一百三十万考验名单泄露,你怎么看?还有,请问你们平时如何处理数据库安全的?

2014-11-26 17:28:58 +08:00
 qazzaqqazzaq
http://www.wooyun.org/bugs/wooyun-2014-084759
6754 次点击
所在节点    问与答
41 条回复
dangge
2014-11-26 17:31:09 +08:00
我想起了昨天午夜俱乐部里的一个回复。。。。
qazzaqqazzaq
2014-11-26 17:32:20 +08:00
@dangge 怎么说?
ziju
2014-11-26 17:49:55 +08:00
呵呵 还好不是考题系统
qazzaqqazzaq
2014-11-26 18:29:08 +08:00
@ziju 你可知道人家在微博评论说快爆更多的库,这样连考试准备都不用,直接花钱买!!你可知道!
princeofwales
2014-11-26 19:10:07 +08:00
从外向内渗透的,还是先处理好应用和网络的安全吧
yxjxx
2014-11-26 19:16:47 +08:00
当时报名的时候我就想TMD 这垃圾网站会不会把我的信息弄泄漏了,有没有办法填假的,最近一段时间每天收到好多卖答案的骚扰电话,简直羊驼。
qazzaqqazzaq
2014-11-26 19:20:56 +08:00
@princeofwales 表示我同学花了不到一个月的时间学了黑客技术,然后把校园网脱裤了,就差服务器的管理员密码。我靠,他才入门不到一个月!! 不过也应了你说的,是学校的网络安全太渣了。ARP欺骗就可以拿到别人的校园网账号。
qazzaqqazzaq
2014-11-26 19:21:37 +08:00
@yxjxx 作为用户,哎~~
tumutanzi
2014-11-26 19:33:31 +08:00
考验名单是什么?拼音打字啊。
txlty
2014-11-26 19:37:08 +08:00
1.总会有0day被挖出并卖到黑市。(常识)
2.互联网基础设施存在漏洞。(例:城域网cache投毒攻击)
3.互联网基础通信协议普遍存在安全缺陷。(例:smtp伪造发信人、ip欺骗、dns投毒)
4.数据是死的,但人是活的。总会有人接触到你的数据。甚至包括服务提供方以外的人。如果网站运行在虚拟主机、VPS或各种云上,母平台的人就可以轻松看到你所有数据。那独立服务器呢,在很多时候,会被有关部门要求提供最高权限密码。
5.即便能接触数据的人不会卖掉你的数据,他也有可能被黑客社工钓鱼。
所以任何网站都有被入侵和数据泄露的可能。
你要做的,就是别对网络安全和隐私保护抱有社么希望。
qazzaqqazzaq
2014-11-26 19:40:56 +08:00
@tumutanzi 不好意思。考研名单。确实是拼音打字。
qazzaqqazzaq
2014-11-26 19:42:56 +08:00
@txlty 再也不抱希望了,因为学的是数据库的,所以,总是希望能有比较完善的华南来保护数据,但是,确实,人是最大的变数。
txlty
2014-11-26 19:45:22 +08:00
@qazzaqqazzaq 2010年左右,我在某大型网吧通宵上网时。无聊扫了一下局域网共享,发现一台主机的共享开着。打开一看,里面有一堆word、excel文档。其中一个是3万多网吧会员的资料。包括详细的身份证号、手机、姓名、出生日期 等。还有网管信息登记表,和一些网吧安全检查文件等。
SentoIsuzu
2014-11-26 19:49:53 +08:00
其实,谁不是裸奔呢。唉。
pH
2014-11-26 22:06:01 +08:00
我他么一天收到几十条
Jafee
2014-11-26 22:36:17 +08:00
数据库文件没有流到网上吧?
qazzaqqazzaq
2014-11-26 22:37:39 +08:00
@pH 节哀。

@SentoIsuzu 至少不要太猖狂。没有面面俱到的安全,但是,有关的管理者、建设者应该多考虑到安全的问题吧。

@txlty 有些管理者,可能都只是让人装个管理系统就了事。
churchmice
2014-11-26 22:41:43 +08:00
@qazzaqqazzaq 局域网直接网络抓包即可,为毛要ARP欺骗
qazzaqqazzaq
2014-11-26 22:42:39 +08:00
@Jafee 圈子内的开价在买了,非独家的一条一毛。反正今年的考研人员又要受到一些骚扰了。

还有啊,这数据库的潜在价值更大。研究生呐,社会的一批教育程度较高的人,大多数还是五七年后社会的中坚,谁知道这些资源又能有什么用处。
qazzaqqazzaq
2014-11-26 22:43:44 +08:00
@churchmice 没办法直接抓。校园网的跟单个路由的局域网还是不一样。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/149478

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX