wooyun,wooyun镜像网站

电信再现重大漏洞

近日，补天漏洞响应平台再次曝出中国电信某系统的重大漏洞。这是继乌云曝出电信存在惊天漏洞之后，又一次重大信息安全事故!

电信再现重大漏洞： 近日电信被曝出再现重大漏洞，上亿用户信息泄露了，并可以进行任意金额充值等业务，漏洞已经得到中国电信厂商确认。

近日，补天漏洞响应平台再次爆出中国电信某系统的重大漏洞。通过该漏洞可以查询上亿用户信息，涉及姓名、证件号、余额，并可以进行任意金额充值、销户、换卡等操作。10月29日上午10点，该漏洞已得到中国电信厂商确认。

这条消息可谓是重磅消息，让我们这些手机用户再一次为自己的个人身份信息或遭泄漏担忧、恐慌起来。

联系到近些年来频发、高发的电信诈骗案件，我们有理由相信，很多用户的个人信息就是从这样的漏洞中被泄漏出去的。

随着管理的需要，更多的行业部门都在要求客户办理相关业务的时候提供公民的个人身份信息。但对于这些信息如何保证不被泄漏，收集个人信息的部门并没有给出任何承诺，如签订相关协议。

回顾 2013年乌云发现电信惊天漏洞：

国内知名的安全反馈平台乌云(WooYun)最近发现，中国电信官网189.cn上存在极其严重的安全漏洞，攻击者能够利用它获取极为敏感的用户隐私，包括通话详细记录等全部无所遁形。

两天之后，该漏洞就得到了最终确认。2月份，漏洞的细节逐步向白帽黑客和相关专家披露。

信息安全对于手机用户来说，可谓是十分重要的，很多不法分子就是通过手机信息进行诈骗的，所以这个漏洞一曝光，相信我们这些手机用户很快就会陷入恐慌的！

验证码 - 安全那些事！

首先，先介绍下验证码程序的提出者，路易斯·冯·安(Luis von Ahn)。2002年，路易斯和他的小伙伴在卡内基梅隆第一次提出了CAPTCHA(验证码)这样一个程序概念。该程序是指，向请求的发起方提出问题，能正确回答的即是人类，反之则为机器。这个程序基于这样一个重要假设：提出的问题要容易被人类解答，并且让机器无法解答。

在当时的条件下，识别扭曲的图形，对于机器来说还是一个很艰难的任务，而对于人来说，则相对可以接受。yahoo在当时第一个应用了图形化验证码这个产品，很快解决了yahoo邮箱上的垃圾邮件问题，因此图形类验证码开始了大发展时期。

图形化验证码在被证明有效后，在互联网上迅速得到了推广。国内外各大网站，在关键的业务点上都加入了这一类型的验证码。

首先，由于开发者水平的良莠不齐，导致验证码本身的实现存在问题，从而导致漏洞可以绕过，常见的有以下几种类型：

如将验证码答案输出到页面中、写在cookie里。打比方就是说，在发卷的时候，把答案写在了卷子背面。(老师再也不用担心我的成绩)

如验证码可以重复使用、不设超时。验证一次，永久使用。

如修改业务参数可导致不用校验验证码也可通过、甚至验证码就是摆设。结合到具体的业务点上有什么危害呢？

a. 验证码写在cookie中。此处可导致旅客信息泄露。

b. 验证码与图片存在对应关系，因此直接访问html即可得到答案。此处可导致撞库与暴力破解密码。

在开篇我们提到了一个重要的假设：

CAPTCHA提出的问题要容易被人类解答，并且让机器无法解答。

实际上，CAPTCHA所要处理的问题是：将普通人与恶意的用户（黑客、垃圾消息发送者）区分开来。那当时间点到达2016年时，黑客们与普通用户之间的差距已经很大了（想象下中国足球队对巴西足球队，而且此时留给中国队的时间已经不多了）。

因此，CAPTCHA在图片验证码这一应用点上已经无法满足这一假设了。在这段时间内，出现了很多的加强和识别图形验证码的方法（每一种方法的详细原理和解释，可以参见wooyun drops，在此不做详述）：

附上部分名词解释：

如上图所示，原始的图像使用了字体旋转、背景色混淆等手段，在专业的验证码工具面前，也就是几个命令拼接即可完成识别

如上图所示，是一个验证码识别软件自建字库的过程，通过回车确认验证码识别正确，如有错误，稍带修改继续。当保存了上千个正确识别的字库后，该程序便可达到一个可用的可用的准确率。（其实若不不做其他限制，此时准确率在30%以上时，即可造成很大的危害，毕竟对于攻击者来说，发3个包与发1个包的成本差别不大）

看到这里，客户们大概可以回答这个问题了：

为什么我用了验证码还是会被刷？

那普通验证码难道没用了吗？

那倒也不是，安全是一个博弈的过程。综合使用之前提到的验证码技术(特别是字体粘连等)，并且保持关注和变化，攻击者的识别率也比较低。当攻击的成本大于可获得的利益时，自然就没人来攻击了。（普通用户在此应强烈要求存在感）

此时，虽然两方大小上略有差距，但是总体战斗力还算是勉强打个平手，互相出招而已。只是随着战火的升级，个人轮番上阵后，验证码已经违背了他最初设计时的初衷：对普通用户的友好性逐渐消失。而普通用户的体验也就成了这场战争中的牺牲品，这也就造就了一批有一批被用户吐槽的无法辨认的验证码。

正当普通用户们不断吐槽的时候，程序员表示这个锅不想背但是也得背。因为业务总是要做的，而攻击者们也是要吃饭的，升级了验证码的成本，也就限制了风险的等级，于是就变成了这样一个模式╮(╯_╰)╭：

大家就在这种你方唱罢我登台的情况下看似和睦的度过了一段时间。

在日日夜夜的对抗中，攻击者想到了一个办法，可以一劳永逸的解决图片验证码的问题。在我对这些搞灰产的人们表示憧憬之前，先说点题外话。

2009年，google买下了CMU的一个项目:recaptcha。这个项目是CAPTCHA的进阶版本。它所基于的假设与CAPTCHA一致，但是它同时让用户识别两张图片，一张用于验证用户身份，而另一张用于帮助难以用机器识别的电子文档。

恩，如果读者有从事此类灰产相关工作的人，请注意recaptcha右下角的小字（ stop spam.read books 看看这情怀）。

而recaptcha的作者，当然又是:路易斯·冯·安。在recaptcha的基础上，路易斯进一步提出了一个概念:人类计算(Human Computation) 。

简单来说，他希望借由计算机和网络平台，发挥人类技能，去解决大规模、复杂的问题，具体到recaptcha项目来说，就是借助大家的力量去帮助数字化书籍。（该思想的具体应用还包括一个叫ESP GAME的游戏以及后面会提到的no recaptcha）

但是，在2004年（我能搜到这个新闻的最早时间），就有人已经完美的实现了这个概念:人工打码，并且起源地:中国（此处我应该感到自豪吗）。

所谓的人工打码就是，将验证码的请求转发给某平台，该平台会将这个信息发送给平台上的打码工，然后打码工人识别后，将答案反送回请求者。通过打码平台的api，攻击者可以写程序实现对目标的自动化操作，而验证码的部分只要交给打码平台就可以了。

打码平台在国内市场上的火爆，有几个原因:

[1].从2006年开始，国内互联网的迅猛发展，使得流量变现成为了可能。各种邮件营销、SEO、IM工具等都迫切的需要稳定的可以绕过图形验证码的方法。而近些年兴起的基于数据的诈骗、账号盗取等更进一步加剧了这个趋势。

[2].打码平台的爆发式发展也同时得益于中国经济蓬勃发展的原因之一：人口多并且人力成本低。网络上一种常见的网赚模式，就是打码工模式，一个只要会上网，能识别验证码的人就可以参与。PS:难道你没有看见过下面这些广告吗？大学生、大妈，无需学历，只要会上网、会打字，一天包赚XXXXX。当然其中除了打码平台，还有很多骗子。

以上验证码的价格在平台上都是明码标价，普通的字母验证码1条在1分钱左右，而知识问答类在6分钱左右，相较于利用这些灰产所会产生的利益，真是件美物廉，重点是还非常稳定。

同时我注意到国外的价格现在与国内的价格已经相差不大，现在美国的价钱约为$1.5/1000，美国的打码工已经向东南亚扩展。打码平台一出现，2.2中提到的加强验证码的方法都无用了。因为不管你怎么变化，验证码总需要是人类能够通过的。

打码平台的出现，虽然没有从理论上打破CAPTCHA的原则，但是也从事实上击破了防止程序自动提交的防御，因此我们需要新型的安全的验证方式。这些探索也带来了现在各种多样的验证码形式，这些我们将在下篇探讨。

最后用一个“富有情怀”的图片结束。

这张图不是来自改变世界的极客，也不是来自富有爱心的艺术家。它来自某知名打码平台的官网，是不是太有情怀了？（你们的确改变了我们的工作方式）

面对这样的情怀，我想我现在只能做一件事情。

CRLF注入攻击

一、概念

回车换行（CRLF）注入攻击，又称HTTP头部返回拆分攻击，是一种当用户将CRLF字符插入到应用中而触发漏洞的攻击技巧。原理是服务器未过滤攻击者输入的数据，而直接放到头部，导致攻击者通过注入\n\r（%0d%0a）能够控制HTTP返回头部。CRLF字符（%0d%0a）在许多互联网协议中表示行的结束，包括HTML，该字符解码后即为\ r\ n。这些字符可以被用来表示换行符，并且当该字符与HTTP协议请求和响应的头部一起联用时就有可能会出现各种各样的漏洞，从而造成XSS注入攻击、Web缓存中毒、会话固定漏洞、302跳转攻击等攻击。。

二、测试案例

一般网站会在HTTP头中用Location:?这种方式来进行302跳转，所以我们能控制的内容就是Location:后面的XXX某个网址。

比如一个网站接受url参数放在Location后面作为一个跳转。

1、会话固定漏洞

如果我们输入的是，注入了一个换行，此时的返回包就会变成这样：

HTTP/1.1 302 Moved Temporarily

Date: Fri, 27 Jun 2014 17:52:17 GMT

Content-Type: text/html

Content-Length: 154

Connection: close

Location:

Set-cookie: JSPSESSID=wooyun

这个时候这样我们就给访问者设置了一个SESSION，造成一个“会话固定漏洞”。

2、反射型XSS

如果我们输入的是：;img src=1 onerror=alert(/xss/)

我们的返回包就会变成这样：

HTTP/1.1 302 Moved Temporarily

Date: Fri, 27 Jun 2014 17:52:17 GMT

Content-Type: text/html

Content-Length: 154

Connection: close

Location:

img src=1 onerror=alert(/xss/)

三、解决方法

1、不要把用户的输入直接输出。

2、过滤用户输入的\r\n。

3、可以使用urlencode，对输出的文件名做url编码。

IIS短文件名泄露漏洞如何解决？

这是一个很早的漏洞。。你升级下framework按理说是可以解决的。不知道是不是你没有安装正确。你重启一下试试。然后再检测一次~

在线学习网络信息安全的平台，哪个比较好

我觉得最好的学习网络安全的平台无关下面几类：

1） 综合性网络教学培训机构中的安全部分，这个很多了，网上可以找到一大把。

2） 专业的以安全为方向的教育培训机构或者是网络安全服务公司，组织，我推荐下面7个，你可以自己选择。

最好的七大网络信息安全在线学习平台推荐

近几年互联网的高速发展，电子商务的高速发展，互联网已经成为我们日常生活照密不可分的一部分，和我们的日常生活息息相关，我们在京、宝上网购商品，网上付款，这些都是有风险，同时也担心我们的账号会不会被盗，这些都和网络信息安全密不可分的。通过国家也渐渐的对网络信息安全有了高度的重视。所以在这里推荐最好的七大网络信息安全在线学习平台推荐，对这些感兴趣的可以了解一下哦。

第一家信息安全在线学习平台-----西普学院

西普学院是国内信息安全在线实验的免费学习平台,提供Windows安全、逆向工程、网络攻防及安全管理等视频及实操课程，同时协办GeekPwn公开课等沙龙活动，为信息安全爱好者提供技术交流社区服务。

第二家学习平台----西电信息安全协会 [XiDian Security Team](应该是信息安全分享网站)

西安电子科技大学几位爱好安全的同学创建了信息安全协会，成为我校第一个安全团体。

协会得到了全校众多老师和同学支持，并在校内和协会内部组织了一些活动，互相交流技术，推广信息安全技术。

第三家信息安全在线学习平台--知道创宇

北京知道创宇信息技术有限公司(以下简称知道创宇)是国内最早提出网站安全云监测及云防御的高新企业，始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。

自创立以来，知道创宇业绩卓著，得到了各大互联网管理机构、多家世界五百强企业的高度认可。2009年公司被亚洲

CIO杂志评选为20家最有价值企业，中国地区仅有知道创宇与阿里巴巴获此殊荣。知道创宇卓越的解决方案覆盖众多行业领域，拥有极高的客户忠诚度，这完全得益于精湛的技术、合理的总拥有成本、产品的易管理性以及优质的客户服务。

第四家信息安全在线学习平台--黑客防线

《黑客防线》于2001年6月面世读者的第一天起，杂志和网站就以向全国范围传播中国人自己的网络安全声音为己任，并保持着国内安全类杂志的权威性同时，充分发挥互联网特性，增加吸引力、可读性、亲和力。经过《黑客防线》杂志的主办单位地海森波网络科技有限公司近2年时间的努力，杂志和网站均已发展成为中国最具权威性和影响力、更新数据量最大的网络安全专业站点之一。

第五家信息安全在线学习平台-FreeBuf

freebuf,安全媒体,黑客网站,安全招聘,黑客技术,互联网安全,web安全,系统安全,黑客,网络安全,渗透测试,安全资讯,漏洞,黑客工具,极客,极客活动

第六家信息安全在线学习平台--吾爱破解论坛

吾爱破解论坛致力于软件安全与病毒分析的前沿，丰富的技术版块交相辉映，由无数热衷于软件加密解密及反病毒爱好者共同维护

第七家信息安全在线平台--乌云

WooYun是一个位于厂商和安全研究者之间的漏洞报告平台,注重尊重,进步,与意义。

网络攻防平台有哪些

我们平时涉及到的计算机网络攻防技术，主要指计算机的防病毒技术和制造具破坏性的病毒的技术。具体的攻和防指的，一个是黑客，一个是杀毒软件。一个是入侵计算机系统的技术，一个是保护计算机不被入侵的技术。

计算机网络攻防技术在军事上也有一定的应用：就是通过计算机把对方网络破坏掉，从而削弱对方的信息接受，使我方处于优势。常用的有PWNABLE.KRDVWA.?Damn?VulerableWebApplication

DVWA-WooYun.PentesterLab

网络物理层最重要的攻击主要有直接攻击和间接攻击，直接攻击时指：直接对硬件进行攻击，间接攻击是指对间接的攻击物理介质，如复制或sinffer，把信息原样的传播开来

防御：物理层信息安全主要包括防止物理通路的损坏、通过物理通路窃听、对物理通路的攻击(干扰)等；?网络攻击的步骤一般可分为以下几步：

1．?收集目标的信息?

2．?寻求目标计算机的漏洞和选择合适的入侵方法??

3．?留下“后门”?

4．?清除入侵记录

攻击：黑客、病毒、木马、系统漏洞

防御：打开防火墙，杀毒软件等，关闭远程登入、漏洞的修补，不明网站不打开。攻击：网络层攻击的类型可以分：首部滥用、利用网络栈漏洞带宽饱和

IP地址欺骗、Nmap?ICMP?Ping扫描，Smurf攻击、Ddos攻击网络层过滤回应，伪造，篡改等

防御：网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听，设置防火墙；攻击：在对应用层的攻击中，大部分时通过HTTP协议(80端口)进行。恶意脚本,还有Cookie投毒 , 隐藏域修改 , 缓存溢出 , 参数篡改, ?强制浏览,已知漏洞攻击:Ddos攻击,SQL注入,CSS攻击.

防御：对应用层的防范通常比内网防范难度要更大，因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口，如web的80端口。这样，黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计，所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足，对特定应用进行有效保护。