跟入室抢劫和偷窃行为并没有本质的区别，某些人说的：“谁叫你不懂安全！”跟抢劫的时候说“谁叫你不学功夫！”每什么区别。
  做安全需要最终去研究最大限度如何保证系统的安全，虽然系统仍然有可能被继续攻击，但是则才是正道。

sunwear 2006-10-26 11:47

：）
不错

goldberg 2006-10-26 12:33

入侵的具体工具和方法并不重要 但入侵的思路非常重要
设计具体的安全规则并不难 但是设计一个完善的安全防御体系就很难了 需要多年经验和技术知识的积累
就像做程序员写具体的实现代码不难 但像系统分析员那样从总体上把握和规划绝非易事

cnhcerkf 2006-10-26 13:01

EO应该转一下，如此无敌的帖子，至少放在前瞻那块。放这里可惜了。可惜。

EvilOctal 2006-10-26 14:35

[quote][b]引用第3楼[i]cnhcerkf[/i]于[i]2006-10-26 13:01[/i]发表的[/b]:
EO应该转一下，如此无敌的帖子，至少放在前瞻那块。放这里可惜了。可惜。[/quote]
这里人多，看的人也多。
我很久没买那些杂志了，前段时间看了一下黑防，我觉得现在他们谈的社会工程学很大一部分都是所谓的数据挖掘，并不是社会工程学。
脚本渗透依然占国内非学术杂志的主导地位。
不是说脚本安全没前途，但是系统层才是王道。

EvilOctal 2006-10-26 14:37

看楼主的文章，我想到罐头经常说的一句：
人人都说自己在做安全，应该想想自己为安全做了什么。

asm 2006-10-26 20:59

拿起啊Ｄ不到几秒钟，写出啊Ｄ要几月

金州 2006-10-26 22:19

[quote]但在看雪论坛上我看了有几个朋友分析如何破解攻击软件中的加密算法,并给出了改进的加密算法使用方案，不禁肃然起敬,[/quote]
大哥说的我可能也看到了，和你一样的感觉。因为我对这类东西所知尚浅。感触更深。
这个东西甚至比一个漏洞来的还有长远意义。
另，个人同意大哥以上所有观点并受益颇深。所以感谢。
另，在贵论坛学到n多东西。因个人在est时间较长，比较习惯。
所以在此一并致谢。
祝福你，祝福你的论坛，祝福你的事业。
：：））

asm 2006-10-26 22:41

[quote][b]引用第4楼[i]EvilOctal[/i]于[i]2006-10-26 14:35[/i]发表的[/b]:

这里人多，看的人也多。
我很久没买那些杂志了，前段时间看了一下黑防，我觉得现在他们谈的社会工程学很大一部分都是所谓的数据挖掘，并不是社会工程学。
脚本渗透依然占国内非学术杂志的主导地位。
不是说脚本安全没前途，但是系统层才是王道。[/quote]


用冰血BOSS的话说　社会工程学可以脱离网络而存在......

dream2fly 2006-10-27 02:14

说的真是好啊，但是有多少人明白这个道理呢？goog good study,day day fuck. [s:39]

朽木 2006-10-27 02:54

世界第一黑客是谁？为什么他是世界第一黑客？

asm 2006-10-27 03:34

[quote][b]引用第10楼[i]朽木[/i]于[i]2006-10-27 02:54[/i]发表的[/b]:
世界第一黑客是谁？为什么他是世界第一黑客？[/quote]


因为他的电话费不嫌多，或者，他根本没付过电话费

另外，就算他去到月球，他也会找出一些月球上的人造卫星碎片来连接上地球的互联网

goldberg 2006-10-27 08:37

[quote][b]引用第7楼[i]金州[/i]于[i]2006-10-26 22:19[/i]发表的[/b]:

在贵论坛学到n多东西。.......[/quote]
贵论坛你来过几次? 你的那个ID我几乎就没见你去过
好象拍马有点拍过了
嘎嘎 开个玩笑 勿当真

a11yesno 2006-10-28 08:35

要从做人学起阿！！

想当初三年前我是多么的狂妄无知。如今三年后的我，依然那么狂妄无知。

如果你能达到我这个境界你就能无所不能了 [s:39]

k4y 2006-10-30 21:47

说得好..


楼上的mjj.
allyesno 是 pst的那位allyesno ?

骑蚂蚁上高速 2006-11-1 12:52

[quote][b]引用第9楼[i]dream2fly[/i]于[i]2006-10-27 02:14[/i]发表的[/b]:
说的真是好啊，但是有多少人明白这个道理呢？goog good study,day day fuck. [s:39][/quote]


同感

追寻 2006-11-11 11:18

写的不错。

netxfly 2006-11-13 18:31

哦,明白了,安全不是天天攻击,那隔二天攻击一次行吗? ~~Ho~~ho[s:41]

hack520 2006-11-13 19:02

[s:75] 那隔几天来一下月经也行的

haicao 2006-11-13 22:38

我也想给楼主加点分，可咋就没权限捏？

blackhorse 2006-12-12 12:01

[s:35]
我是真的真的想为安全作贡献......
怎么就没人给我机会呢?!
-上天入地无门啊.

查看完整版本: [原创]安全不是天天攻击

© 1999-2008 EvilOctal Security Team