假如您收到的邮件附件中有一个看起来是这样的文件:QQ 放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF- BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文 件实际上等同于QQ 放送.txt.html.那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化D盘,同时显示“Windows正在配置系统。Plase不打断这个过程。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的。txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第 2行又是干什么的呢?您可能已经注意到了第 2行里的“Ws cript”,对!就是它导演了全幕,它是幕后主谋!
May 21, 2008 | Posted in
Network |
Read More »
受影响系统:
Princeton University WordNet 3.0
描述:
——————————————————————————–
BUGTRAQ ID: 29208
CVE(CAN) ID: CVE-2008-2149
WordNet是普林斯顿大学开发的英语词汇及其词法关系数据库。
WordNet的src/wn.c文件的searchwn()函数以及lib/search.c文件的wngrep()函数在处理发送给wn二进制程序的超长字符串参数时存在栈溢出漏洞:
} else {
sprintf(tmpbuf, “wn: invalid search option: %s\n”, av[j]);
display_message(tmpbuf);
errcount++;
}
远程攻击者可以通过发送带有无效命令行选项的超长字符串请求触发这个溢出,导致拒绝服务的情况。
<*来源:Jukka Ruohonen (drear@iki.fi)链接:http://secunia.com/advisories/30242/ https://bugs.gentoo.org/show_bug.cgi?format=multiple&id=211491*>
建议:
——————————————————————————–
厂商补丁:
Princeton University
——————–
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://wordnet.princeton.edu/
May 21, 2008 | Posted in
Notice loopholes |
Read More »
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。
数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:
⑴ 网络系统层次;
⑵ 宿主操作系统层次;
⑶ 数据库管理系统层次。
这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。
May 19, 2008 | Posted in
Network |
Read More »
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子Vip 2005的服务端程序。本文大部分内容摘自互联网。
G_Server.运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.、 G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.时,生成的文件就是A.、A.dll和A_Hook.dll。
May 17, 2008 | Posted in
Network |
Read More »
自从有了小区宽带网后,用户无 论查询信息还是娱乐都方便多了,而且ISP都会提供防火墙,这样用户受到外部Internet的攻击就大大地减少了,因此用户可以安全地享受互联网所带来 的乐趣了。但是值得一提的是,虽然外部Internet攻击被隔绝了,但是来自内部网络的攻击就不能不防了。报纸上也曾报道了许多宽带网络用户的文件被人 恶意浏览的新闻,因此内部网络的攻击也不可忽视。首先让我们看下面一个例子。
在浏览器地址栏里填入:\\hunter/c(hunter为你想浏览的网络计算机的名称),然后按下回车键,你就会惊奇地发现:
这不是对方(计算机名为hunter)计算机C盘里的所有内容吗?再试是否有读写权限,结果居然能够在对方计算机有写权限,这是为什么呢?
原来是这样的,微软的NT/2000/XP操作系统默认将每个分区都设置为共享,而 这个共享是默认的操作用户是Administrators组的所有成员,意思就是说,如果你是Administrators组的成员或具有 Administrators的权限你就可以操作该分区上的文件。微软的这个默认原本是为了方便管理远程计算机的,但没有想到给某些用户带来了安全隐患。
虽然要有Administrators组的成员才可以对该分区进行操作,而且大多 数用户NT/2000/XP系统上都是只有administrator及guest两个用户(guest虽是开放的,但没有读写权限),哪里有漏洞呢?但 是有些用户就偏偏露出了漏洞。当其它用户输入\\hunter\c企图登录时,它会提示你输入密码(这个密码就是管理员用户账号密码)。如果有的用户贪方 便,不加管理员密码,又或者使用自动登录时(自动登录会生成一个Administrators组的成员,默认密码为空),就让对方机器有机可乘,输入空密 码就可以进入你的机器了,此时你的计算机里的所有资料就表露无遗了。
总之,为了你机器上资料的安全,请你务必为系统管理员加上密码,而且要加上不易被猜破的密码,养成安全使用计算机的习惯。
May 17, 2008 | Posted in
Network |
Read More »
受影响系统:
Oracle Oracle Application Server Portal 10G
描述:
——————————————————————————–
BUGTRAQ ID: 29119
Oracle Application Server Portal(OracleAS Portal)是基于Web的应用程序,用于构建和部署portal。
OracleAS Portal在处理访问认证时存在漏洞,如果远程攻击者在提交的HTTP请求头中添加了特制的cookie值的话,就可以绕过对/dav_portal/portal/目录的基本认证保护,访问dav_portal内容。
<*来源:Deniz CEVIK (Deniz.Cevik@intellect.com.tr)链接:http://marc.info/?l=bugtraq&m=121034703106722&w=2*>
测试方法:
——————————————————————————–
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
首先访问http:/site/pls/portal/%0A ,该请求向cookie中添加特殊的会话ID,然后试图连接http://site/dav_portal/portal/ 就会泄露目录的内容。
建议:
——————————————————————————–
厂商补丁:
Oracle
——
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com
May 16, 2008 | Posted in
Notice loopholes |
Read More »
安全研究人员Aviv Raff近日发布了准许某人控制正在运行Internet Explorer计算机的攻击代码。为以防万一,Raff并没有公布将这种攻击隐藏在何处。
Raff 在本周三的博客日志中写道,“在我博客的某个地方,我嵌入了一种能够利用这种0-day漏洞的概念验证型代码。”这个新漏洞影响着IE 7 与 IE 8,它能够准许一个攻击者在受害人计算机上运行未经认可的软件。Raff表示,在上周二已经将这个漏洞通知了微软,而微软到目前为止还没有为此打补丁。
Raff表示,如果他不公布这种漏洞,微软不会很快地应对这个安全问题。Raff表示,“虽然曾遵循微软的‘有责任揭发漏洞’方针,但微软在修正漏洞问题上太过缓慢。上次我使用它们的‘有责任揭发漏洞’方针时,它们花费了六个月的时间才修正了一行代码。”
要让Raff的攻击生效,黑客首先必须将少量的HTML代码放到一个网站上,然后使受害人相信可以使用那个网站上的一个特定的浏览器特性。
Raff已将代码放置到了他自己的网站上,而且在以后的几天里,他将提供一些关于人们为激发这个漏洞而必须做哪些操作的提示。在被激发时,Raff的这种概念验证型代码会在受害人计算机上启动微软的两个计算器软件,但此代码可被修改以执行某种恶意操作。
本周三,他将发布这个漏洞的完整细节,连同其概念验证型代码。微软未能立即对此发表评论。
May 15, 2008 | Posted in
Notice loopholes |
Read More »
5月12日在四川汶川县发生了7.8级的大地震,由于震区通信中断,大量人群开始通过网络搜索关于汶川的地震视频和图片。而一些不法分子打起了借机 传播木马的歪主意,在网上大肆发布名为震区灾情视频的带毒链接,不明真象的用户一旦点击相关链接,电脑即中毒,轻则电脑系统严重受损,重则被人远程控制, 电脑中所有私密信息随时面临被盗危险。
仅在百度地震吧,12日当日的发回帖数超过十余万,而其中夹杂的许多关于地震灾情的实况视频或图片的不明链接,许多均带有木马病毒。
我们郑重的提醒广大电脑用户,如需要了解具体的震区灾情,可以及时通过新华网、新浪网、网易、搜狐等正 规的官方及门户网站了解,务必不要随意点击论坛或是贴吧上那些不明网站和链接。务必及时升级杀毒软件到最新病毒库,开启主动防御和网页监控,避免电脑遭受 病毒侵害,给私人财产带来不必要的损失。
May 14, 2008 | Posted in
Network |
Read More »
最近将安装在Windows XP系统中的诺顿防病毒软件强行卸载之后,发现笔记本电脑突然不能上网,打开网上邻居属性窗口,检查本地连接的属性时,看到TCP/IP参数设置界面中的IP地址竟然“突变”成了“0.0.0.0”。这就奇怪了,笔者先前将笔记本的IP地址设置成动态获取,现在没有对网络参数进行任何修改,IP地址怎么会突然变成“0.0.0.0”呢?
到网上搜索“0.0.0.0”地址时,发现该地址不表示任何计算机和网络,显然本地计算机的IP地址变成“0.0.0.0”,则表示本地的网络接口还没有被正确打开,也就是说笔记本电脑没有从DHCP服务器中获取到真实有效的IP地址,因此笔记本电脑自然也就会出现不能上网的故障了。
那么究竟是什么原因造成了本地计算机的IP地址变成“0.0.0.0”的呢?考虑到IP地址在发生突变前后,笔者没有进行过任何网络参数的改 动,而且在卸载诺顿防病毒软件之前,上网还一切正常呢。看来,IP地址发生突变一定是诺顿防病毒软件引起的。为了进一步验证笔者的猜测,笔者又打开了 Windows XP系统的日志信息,想从中找到一些答案。
果不其然,日志文件中清楚地提示系统出现7300错误,DHCP服务无法正常启动。为了弄清楚引起7300错误的原因,笔者又到网上查阅了这方 面的资料;几经努力,终于明白7300错误的出现主要是由DHCP客户端服务无法正常初始化引起的,一旦DHCP服务不能正确启动,那么Windows XP系统工作站自然也就无法从DHCP服务器中动态获取到合法的IP地址了,这显然就是本地计算机IP地址突然变成“0.0.0.0”的原因了。
根据日志文件的提示,笔者进一步发现了DHCP客户端服务之所以无法正常初始化,主要是由于与DHCP服务有依存关系的SYMTDI服务不能正 常启动造成的。而SYMTDI服务在诺顿防病毒软件运行期间会自动受到它的监控,一旦将诺顿防病毒软件强行卸载掉,SYMTDI服务也就会受到牵连而无法 正常启动。要想让DHCP服务可以正常启动,可以解除该服务与SYMTDI服务的依存关系。
May 13, 2008 | Posted in
Resource |
Read More »
相信大家都遇到过自己的一些隐私文件不愿意让别人看到的情况吧,怎么解决呢?隐藏起来?换个名字?或者加密?这些办法都可以办到,其实还有一种方法,就是建立一个别人既不能进入又不能删除的文件夹,把自己的隐私文件放进去,别人就看不到啦,下面讲讲如何实现,很简单的。
第一步:在运行中输入cmd,回车,打开命令行窗口
第二步:在命令行窗口中切换到想要建立文件夹的硬盘分区,如D盘
第三步:输入MD 123..\回车,注意文件夹名后有2个小数点
OK,搞定,看看你的D盘下面是不是多了一个名为123.的文件夹了?它是既不能进入又不能被删除的!不信你就试试看吧
那么,如果自己想删除或者进入这个文件夹,又应该如何操作呢?同样也很简单。
如果想删除,在命令行窗口中输入rd 123..\回车,即可删除,当然删除前请确认里面的文件都是不需要的,不要删错了,呵呵。
如果想进入,在命令行窗口中输入start d:\123..\(注意这里一定要是文件夹的绝对路径,否则无法打开即可打开此文件夹),你就可以随心所欲的把不想让别人看到的资料放进去啦!
May 9, 2008 | Posted in
Resource |
Read More »
