服务器防御脚本,卡巴斯基反病毒软件的CVE?
多年来,卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件,竟使得第三方能够长期监视用户的网络活动。
德国网站 Heise.de 编辑 Ronald Eikenberg 指出,在其办公室电脑上的一个奇怪发现,让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。
(题图 via Heise.de)
作为 c't issue 3 / 2019 测试第一部分,小编会定期对反病毒软件进行测试,以观察其是否履行了企业所声称的安全承诺。
在刚开始的几周和几个月,事情似乎波澜不惊 —— 卡巴斯基软件的表现,与 Windows Defender 基本相同或差强人意。
然而忽然有一天,Ronald Eikenberg 在查看了任意网站的 HTML 源码后发现,卡巴斯基竟然为其注入了如下代码:
<script type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"></script>
显然,浏览器正在加载来自 Kaspersky 域、名为 main.js 的外部 JavaScript脚本。尽管 JS 代码并不罕见,但当深入查看浏览器中显示的其它网站的 HTML 源码时,几乎都有同样奇怪的发现。
毫无意外的是,Ronald Eikenberg 竟然在个人网银网站上,也查看到了来自卡巴斯基的脚本。因此其断定 —— 这件事可能与卡巴斯基软件有些关联。
为了验证,Ronald Eikenberg 尝试了 Mozilla Firefox、Microsoft Edge、以及 Opera 浏览器,结果发现相同的代码随处可见。
鉴于没有安装可疑的浏览器扩展程序,他只能简单理解为是卡巴斯基反病毒软件在操纵当前的网络流量 —— 在未获得用户许可的情况下,卡巴斯基僭越了!
在此事曝光前,许多人可能只会在网银木马类恶意软件上观察到这种行为,以图窃取或篡改关键信息(比如悄悄地变更了网银转账的收款方)。现在的问题是 —— 卡巴斯基你到底在干嘛呢?!
经过对 main.js 脚本展开的一番分析,可知卡巴斯基会在判别某个‘干净’网站链接后,在地址栏显示带有谷歌搜索结果的绿色图标。
然而还有一个小细节 —— 加载卡巴斯基脚本的地址,也包含了一段可疑的字符串:
https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js
链接加粗部分,显然属于某种“通用唯一标识符”(UUID)。但是作为一款计算机安全软件,卡巴斯基要拿这串字符去识别或追踪谁呢?
扩展扩展验证,Ronald Eikenberg 在其它计算机上也安装了卡巴斯基软件,发现它确实会向其它系统同样注入 JavaScript 代码、并且留意到了一个至关重要的区别。
源地址中的 UUID,在每台系统上都是不一样的。这些 ID 属于持久性的标识,即便过了几天也不会发生改变。显然,每台计算机都会拥有自己的永久分配 ID 。
而将这串 UUID 直接注入每个网站的 HTML 源码,绝对是一个糟糕头顶的主意。因为在网站域上下文环境中运行的其它脚本,都可以随时访问整个 HTML 源,甚至读取卡巴斯基这串 UUID 。
这意味着任何网站都可以读取并追踪卡巴斯基软件用户的网络 ID,只要另一个网站检测到了同一字符串,就能认定其访问源来自同一台计算机。
基于这种假设,卡巴斯基显然是打造了一套危险的追踪机制,甚至比传统的 cookie 更加极端 —— 就算你切换了浏览器,也会被追踪并识别到在使用同一台设备、让浏览器的隐身模式形同虚设。
为避免更多用户陷入风险,c't 决定立即向卡巴斯基通报这一发现、并且迅速得到了对方的答复,称其已着手调查此事。
大约两周后,卡巴斯基莫斯科总部对这一案例进行了分析,并证实了 c't 的这一发现。
该问题影响所有使用 Windows 版卡巴斯基安全软件的消费者版本,从入门机的免费版、互联网安全套装(KIS)、直至全面防护版(Total Security)。
此外,卡巴斯基小企业安全版(Small Office Security)也受到了该问题的影响,导致数百万用户暴露于风险之中。
Heise.de 调查显示,卡巴斯基从 2015 年秋发布的“2016”系列版本中引入了该漏洞。但既然普通网友都能在无意间发现这个漏洞,包括营销机构在内的第三方,也极有可能早就展开了野外利用。
即便如此,卡巴斯基仍表示这种攻击过于复杂,因此发生的概率极低,对网络犯罪分子来说有些无利可图。
然而 Heise.de 并不赞同该公司的说法,毕竟许多企业都在努力监视每一位网站来访者,这个持续四年的漏洞,很有可能是其展开间谍活动的一个福音。
万幸的是,在认识到事情的严重性之后,卡巴斯基终于听从了爆料者的要求,在上月发布了 CVE-2019-8286 安全公告,且相关补丁也已经打上。
当然,为了安全起见,您也可禁用卡巴斯基软件中提供的相关功能:
点击主窗口左下角的齿轮(设置)图标 -> 点击‘其它 / 网络’-> 然后取消‘流量处理’下的‘将脚本注入 Web 流量以与网页交互’选项。
python就业前景怎么样?
谢邀!
先说结论:个人认为Python的前景是很不错的
语言特性
python是一种面向对象的解释型编程语言,它语法简洁清晰,学习难度相比其他编程语言会低些,相对容易上手。IEEE发布2017年编程语言排行榜:Python高居首位。
python有丰富而强大的库,能做很多事,也被称之为“胶水语言”,可以把其他语言编写的模块联结在一起调用,比如对C/C++编写的模块,支持的非常好。
值得一提的是,2017年python被我国教育机构认可,用于学生的编程学习实践。摆脱多年的visual C++6.0的教育软件,学弟学妹们终于能学点跟社会接轨的技能了。这也从侧面证明了python的优点。
平台支持
Mac OS原生支持python运行环境,linux和windows都能安装python运行环境,配合简单的IDE就能编写python程序了。
IDE方面,idea也有针对python的IDE支持,代码写起来很舒服,另外还有jetbrain专门开发的PyCharm,选择很多。大牛用vim也能写python~
应用领域
1.人工智能方向,python应用很广,谷歌的TensorFlow基本上所有的代码都是C++和Python,python的研发效率高,大公司选它作为技术栈情有可原。相信后续人工智能方向针对python的解决方案会越来越多。
2.应用开发方向,python也可以写业务,写web,我身边就有专门用python写api的人才。当初微信清理僵尸好友功能很火爆,其底层就是python写的web交互。
3.数据抓取方向,即爬虫,一般都用python编写。比如企业需要从各大网站提炼信息,亦或是做舆情监控,python相比其他语言,能做到快速变现。
总结
python很适合作为编程语言学习,国内教育机构也给予了认可。其伶俐简洁的语法,相比其他高级编程语言有设计上的优势。
时代总在变化,多一技傍身不是坏事。以python入门,编程学习也能触类旁通。我身边专职写python的朋友,偶尔也会一起讨论下Java和JavaScript,毕竟编程语言只是工具,应该根据不同应用场景选择最合适的语言。
祝你学习顺利!
奶爸太阳38级怎么堆?
回答如下:以下是奶爸太阳38级的建议堆点:
1. 技能点:建议先将主动技能升满,然后再分配到被动技能上。
2. 太阳:主要堆加血和加防御,以提高奶爸的生存能力。
3. 月亮:推荐堆增加治疗效果和减少技能冷却时间,以提高奶爸的治疗效率和技能输出。
4. 星星:建议堆加速度和命中率,以提高奶爸的移动速度和命中率。
5. 铭文:可以选择堆加血、加防御和加速度等属性,以提高奶爸的生存能力和移动速度。
6. 装备:优先选择增加生命值、防御和治疗效果的装备,以提高奶爸的生存能力和治疗效率。
总之,奶爸太阳38级的堆点应以提高生存能力、治疗效率和移动速度为主,以更好地支援和保护队友。
呆在家里想追剧?
疫情期间,为了不给国家添乱,大家都宅在家里,那么随着假期的增长,宅家的同学们该追哪些电视剧打发无聊的时间呢?
《想见你》近期比较火🔥的电视剧有台剧《想见你》,一个穿越剧,穿越到过去遇见想见的人。落寞的台剧又重拾昔日的辉煌,收视率还不错。
毫不起眼的陈韵如因为有了莫俊杰,才感受到了温暖,温柔的莫俊杰默默守护着陈韵如,陪伴着她,谁不想有这样一个朋友呢!
《下一站是幸福》如果你不想看穿越青春剧,也可以看这部由宋茜和宋威龙主演的描述职场姐弟恋的甜宠剧《下一站是幸福》!
年轻高大帅气的实习生男孩爱上独立干练的30多的女上司,上演了一段甜到腻的恋情。尤其是吻戏片段,宋威龙更是被评为最会亲的男艺人!
看完这部电视剧,你绝对会有想谈一段姐弟恋的冲动的!
《锦衣之下》近期最火的电视剧应该就是《锦衣之下》了!该剧由任嘉伦和谭松韵主演,讲述了在明朝时期一个锦衣卫大人陆绎与下属袁今夏在办案过程中相识相知相恋到成亲生子的故事。
从初见的互相嫌弃,到一起办案过程中的互相了解,暗生情愫,再到经历生死关头的互相付出,互相依赖,情根深种,到最后的互诉衷肠,修得正果。两人的恋爱过程太甜了,再加上两位演员的优秀演技更是让不少观众表示太上头了!还给这对cp取了个名字“六元一斤虾”!
剧中两人的吻戏也非常好看,充满了粉红泡泡!
(图片均来自网络)
喜欢就点赞关注一下吧,您的支持是我回答的勇气!
什么是网络渗透技术?
网络渗透很像谍战电影中的特务通过各种伪装手段打入敌对组织内部并取得公开合法身份,借此采取非法或合法手段、通过秘密或公开途径窃取情报或是进行破坏活动。
网络渗透是针对目标所发动的网络行为,是一种有组织、有规划,并且是蓄谋已久的网络间谍行为。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性、针对性,长期、有计划性和组织性地窃取数据或文件。网络渗透的过程又伴随着传统的人力情报分析。
网络渗透的本质是信息搜集信息搜集整理为后续的情报跟进提供了强大的保证。网络渗透并不是随便拿个工具倒腾一下就可以了,要了解具体业务并结合自己的经验。渗透的手法复杂且多样,并随着目标发生变化而改变行动计划。如:目标工作人员作息改变,地域时差等。
网络渗透一般分为高级持续性渗透和即时目标渗透。
持续性渗透是以时间换取空间为核心的渗透,以最小化被发现,长期把控权限为主,而即时目标渗透刚好相反,放大一致条件,关联已知线索,快速入侵,以达到诉求。
前期交互
渗透之前必做的功课是确定目标范围(IP、域名、内外网等),并全面的了解渗透目标有哪些程序、业务、人员管理、权限等,以此来确定渗透时间,能渗透到什么程度,能不能提权,能不能修改、上传。
信息收集
信息收集可以利用搜索引擎获得后台、未授权页面、敏感的url等,也可以主动扫描获取。收集信息包括:IP、网段、域名、端口(端口对应的应用及应用的版本)、操作系统版本、是否有防护设备、人员信息、服务信息等。
威胁建模
利用收集到的信息建模并规划攻击方式、方法和路径。
漏洞分析
利用建模信息使用相应的漏洞进行测试,包括系统漏洞、Webserver漏洞、Web应用漏洞、端口服务漏洞(如:21、3389)、通信安全漏洞(如:明文传输、token在cookie中)等。将所有有可能利用的漏洞都验证一遍,直至确定可用的漏洞。并制定明确的攻击路径、如何精准打击、如何绕过防御机制(如防火墙)、如何绕过检测机制(如流量监控、杀毒软件、恶意代码检测)、释放攻击代码等。
漏洞攻击
根据之前的成果进行攻击,获取内部信息(网络连接、VPN、路由、拓扑等),并进一步进行渗透(入侵内网、敏感目标),并进行持续性存在(留后门、添加管理员账号等),最后清理相关日志和上传的文件。
在渗透过程中,渗透目标信息搜集的广度决定了整个渗透过程的复杂程度,而目标信息搜集的深度,决定后渗透权限是否持续把控。持续渗透就是将线索关联,为后续的攻击提供了明确的方向。后渗透就是把控权限,而权限的把控为后渗透提供了以牺牲时间换取空间的基础。
网络渗透技术并非是灰暗的存在网络渗透技术是一把双刃剑,它锋利的一端是剑用来攻击,钝的一端是盾用来防护。网络渗透技术可以帮助政府、企业进行网络安全的规划和建设。尤其是石油、天然气、核能、证券、互联网金融等已经成为了网络渗透、攻击的重点目标。
以上个人浅见,欢迎批评指正。
认同我的看法,请点个赞再走,感谢!
喜欢我的,请关注我,再次感谢!