继昨天CSDN多达600余万用户资料外泄之后，有网友爆料多玩网也有800万用户资料被泄露。目前该文件已经在网上流传，大量用户正在下载。

　　2011年12月21日，黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄，成为中国互联网历史上一次具有深远意义的网络安全事故。

　　由于Google的Gmail账户经常遭到恶意攻击，甚至出现美国政府高级官员帐号被攻击的情况，Google在早先推出过一个更安全的登录Google账户的方式：两步验证，目前该功能已经向全球用户开放。

　　今天我外出旅游，回来后发现我腾讯微博和QQ信箱被黑，据称是前些天被我在腾讯微博抨击的那些所谓的“黑客”所遭到的报复，不过这个报复却恰好验证了我早先论断的正确性。

　　互联网和传说中的江湖差不多，有门派纷争，有勾心斗角，有三教九流，也少不了东邪西毒。互联网上危险的地方很多，有些是你毫无察觉的常用服务，有些则是你曾信赖有加的搜索引擎，有些则完全是你自我暴露的。

　　由于笔记本电脑的普及，越来越多的用户发现个人电脑信息安全的重要性，当你的电脑被盗、被抢、被黑，或者因为不可抗拒力被他人获得，如何才能保证自己电脑信息的损失最小化，并且自己的秘密信息不被他人所获得，这值得所有的笔记本电脑用户关注，“艳照门”事件给普通的个人电脑使用者敲响了警钟：谁没有一些重要的资料？谁没有一些只属于自己的“秘密”？从担忧甚至会产生一些“恐惧”，谁也不知道什么时候又会什么不可预期的事件发生在自己身上，因此，针对个人电脑的安全问题，我这里总结一套安全方案，供大家参考。

　　最近，Google针对Gmail被攻击事件，全面默认启用了始终以https访问Gmail的方式了。但是，对于可以动用整个国家力量的黑客来说，从网络通讯数据中（在此不讨论对用户电脑种木马破解https的情况，只讨论在网络通讯数据中破解https的方法）破解https除了暴力破解（暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等）之外真的别无他法了吗？事实并非如此。

　　我们知道，IDS（入侵检测系统）的主动响应系统“阻止会话”的机制是：IDS将会向通信的两端（服务器端和客户端）各发送三个TCP RESET包，此时通信双方的堆栈将会把这个RESET包解释为另一端的回应，然后停止整个通信过程，释放缓冲区并撤销所有TCP状态信息，从而实现主动切断连接的目的。

　　SSL的窃听和安全最近颇受关注，吴洪声提出了一种SSL窃听攻击的思路，主要是利用了CA签发证书的一个重大缺陷：只验证目标网站的域名信箱即可签发该网站的证书，因此，只要搞到目标网站的一个信箱，就可以窃取到这个域名的SSL证书。

　　据微软官方网站公告，微软公司28日宣布，其新版杀毒软件Microsoft Security Essentials自明天起可以免费下载。

　　随着IC卡从简单的同步卡发展到异步卡，从简单的EPROM卡发展到内带微处理器的智能卡(又称CPU卡)，对IC卡的各种要求越来越高。而卡本身所需要的各种管理工作也越来越复杂，因此就迫切地需要有一种工具来解决这一矛盾，而内部带有微处理器的智能卡的出现，使得这种工具的实现变成了现实。人们利用它内部的微处理器芯片，开发了应用于智能卡内部的各种各样的操作系统。COS的出现不仅大大地改善了智能卡的交互界面，使智能卡的管理变得容易；而且，更为重要的是使智能卡本身向着个人计算机化的方向迈出了一大步，为智能卡的发展开拓了极为广阔的前景。

　　看到一条新闻《刑法修正后首例木马案公诉：3个月牟利3000万》，感慨万千，我以前就曾经提到过黑客产业链的问题，没想到现在竟然发展到这么大的规模。

　　今天思科的几个网络安全专家讲解到我们公司讲解了一下我们购买的思科安全产品ASA、IPS、MARS的功能、介绍以及成功应用的案例及部署情况。这三套设备的管理都是基于Web的直观端到端管理，易用性较好。

　　在上一节《十个常用破解网络密码的方法》里，笔者谈到了个人网络密码安全的重要性，大部分用户密码被盗多是因为缺少网络安全保护意识以及自我保护意识，以致被黑客盗取引起经济损失。

　　个人网络密码安全是整个网络安全的一个重要环节，如果个人密码遭到黑客破解，将引起非常严重的后果，例如网络银行的存款被转账盗用，网络游戏内的装备或者财产被盗，QQ币被盗用等等，增强网民的网络安全意识是网络普及进程的一个重要环节，因此，在网民采取安全措施保护自己的网络密码之前，有必要了解一下流行的网络密码的破解方法，方能对症下药，以下是我总结的十个主要的网络密码破解方法。

　　周五，上海柏安咨询给我们培训安全方面的课程，其间他们讲了一个防止U盘中病毒的小技巧，挺有意思的。

　　我先前曾经介绍过奇虎推出的360免费ARP防火墙，界面虽然简陋，但是我在服务器上使用了这几个月来，感觉还可以。今天发现金山也出了一个ARP防火墙产品，于是也下载下来使用了一下。

　　今天使用Google搜索的时候，发现CNBETA的网站内容全部都被加上“该网站可能含有恶意软件，有可能会危害您的电脑。”的字样，点击进去后提示“警告- 访问该网站可能会损害您的计算机”，可以说直接从Google进入CNBETA的可能性几乎没有了。

　　相信个人电脑上网的安全问题困扰着每一个上网用户，安全的写博客防止自己惹上意想不到的麻烦也困扰着博客作者，那么，怎样才能保证我们自身的安全并免受外部攻击呢，这里我以自身的经验讲述十点安全技巧，希望大家能补充并探讨。

　　奇虎360在十一的时候推出了一个完全免费的ARP防火墙产品，是奇虎360推出的系列安全小工具之一，专门针对局域网内ARP攻击进行拦截，可以有效阻止ARP攻击，并且完全免费。而去年推出的“360安全卫士”我至今使用的都不错，现在360又出了这个免费ARP防火墙，对于这种热门的网站安全产品不牟利而免费提供，令人对不得不对周鸿祎的360安全卫士另眼相看了。

　　这些天我的服务器几乎天天都被人ARP欺骗攻击，网页被挂木马，实在烦死了，深圳的龙岗电信机房实在是够恶心的，不得已，我只好寻找一些防范ARP攻击的方法，目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。

　　最近一段时间，一些国外媒体不断报道，德国、美国、英国、法国政府部门的网站接连受到黑客攻击，而多个外国媒体的报道认定黑客“来自中国”，甚至“中国军方”。对此，中国外交部发言人予以坚决否认。

　　京华时报上报道了一则很有意思的新闻，说某网络安全公司，为了推销其防火墙产品，竟然对一些网络游戏公司的网站发动DDOS攻击，然后向被攻击公司销售自己的防火墙设备，上演了一场贼喊捉贼的闹剧，最终被公安机关绳之以法。

　　我们经常会碰到个人博客被黑客入侵并挂木马的事情，我以前曾经介绍过“服务器的安全配置技巧总结”，但是没有具体结合某个博客程序讲解，今天，我这里就介绍一下在Z-Blog 1.7的系统以及主机可配置的条件下（托管、租用或者合租主机）的系统安全设置。让黑客的入侵变得不那么容易。

　　昨天的服务器被黑的事件中，我自己也是有一些责任，因为平时懒得对服务器安全进行设置，有些设置其实几分钟就可以设置完成，可就是懒惰，结果万一服务器被恶意破坏，就需要花费更多的时间恢复数据，因此服务器安全设置早期打好基础，危难时期就会减少很多无谓的损失。

　　上周五深夜，Google、MSN这2家在万网注册的.cn域名被人恶意劫持到万网的买麦网。

　　今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

　　家里的电脑中了一个很奇怪的病毒。

　　这篇文章是我十年前写的第二篇在杂志上发表的文章。发表在微电脑世界1997年的第三期上。

　　人们刚开始使用密码没多久，就有人发现很多人一再使用完全相同的密码，即使是拼错的密码也惊人地一致。事实上，正因为人们对密码的设置可以被猜测出来，所以大部分黑客都会用到下面的常用密码表。从下列500个最常用的密码中，你可以洞悉安全意识薄弱的人有多么危险。如果你在这个表中看到了自己常用的密码，赶紧换掉吧。要知道，下面列出的每个密码都至少被成百上千的其他人使用过。

　　虽然前一阵服务器被人攻击，但是我也得到了很多经验教训。配置服务器为hisecweb模板后，可以抵抗一般规模的DDOS攻击了。服务器CPU通常只有5％的使用率。但是被攻击时候会增高到30％上下。

　　本文档列举出一些建议和最佳做法，以保证 Web 上运行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。

　　Win2000操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现“地面部分”－Win2000操作系统和“空中部分”－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的空中部分－IIS进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。

　　我的网站好像被什么人盯上了，老是有人在算计我的网站，对于我这样一个网络技术性质的网站穷追不舍，他们想干什么啊？

　　因为IIS（即Internet Information Server）的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

　　自从搞ASP+ACCESS没少为避免数据库下载而伤过神，网上的奇淫技巧更是数不胜数，本文就是同大家共同探讨各路前辈的留下的秘笈并指中其中的优劣，最后为大家提供一种最佳的解决方案。

　　通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

仅仅代表我的观点.不怕见笑.有问题请大家指教!我想如果你是牛人,那这个已经不是值得你看的内容,只是觉得对与很多刚入门的ASP程序员来说还是有点实际意义,所以不怕被大家笑话,写了贴在这里!

众所周知，FileSystemObject组件的强大功能及破坏性是它屡屡被免费主页提供商(那些支持ASP)的禁用的原因，我整理了一下，本来只找到两种方法，后来被某人一刺激，硬是想到第三种不为人所知的方法，呵呵，也不知道是不是这样的。

　　随着ASP技术的发展，网络上基于ASP技术开发的网站越来越多，对ASP技术的支持可以说已经是Windows系统IIS服务器的一项基本功能。但是基于ASP技术的木马后门，也越来越多，而且功能也越来越强大。由于ASP它本身是服务器提供的一贡服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为"永远不会被查杀的后门"。由于其高度的隐蔽性和难查杀性，对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除，为我们的网管人员提出了更高的技术要求。下面我结合个人的经验，谈一下对比较典型的ASP 木马的防范方法，希望对大家能够有所帮助。

　　看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。

　　在入门篇，我们学会了SQL注入的判断方法，但真正要拿到网站的保密内容，是远远不够的。接下来，我们就继续学习如何从数据库中获取想要获得的内容，首先，我们先看看SQL注入的一般步骤：