tombkeeper
2018-01-18 17:18
延续上次的话题(🔗网页链接),如果网盘使用了脆弱的 HASH 算法,且信任客户端上报的 HASH,未在云端进行二次校验,就可能存在这样一种攻击方式:在某软件面世后,第一时间生成和某软件 HASH 碰撞的恶意软件,上传到网盘。这样,所有之后向网盘传该文件的用户都会被“秒传”得到恶意软件。
tombkeeper
2016-02-20 17:45
孔子说:“吾尝终日不食,终夜不寝,以思,无益,不如学也”。荀子说:“吾尝终日而思矣,不如须臾之所学也”。杨绛曾对一个给她写信的年轻人说:“你的问题主要在于读书不多而想得太多”。民科中一部分是需要氯氮平,还有一部分主要就是这个问题。
tombkeeper
2018-09-25 16:29
我其实更希望有一个“被拉黑日志”的功能。把在哪条微博下发了什么评论而被拉黑的情况集中记录到一个页面里,页面内容本人无法删除,页面入口放在微博主页上。
![[摊手]](https://h5.sinaimg.cn/m/emoticon/icon/default/d_tanshou-fa05d4eacf.png){kind=icon}
tombkeeper
2016-05-28 22:16
这不矛盾。万古霉素是抗革兰阳性菌的最后一道防线,多粘菌素是抗革兰阴性菌的最后一道防线。 //@holly_lee: 同问 //@贝塔内酰胺小王子:最后一道防线不是万古霉素咩。。。
人民日报
2016-05-28 19:45
【注意!美国现“无敌细菌”,所有抗生素无效】近日,美国一49岁女性因尿路感染就医,被发现“无敌细菌”,对所有抗生素耐药,包括被视为“最后一道防线”的粘菌素。美国微生物学家警告:可能会迅速传播。据悉,滥用抗生素是导致细菌耐药性增强的主因。🔗美国现“无敌细菌” 所有抗生素无效别再滥用抗生素↓↓扩散!
tombkeeper
2019-10-20 14:16
【现在网站越来越难渗透了,渗透测试这个方向还有前途吗?】
『大家有没有发现,现在网站防御越来越高,漏洞也越来越少,安全在进步,网站也难渗透了,一些老牌工具很难扫出注入点了,如果弄不到后台其他的也做不了。现在的工具都是2010年前的了,现在教程也不多,以前的教程内容已经越来越不适合现在的网络了。现在也没有网站能给新手练手了。』
为什么用网上下载的工具很难扫描出安全问题了?因为你能下载别人也能下载。企业的安全部门里但凡只要有一个会用这些工具的人,就能自己把这些问题找出来,剩不到你手上。
十年前,很多企业的安全做的还很差,甚至没有网络安全部门,所以下载个工具扫一扫还能发现不少问题。现在一方面是企业自身安全能力提高了,另一方面网站开发者的安全能力也提高了。所以如果你只会用十年前的工具扫一扫,在今天自然会觉得很吃力。
然而,二十年前,随便找个工具扫一扫还可以发现很多远程管理弱口令、远程溢出漏洞。那么二十年前那些搞渗透测试的,在发现这些扫出来直接就能拿 root shell 的漏洞逐渐消失后是不是也很绝望?不是的。他们开始研究注入,研究 XSS,研究 CSRF,研究反序列化。所以他们才写出了你现在从网上下载的那些工具。
二进制安全也一样。二十年前的漏洞挖掘和利用都无比简单。二十年来,漏洞越来越难发现,越来越难利用。但二进制安全这个技术方向消失了吗?不但没有,而且发展越来越好。
对出身于普通家庭的人来说,工作有难度有门槛是好事。如果一个工作不难,那通常也不挣钱。如果又不难又还能挣钱,那人家为什么要让你来做的呢?找自己的堂侄表弟小舅子不好吗?
2019-10-20
🔗网页链接