Hack Eye!

如今内部人员给公司的安全造成的威胁非同小可。近来的一些报告指出，内部人员对公司的损害在所有的危害事件中已从80%上升为86%,而且超过半数发生在雇员的终端。无疑，拥有访问公司系统权限的内部雇员极有可能被误导到那些欺诈性的或危险的链接上。而在所有的雇员中，IT工作人员拥有的这种访问权限最多。因此，IT审核应关注从多个方面确认风险。下面我们给出实施有关控制和减少工作人员对管理员欺诈的方法。
1.IT安全策略
管理人员应该审视那些能够管理特权账户（如域管理员账户、应用程序管理员账户、数据库管理员）的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有哪些，以及在一个共享账户下，个别用户如何执行任务等等。
制定的策略应具有这样的目标：能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任，从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员，并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此，要确保用户访问能够被检查，并确保其拥有恰当的许可。一个好方法是定期地审查用户访问，并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上，不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说，其信息是很丰富的。有一些安全账户，其账户名就是口令，这简直是自寻烦恼。设置口令的期限也是很重要的，禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显，不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问，如包含口令的电子邮件，就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中，口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限，并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户，并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查，因为它们经常拥有超级用户的能力。这种用户的数量是很多的，而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色，这些角色对企业会造成极高的风险，企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如，一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意：IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目，并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名，要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题，以揭示其特定行为和态度的危险信号，例如：…

中reg.exe 病毒的机缓慢，进程中出现很多reg.exe，system32目录下有文件Systom.exe病毒，每个盘符下有nx.exe和 autorun.inf也无法查看到隐藏文件，无法打开任务管理器，regedit.exe册表无法打开，reg.exe病毒一般是在浏览网页时中的，它自动运行并调用执行reg.exe，磁盘双击即会激活该病毒，如果未删除病毒文件，则会开机自动运行。
reg.exe 病毒清除办法：1、结束所有reg.exe和Systom.exe及iexplore.exe进程，在system32下删除Systom.exe，记住先不要双击磁盘。2、搜索磁盘里的autorun.inf文件及nx.exe病毒，记得搜索包括隐藏文件，全部删除。3、搜索auto.exe、xp.exe、RxpMoN.Exeupxdnd.exe、455373L.exe也一起删除。4、用auto专杀病毒工具 杀一下。
From:网络

by jno2007-11-29http://www.ph4nt0m.org
当你第一次用expression方式来xss时，你肯定傻眼了，不停弹框，没法关闭浏览器，最终你只能祭出任务管理器将进程结束。也许你其他TAB页正有填到一半尚未提交的表单，你就这样被expression给日了，心里非常郁闷，于是就要想办法干它。
很多人第一反应就是cookie，没错这是个好办法：<div style="width: expression(if(document.cookie.indexOf('xxxx')<0){alert(1);document.cookie='xxxx=1;'+document.cookie;})"></div>不过这样写有个问题，就是被攻击者浏览器只能执行一次你的alert，cookie的作用域大于一次页面执行，适合用来做跨页面的标识，而不是仅仅用来控制一个页面里的某段代码的执行次数，而且你测试起来也挺麻烦，弄得不好就要清cookie。
循着这个思路很自然就会想到在页面里设置标识，于是就有了第二种方法：<div style="width: expression(if(!window.xxx){alert(1);window.xxx=1;})"></div>使用全局变量来做标识，使我的代码在这个页面级别只执行一次，这样是一个比较完美的办法，也是目前被使用的最多的办法。
但是到这里总还觉得不爽，虽然我的alert只被执行了一次，但是判断代码还是在被不停的执行，我们还是在被它日，只不过感觉不出来而已了，我们的目标是日它，办法就是执行完我们的代码后删除这条expression，翻阅MSDN你很快能找到合适的方法：
object.style.removeExpression(sPropertyName)
看起来很美，可是你把这个语句放进expression内部用它来删除expression自身却怎么也不能成功，该死的alert还是会一遍遍的弹出来。使用setTimeout延迟执行？失败；使用execScript在全局执行？失败；结合setTimeout和execScript在延迟在全局执行？还是失败；在body尾部append一个外部script来执行？失败；在body尾部append一个外部script并且setTimeout 延迟并且execScript全局执行？草，终于tmd成功了：<!——1.htm——><html><style>body { width: expression(eval(String.fromCharCode(0×61,0×6C,0×65,0×72,0×74,0×28,0×31,0×29,0×3B,0×69,0×66,0×28,0×64,0×6F,0×63,0×75,0×6D,0×65,0×6E,0×74,0×2E,0×62,0×6F,0×64,0×79,0×29,0×7B,0×76,0×61,0×72,0×20,0×73,0×3D,0×64,0×6F,0×63,0×75,0×6D,0×65,0×6E,0×74,0×2E,0×63,0×72,0×65,0×61,0×74,0×65,0×45,0×6C,0×65,0×6D,0×65,0×6E,0×74,0×28,0×22,0×73,0×63,0×72,0×69,0×70,0×74,0×22,0×29,0×3B,0×64,0×6F,0×63,0×75,0×6D,0×65,0×6E,0×74,0×2E,0×62,0×6F,0×64,0×79,0×2E,0×61,0×70,0×70,0×65,0×6E,0×64,0×43,0×68,0×69,0×6C,0×64,0×28,0×73,0×29,0×3B,0×73,0×2E,0×73,0×72,0×63,0×3D,0×22,0×31,0×2E,0×6A,0×73,0×22,0×3B,0×7D))); /*alert(1);if(document.body){var s=document.createElement("script");document.body.appendChild(s);s.src="1.js";}*/}</style><body></body></html>//——–1.js———//setTimeout(function(){execScript("document.body.style.removeExpression(\"width\")");}, 0);可是还有那么一点不完美，就是无论怎么样，最少也要执行两次，不过我爽了，总算把这个expression给日了。当然如果你是个完美主义者，可以用这个方法结合if(!window.xxx)法。
各位看官看到这里，可能已经严重怀疑我是被虐狂，这么多方法测试下来，我还不弹框框弹到崩溃？其实我并非浪得虚名，测之前早有准备，先厚者脸皮去幻影邮件列表跪求alert框框原理，没想到大家非常热情地给予帮助，最终zzzevazzz大侠最先找到实现API是MessageBoxIndirectW，从 win2k源代码中觅得。然后又花上半日工夫草成一个hook MessageBoxIndirectW的小工具，可惜又遇到个小问题至今没有解决，这个函数的参数是个MSGBOXPARAMS结构体：typedef struct { UINT cbSize; HWND…

IBM (NYSE: IBM) 周二公布了一份安全报告,称其Lotus Notes E-Mail软件中包含缺陷,黑客可以攻击第三方组件导致系统被执行恶意代码." 如需成功突破漏洞,攻击者需要发送一个特别制作过的Lotus 1-2-3文件附件,用户打开即可实现."该缺陷被汇报到IBM核心安全数据库中,并公布在官方页面上,尽管漏洞仅仅出现在某些第三方组件被安装的情况下,但是Lotus Notes的这一问题还是非常严重,甚至会引发更多的问题.
这是因为Lotus Notes显示关联MIME文件类型图标的部分代码存在缺陷,攻击者可以将其指向到恶意文件.
该缺陷存在于 Lotus Notes6.0, 6.5, 7.0, 和8.0,并且对于更早的版本IBM将不提供软件修正.

传说中的《暴风影音3》新版本爆漏洞,这次很夸张,远程拒绝服务.起因是暴风影音自动更新程序会在远程监听一个端口,如果向其发送畸形数据包,就会导致自动更新程序崩溃;如果对其发送精心构造过的数据包,则足以导致用户主机在不知情的情况下被完全控制.以下是帖子全文:
CISVul20071128
暴风影音3.7.11.13 DOS Vul
|=—————-[ 暴风影音3.7.11.13 DOS…

from:网络
最近，在一些论坛均看到了有朋友求助说遇到卡巴提示以下内容：
恶意HTTP对象 <hxxp://www.puma164.com/pi/1.exe>: 已检测 病毒 'Worm.Win32.Viking.lw'.恶意HTTP对象 <hxxp://rrr.rfhwfhw.com/rfhw.jpg>: 已检测 恶意程序 'Exploit.Win32.IMG-ANI.x'.（为了避免杀软警报，已修改http为hxxp）
从病毒名称上看，前者是威金变种之一；后者是ANI变种之一。针对这样的情况，可能是由于访问的页面被挂马的造成的。
遇到这样的朋友，可以按照提示操作：
1.首先清理IE临时文件：打开IE 点工具–>Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。或使用ATF工具清理临时文件：http://www.hzqedison.cn/hanhua/ATF-Cleaner-cn.exe
2.屏蔽以下链接：
在hosts文件中，屏蔽该网址。操作方法：HOSTS文件在C:\WINDOWS\system32\drivers\etc(xp系统)下。之后：选中“Hosts”——打开方式——记事本。添加：127.0.0.1 …

By：superhei
Gareth Heyes在他的blog上发了一个"htmlentities is badly designed": http://www.thespanner.co.uk/2007/11/26/htmlentities-is-badly-designed/
大意就是说在默认参数下htmlentities不会过滤'导致xss等, php手册里的描叙:
htmlentities(PHP 3, PHP 4, PHP 5)
htmlentities — Convert all applicable characters to HTML…

hijack下载

引用至 自在轮回
hijack最近接连被曝光，并且有的人乱涂改使用说明，可笑。

hijack(红狼安全小组原创作品 – 内部).rar作者：CoolDiyer [ 逐云客 ]http://www.box.net/shared/c3ekarpgkn

在学校的时候，老师给我们讲了C语言，什么都没听过，计算机等级考试三级网络考C语言。不知道怎么就糊弄过去了。从来没用C语言写过一个能用的程序。
PHP，去年接了一个项目，真正动手做了，发现原来也就那么个意思，听说PHP语法好多事参考C语言的，不解，不过有些函数倒是蛮像的。
最近公司的一大堆的Linux服务器排查，同事用Perl写了个程序，很好用的说。于是乎就想自己也写个，实现自己的思路，老让别人帮忙修改也不是办法。一看Perl的语法，怎么跟PHP的就那么像呢，变量定义就一个模子。后来一问同时，又Google 百度一把，才了解了，原来PHP的语法是参考的C语言和perl的。
向来对于语法什么的东西不感冒，最重要的是程序的算法，算法明了了，不管什么语言，一样写出来，只不过是代码的多少的问题了。
听说python代码的程序段是通过代码缩进来区分的，看起来比较累的说。
最近要做的事情，熟悉linux下的shell编程，Perl编程。写出一个程序应用到实际工作中来。减少这些重复的苦力工作。

美联社消息：一个5年前的bug重现Windows，这个bug存在于美国以外的视窗电脑上。这个bug在新西兰Kiwicon黑客大会上得以证实，利用这个bug黑客可以通过一组简单的攻击，就可以控制世界范围内大量的家用和商用电脑。
Butler指出在仅拥有400万人口新西兰大约有160000台电脑存在这个漏洞，除了岛上的绵羊和水果不使用电脑外，这个数目触目惊心。
详细的漏洞细节没有公布，因为微软知道，已经承认了这个安全漏洞有多么严重。
五年前就出现的bug在修复后，现在居然又重现….不过，这个未完全修复的bug和电脑设置有一定的关系，报道同时指出这个漏洞也会出现在Vista上。