2006-03-11 16:42:57 by: h4x0r
给初学者的提示
来源:网络
年假到了,我过几天就回家了。我的BLOG就停掉了,明年我也许不会在这上面花时间了,之所以搞这个本来是想给自己的文章弄个存放的地方,给一些很熟悉的朋友看一下。后来一些网站转载上面的文章,很高兴,就没事搞一下。
好了,废话就不说了。我就给大家随便说说国内外网络安全和所谓黑客的对比。文章肯定很散,我想到哪就写到哪。
国内的网络安全好象是最近几年兴起的,我以前也是个大菜鸟,以前的事我一无所知啊。但一谈到网络安全(不包括破解软件)好象很多人就想起黑客入侵什么的,也没办法,每个人开始学的时候都是抱着这个观点学的,水平高了不搞了,可是哪个人没入侵过呢?思想都这样了,也难怪经常会出现那些"黑客大站",你入侵他,他入侵你的。这些东西我从来没搞过,没兴趣,我比较喜欢研究。对这种东西我没资格评论,人微言轻啊。
除了这些,我想我有资格评论国内的安全网站的。国内有很多搞安全的网站,比如黑客基地,华夏联盟,黑鹰基地等。这些网站不论从访问量上还是内容更新上都是做得不错,每个站都有自己的特色。可是搞会员我觉得就。。。,不说了,会伤人。
还是说说国内几个免费站点吧。象我最佩服是安全焦点了,那真正是搞技术的,而且文章都很有新意,虽然有很多文章我也不能完全看懂,但我能感觉出那种水平,多读几遍后或多或少会有收获。
绿盟科技是个公司,漏洞更新很快,但是都是从国外转过来的,没什么意义,它的意义也就算是个漏洞库吧。哪天某个漏洞的细节忘了,可以去那找一下,也省得自己没事整理这些东西了。不过我还是习惯自己整理,印象深刻啊。还有象金山,瑞星这些公司他们那也没什么东西,大不可以不看。
国内的安全杂志呢。有黑客防线和黑客X档案,这两本书我是每期都买的,但我投搞只投给X,虽然就投了那么几篇,可能是因觉得X是我以前最爱看的。这两本杂志都很有特色,虽然我和很多人一样不喜欢上面长篇小说式的工具介绍,傻瓜黑客这些东西,可是杂志办起来还是得靠钱啊。这部分没了,销量会少很多啊。我是支持这种做法的。就象很多大学招N多自考学生一样,学校知道这会降低质量,可是怎么半呢?大家也就没必要抱怨太多了。总要让很多人成长吧?
说了说国内,再说说国外。
国外最知名的黑客站点就属
http://marc.theaimsgroup.com/
这个了,因为我上的最多,呵
呵。
其实很多国外网站都BUGtraq的,真是希望大家多看这个,虽然是纯英文的,可是上面的东西真的是经典多,垃圾少。我反正是每天早上起来就看一下有没有什么新漏洞,有就测试一下(前提是得看得懂啊)。这样搞多了自然也就对漏洞的思想很熟悉了,很多人问我是怎么找到漏洞的,其实就是一个思想。只有思想放的开,漏洞随处都是。DVSP2不是都是很安全吗?其实也不就是你和作者思想谁更敏捷的问题。象DISCUZ,PHPWIND可挖掘空间很多啊。包括被称做安全神话的PHPBB和VBB都时不时的摔交,想想国内的都是别人的改版,心理也就没那种恐惧感了。
说远了,国外的一个经典站还有
http://www.securiteam.com/
我这么认为,英文不好的朋友要好好学习一下英文啊。我以前最讨厌它了,现在硬着头皮读,好象也很习惯了。
说了半天安全站点了,就说说现在那些攻击技术。
最流行的就是SQL注入和溢出了。溢出我水平很差,就谈谈别的好了。SQL注入好象这些文章很多,可是大家没现吗?文章的思想都是一样的,就是发现个注入点,然后靠对SQL语法的熟悉程度来展开攻击,好象对SQL语法很熟的水平就很高,不熟的就得用NBSI这种工具了。这点我想说什么呢?高手不是凭空产生的,没人天生就是高手,可能有的人天分比较高。想做高手就从基础做起。你不是不懂SQL吗?学啊,为什么不学。我光MYSQL的书就读过5本,ACEESS简单一点,读过3本。SQLSERVER的基本没事就看。这也远远不够的,因为书也是人写的,写书的可能对这方面很强,但可能他连什么是SQL注入都不清楚,别笑,真有这种人。
除了看书还要去官方网站看看有没有什么技巧,书是基础,技巧才能提高啊。MS每天花那么多钱维护它的MSDN为什么不用啊?反正是免费的,象国内把一个VBS脚本搞来搞去,有必要吗?还不是外国人写个例子,然后国内的高手改进一下。要是MS不告诉WMI的细节,谁知道怎么用啊?当然高手这么作是对的,我要劝菜鸟也不要灰心。要知道高手是怎么出来的。
咳,文章怎么聊到这了。算了,写不下去了。以后有机会再写吧
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=644
年假到了,我过几天就回家了。我的BLOG就停掉了,明年我也许不会在这上面花时间了,之所以搞这个本来是想给自己的文章弄个存放的地方,给一些很熟悉的朋友看一下。后来一些网站转载上面的文章,很高兴,就没事搞一下。
好了,废话就不说了。我就给大家随便说说国内外网络安全和所谓黑客的对比。文章肯定很散,我想到哪就写到哪。
国内的网络安全好象是最近几年兴起的,我以前也是个大菜鸟,以前的事我一无所知啊。但一谈到网络安全(不包括破解软件)好象很多人就想起黑客入侵什么的,也没办法,每个人开始学的时候都是抱着这个观点学的,水平高了不搞了,可是哪个人没入侵过呢?思想都这样了,也难怪经常会出现那些"黑客大站",你入侵他,他入侵你的。这些东西我从来没搞过,没兴趣,我比较喜欢研究。对这种东西我没资格评论,人微言轻啊。
除了这些,我想我有资格评论国内的安全网站的。国内有很多搞安全的网站,比如黑客基地,华夏联盟,黑鹰基地等。这些网站不论从访问量上还是内容更新上都是做得不错,每个站都有自己的特色。可是搞会员我觉得就。。。,不说了,会伤人。
还是说说国内几个免费站点吧。象我最佩服是安全焦点了,那真正是搞技术的,而且文章都很有新意,虽然有很多文章我也不能完全看懂,但我能感觉出那种水平,多读几遍后或多或少会有收获。
绿盟科技是个公司,漏洞更新很快,但是都是从国外转过来的,没什么意义,它的意义也就算是个漏洞库吧。哪天某个漏洞的细节忘了,可以去那找一下,也省得自己没事整理这些东西了。不过我还是习惯自己整理,印象深刻啊。还有象金山,瑞星这些公司他们那也没什么东西,大不可以不看。
国内的安全杂志呢。有黑客防线和黑客X档案,这两本书我是每期都买的,但我投搞只投给X,虽然就投了那么几篇,可能是因觉得X是我以前最爱看的。这两本杂志都很有特色,虽然我和很多人一样不喜欢上面长篇小说式的工具介绍,傻瓜黑客这些东西,可是杂志办起来还是得靠钱啊。这部分没了,销量会少很多啊。我是支持这种做法的。就象很多大学招N多自考学生一样,学校知道这会降低质量,可是怎么半呢?大家也就没必要抱怨太多了。总要让很多人成长吧?
说了说国内,再说说国外。
国外最知名的黑客站点就属
http://marc.theaimsgroup.com/
这个了,因为我上的最多,呵
呵。
其实很多国外网站都BUGtraq的,真是希望大家多看这个,虽然是纯英文的,可是上面的东西真的是经典多,垃圾少。我反正是每天早上起来就看一下有没有什么新漏洞,有就测试一下(前提是得看得懂啊)。这样搞多了自然也就对漏洞的思想很熟悉了,很多人问我是怎么找到漏洞的,其实就是一个思想。只有思想放的开,漏洞随处都是。DVSP2不是都是很安全吗?其实也不就是你和作者思想谁更敏捷的问题。象DISCUZ,PHPWIND可挖掘空间很多啊。包括被称做安全神话的PHPBB和VBB都时不时的摔交,想想国内的都是别人的改版,心理也就没那种恐惧感了。
说远了,国外的一个经典站还有
http://www.securiteam.com/
我这么认为,英文不好的朋友要好好学习一下英文啊。我以前最讨厌它了,现在硬着头皮读,好象也很习惯了。
说了半天安全站点了,就说说现在那些攻击技术。
最流行的就是SQL注入和溢出了。溢出我水平很差,就谈谈别的好了。SQL注入好象这些文章很多,可是大家没现吗?文章的思想都是一样的,就是发现个注入点,然后靠对SQL语法的熟悉程度来展开攻击,好象对SQL语法很熟的水平就很高,不熟的就得用NBSI这种工具了。这点我想说什么呢?高手不是凭空产生的,没人天生就是高手,可能有的人天分比较高。想做高手就从基础做起。你不是不懂SQL吗?学啊,为什么不学。我光MYSQL的书就读过5本,ACEESS简单一点,读过3本。SQLSERVER的基本没事就看。这也远远不够的,因为书也是人写的,写书的可能对这方面很强,但可能他连什么是SQL注入都不清楚,别笑,真有这种人。
除了看书还要去官方网站看看有没有什么技巧,书是基础,技巧才能提高啊。MS每天花那么多钱维护它的MSDN为什么不用啊?反正是免费的,象国内把一个VBS脚本搞来搞去,有必要吗?还不是外国人写个例子,然后国内的高手改进一下。要是MS不告诉WMI的细节,谁知道怎么用啊?当然高手这么作是对的,我要劝菜鸟也不要灰心。要知道高手是怎么出来的。
咳,文章怎么聊到这了。算了,写不下去了。以后有机会再写吧
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=644
There is no comment on this article.
