12月25日，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。据悉，此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此，中国铁路客户服务中心回应称，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

当天，乌云平台继续发布消息称，12306的数据疑似黑客撞库后整理得到，而并非12306直接泄漏。那么什么是“黑客撞库”？我们一起来看看。

撞库：黑客通过收集互联网已泄露的用户+密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列密码组合后可以登录的用户。

黑客首先会通过收集互联网已泄露的用户+密码信息，生成对应的字典表，然后再用字典中罗列的用户和密码，尝试批量登陆其他网站。如果用户图省事在多个网站设置了同样的用户名和密码，黑客很容易就会通过字典中已有的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等。

之前某电商网站发生的“抹黑”事件，就是黑客利用“撞库”方法，“凑巧”获取到了该电商网站用户的数据(如用户名密码)，然后通过模仿用户评论，留下了大量差评。

有安全人士分析了此次12306的用户信息泄露时间，推断基本可以定性为撞库行为。理由如下：

1、随机抽取了一批账号(约50个)均成功登录12306，证明了该批数据是准确的；
2、随机联系了该批数据中的多个qq用户，均反馈没有使用过抢票软件且近期没有购票行为；
3、经与群中人员进行交流，并未有人见过该批18G的全部数据，普遍认为该批数据为撞库所得，并不存在18G的12306全部数据。
4、安全人员搜索以往互联网上的数据进行了匹配，从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据，基本可以确认该批数据全部是通过撞库获得。”

黑客团队从地下产业链收购海量用户名及密码数据，在12306、淘宝、京东等不同网站进行撞库匹配，而大部分网民在各大互联网平台采用同一套用户名密码，这会让黑客存在可乘之机。

有安全领域人士分析称，12306此次信息泄露依然和安全体系不完善有关，如果这次撞库发生在需要二次验证登录的系统中则不可能成功。

拖库：和撞库类似，拖库也是一个黑客术语，它指的是黑客入侵有价值的网站，把注册用户的资料数据库全部盗走的行为，因为谐音，所以也常被称作“脱裤”。之前发生的某手机品牌用户信息大量泄露事件，就是拖裤行为的一个典型案例。在该事件中，用户名和密码大量泄露，黑客反过利用这些用户名和密码，登录该品牌服务器，获得了极其详细的用户资料，其中包括用户的手机号、邮箱甚至通讯录等。

洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链，将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如：售卖用户账号中的虚拟货币、游戏账号、装备等变现，也就是俗称的“盗号”；对于金融类账号，比如：支付宝、网银、信用卡、股票的账号和密码等，用来进行金融犯罪和诈骗；对于一些比较特殊的用户信息如：学生、打工者、老板等，则会通过发送广告、垃圾短信、电商营销等方式变相获利；另外是将有价值的用户信息直接出售给第三方，如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。

这里再次特别提醒用户，一定提高警惕，保护自己的帐户密码安全，尽量不要在多个网站或者客户端中使用相同的用户名和密码，并且不定时更换密码。参阅《江湖险恶 如何设置安全又方便的个人密码》

 不可否认，我们的生活已经被密码层层包围：打开锁屏手机，需要输入密码；打开电脑，需要输入密码；上QQ微信聊天，需要输入密码；登录微博论坛购物网站，需要输入密码；使用银行卡支付宝等等，更要需要输入密码……每个人都有自己的一套密码，密码后面就是我们的重要信息、隐私以及财产，其重要性不言而喻，个人密码的安全性和被破译难度将直接影响到用户的数据与信息安全。因此，为自己的各个账户设置一组难以破解的密码是构筑个人信息安全最重要一步。但如果密码过于复杂，连密码主人也难以记住，是不是又有点反人类？本文就来聊聊设置密码的注意事项以及如何设置既安全又方便的个人密码。

背景知识：弱密码与强密码

弱密码：指短密码、常见密码、默认密码等以及能被穷举法通过排列组合破解的密码，这些密码因为过于简单和常见，很容易被被快速破译。常见弱密码如下，大家看看有没有懒人还在用这些白痴密码呢？
太简单的密码：admin、abc123、password、aaaa
由于文化因素常用：888888、666666
常用键盘的键排列：asdf、qwerty

强密码：长度足够长、排列随机、使用大小写字母以及数字和特殊符号组成，不容易被穷举等破解算法破译的密码。下面我们列出一些强密码的示例（注：这些密码因为公布出来为众人所知，不再算做是强密码，仅作为形式参考。）
t3wahSetyeT4 -- 不是字典的单词，既有数字也有字母
4pRte!ai@3 -- 不是字典的单词，除大小写字母、数字外还有标点
MoOoOfIn245679 -- 长，既有数字也有字母
Convert_100£ to Euros! -- 足够长，并且有扩展符号增加强度
Tpftcits4Utg! -- 一串随机的各种元素的混合
akd,H‰‘U‘（#t*’№&*§÷×’u -- 含键盘上没有的字符

密码设置雷区：千万不要这样做

不要设定密码为带有生日、电话号码、QQ或邮箱等与个人信息有明显联系的数据，也不要采用字典中的单词，原因很简单，这些都属于弱密码。

不要在多个场合使用同一个密码：为不同应用场合设置不同密码，特别是有关财务的网银及网购账户，避免一个帐户密码被盗，其它帐户密码也被轻易破解。

不要长期使用固定密码：定期或者不定期修改密码，安全更有保障。

不要将密码设置得过短：密码越长，破解的时间也越长。如果不想让黑客在24小时内能破解你的密码，密码长度应该超过14个字符。

密码设置技巧：先设置基础密码，然后用统一规则叠加组合成不同强密码

首先选取一个基础密码，然后根据不同的应用场合，再按照自己设置的简单规则叠加组合一些其他元素。

基础密码+网站名称的前两辅音字母+网站名称的前两个元音字母：比如基础密码是“yesky”，那么要登录Yahoo时密码就是yeskyYHAO，登陆eBay时就是yeskyBYEA。

自己喜欢的单词＋喜欢的数字排列＋网站名称的前三个字母或者后三个字母。这样，淘宝（Taobao)登录密码可以是Flower100TAO或者是Gold520Bao。

选定基础密码之后，键入时将手指在键盘上向某一个方向偏移一些位置。比如基础密码是“cat“，我们输入时将手指向左上方偏移一个键位，就变成了”dq5“。

注意：好的密码长度应该超过8个字符，同时包含大写字母、小写字母、数字以及特殊字符。

下面提供一些选择基础密码的小技巧供大家参考：

某句短语或是某首歌曲副歌的首字母。比如你很喜欢The Jackson 5的那首成名曲 I Want You Back，就可以用“IWUB”。或者PPtt13Mod，DKstFre1st对应的“娉娉婷婷十三余，豆蔻梢头二月初”。

用键盘上比较靠近的按键组合，比如说“yui”或是“zxcv”。

用自己家人或者朋友名字的首字母以及特殊的纪念日，比如“TFB0602”。

其他密码设置怪招

胡乱敲击键盘：对于敏感账户，有专家建议随机乱敲键盘，并间或敲击Shift键，然后将结果复制到一个文本，存入一个有密码保护的U盘。

安全问题答非所问：网站的验证问题经常问道“你最喜欢什么食物？”“你毕业于什么学校？”，这些问题的答案局限性太大，很容易搜索出答案。比较安全的做法是密码提示和问题无关。比如安全问题是“你喜欢什么歌曲？”，你的回答可以是你宠物店名字等等。

密码生成器：如果还是不想自己设置，网络上有很多在线密码生成器，可以根据一些算法，根据基础密码和网站地址来生成不同的密码。不过如何保存这些密码，也是需要注意的问题。现在有一些个人资料管理工具如Keepass、LastPass、1Password等，可以集中将个人数据、加密密码进行保存，并且通过基于图像或个人手势的方式进行解锁。

现在很多网站也设置了双重认证等机制，增加额外密码安全保护，并且要求验证两个独立的方式，通常情况下是密码和短信验证码的组合。结合上面介绍的一些方法和技巧，希望大家的“密码生活”更加轻松安全。

 不知道大家对蜜罐了解多少，服务器上的蜜罐或许很多人都知道的，WiFi蜜罐你知道多少呢？

今天就小记一下自己搭建WiFi蜜罐的一些过程和心得体会。-----寒假闭关修炼 ^_^ 更新少，但是我会把他们呢记录在doc里，

出关之时，分享给大家的。嘿嘿，下面就开始正文(所有用到的工具在后面贴出来了，此处应有掌声！)：

目的：捕获某APP的网络数据

5. 将手机设置代{过}{滤}理为fiddler机器的ip，端口为8888。

这里使用吾爱破解的客户端APP做了测试，连接此免费WIFI蜜罐后，顺利抓到需要的东西。

 只要APP使用明文传输数据，在WIFI蜜罐下均可能泄露重要信息，有人可能会说使用HTTPS传输就安全，下面将演示由于编码不规范造成的HTTPS在WIFI蜜罐下也可能被嗅探。

这段代码已经很清晰的暴露了问题。

  选择ARP

选择欺骗对象，左边选中网关，右边选择欺骗对象（也就是搭建WIFI蜜罐的机器）。

 选择HTTPS，输入需要嗅探的HTTPS IP，下载证书，然后进行欺骗。环境已经OK，然后坐等数据吧。Cain很人性化的将HTTPS请求与返回数据都捕获到了。

   从 刚开始不知道如何捕获移动端网络数据包，到最后完成一次完整的HTTP以及HTTPS数据包也是花了大概一周时间，期间遇见了不少的坑，当然也在 windows以及linux做了多次尝试，最后发现windows上面是最适合我的。现在移动端APP编码规范称次不齐，笔者已经在多款APP发现有这 些问题，在这里也提醒大家不要去连接未知的WIFI，即使写明了密码，如果实在需要连接也不要使用密码操作等敏感行为。

Tools_tcpdump_cain_fiddler_wireshark_download  

密钥：wvt4EtZ37iKwO0iS7IJ41c6lhimc7IpxPjlSAKzstR0

在此提醒大家，免费的未知WiFi，一定要小心啊！ 大家可以跟着步骤走，练习一下。请勿用于非法用途！

[该文章已加密，请点击标题输入密码访问]

据第三方漏洞报告平台乌云网曝出，12306网站现用户数据泄露漏洞，大量12306用户敏感数据在互联网疯传，其中包括用户帐号、明文密码、身份证、邮箱等数据，目前泄漏途径未知。该漏洞已经提交给了国家互联网应急中心进行处理，

而今天中午12306官方网站已经第一时间在网上回复了这条消息。据官网回应，用户信息系经其他网站或渠道流出，非官方网站流出，目前公安机关已经介入调查。

以下为12306公告全文：

关于提醒广大旅客使用官方网站购票的公告

针对互联网上出现“网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。

同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。

中国铁路客户服务中心

2014年12月25日 

  博主已经修改密码了..你们也速度修改吧

免责声明

本应用开发初衷仅为了学习，未经他人允许，对他人局域网进行的破坏，干扰等行为与本人无关。

功能概述

数据嗅探，可抓去局域网内部主机与外界通信数据
会话劫持，对局域网中的主机通过实施ARP欺骗，进行cookie欺骗，从而达到劫持会话的效果
简单web服务器功能，结合下面功能实施钓鱼欺骗
URL重定向，实现DNS欺骗功能。配合上面web服务器功能，可进行钓鱼欺骗功能待（待完成）
WiFi终结，中断局域网内主机与外界通信（待完成）
代码注入，通过数据截取，对远程主机返回的数据进行篡改，实现代码注入的效果（待完成）

截图预览：

安装前提

• 安卓手机2.3及以上，必须root

  
  




• 已安装busybox

后话

虽然该应用功能单一，但是毕竟是自己慢慢写出来的，我还是会继续更新下去的，如果有想法，或者想学习的同学都欢迎和我交流，或者直接贡献代码 https://github.com/ssun125/Lanmitm 

作者博客：http://oinux.com

apk下载： 百度网盘下载 

自从黑客组织GOP入侵索尼影视之后，就在连续不断的制造威胁，包括泄露未上映电影、员工私人信息等。现在GOP的黑客们又开始向索尼影视的员工发送威胁邮件。

黑客们对索尼影视公司的入侵已经对该公司和其员工造成了巨大的影响。黑客组织GOP（Guardians of Peace的缩写）入侵了索尼影视，窃取了大量的公司数据，包括职员的PII、内部电话号码、设计蓝图等。攻击者可以利用这些数据继续进一步的攻击，因此其可能造成的损失和影响无法预测。

在遭到攻击之后，索尼影视立即对其做出了反应，关闭了公司的内网以清除被感染的机器，同时还要求员工不要访问公司的邮件和VPN。攻击者从索尼影视窃取了大量的敏感数据，并于上周泄露了大量的名人（包括动作明星史泰龙）、自由职业者和员工的美国社保号。

在事件发生的一周以后，攻击者在网上泄露了索尼影视未上映的5部新电影：

《Annie》、《Still Alice》、《Fury（狂怒）》、《Mr. Turner》、《To Write Love on Her Arms》。

谁在威胁索尼员工？

这两天，索尼影视公司的员工又收到了一封来自GOP组织的威胁邮件。部分邮件内容如下：

如果你不想受到伤害的话，就请在下面电子邮件的地址上签名反对该虚假公司。如果你不签，你和你的家人都将会有危险。

他们还要求员工在收到邮件之后将手机关机，索尼公司已经援求执法机构介入调查。但趋势科技的专家们称现在唯一能够确定的是攻击者入侵索尼网络使用的是格盘病毒，其余还在调查中。相信索尼影视公司现在应该已经是人心惶惶了。

威胁邮件内容

入侵索尼影视只是我们所有活动中很微不足道的一次小活动，我们的组织遍布全世界。如果你单纯的认为这一事件不久就会结束的话，

那你就大错特错了，我们会让你大跌眼镜。

这件事的起因是索尼影视，索尼影视应该对事件的结果负全责。索尼影视想摆脱我们的控制是不可能的，

它现在做的都是无用功（找来FBI调查、火眼专家的调查等）。

另外，你身边的同事或者朋友可能就是我们的一员哦！
如果你不想受到伤害的话，就请你在下面邮件地址上签名反对该虚假公司。如果你不签，你和你的家人都将会有危险。

没有人可以阻止我们的行动，如果你想阻止我们，唯一的方法就是按照我们的指示做事。

mrxn.net----翻译分享----安全专家卡斯滕Nohl和Jakob Lell演示了如何重新编程和使用任何USB设备感染计算机用户不知情的情况下。

在的黑帽安全会议上发表讲话,并在随后英国广播公司(BBC)采访时,两人有了问题对未来的USB设备的安全。

作为演示的一部分,一个正常的智能手机连接一台笔记本电脑,也许一个朋友或同事可能会问你做的事情,这样他们就可以充电设备。但智能手机修改网卡和不是一个USB媒体设备。结果是,手机上的恶意软件能够从合法网站流量重定向到影子服务器,假的和真正的网站的外观和感觉,但实际上是设计只是为了偷登录凭证。

根据一项博客条目发布的这一对,USB的多才多艺也是它的弱点。“因为不同设备类可以插进连接器相同,一种类型的设备可以变成一个更有能力或恶意的类型没有用户注意,”研究人员写道。

那些对安全研究实验室工作的专家,在德国,在黑帽会议上了“BadUSB——把邪恶的配件。“每一个USB设备有一个微控制器,对用户不可见。它负责与主机设备(如个人电脑)和与实际的硬件。这些微控制器的固件是不同的在每一个USB设备,每个设备上的微控制器软件是不同的。网络摄像头、键盘、网络接口、智能手机和闪存所有执行不同的任务和相应的软件开发。

然而,团队管理的反向工程,不同设备的固件在不到两个月。因此他们可以re-program设备和让他们充当他们没有的东西。

在黑帽,一个标准的USB驱动器是插入到计算机。恶意代码植入棍骗电脑思考一个键盘被插入。假键盘开始键入命令,迫使计算机从互联网下载恶意软件。

防御这种类型的攻击包括微控制器固件更新的策略如代码签名或固件的禁用硬件的变化。然而,这些都必须实现的USB设备制造和不是最终用户可以执行。

你可以在这里下载幻灯片的演示:https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf 

吸烟不仅伤身，还伤电脑……近日，一款中国制造的电子香烟被曝出其通过USB充电时，会自动在用户计算机上安装恶意软件。

公司高管计算机被黑

最近一名网友在Reddit社会新闻网站上发布了帖子，详细介绍了某大型公司高管的计算机是如何感染不明来源的恶意软件（恶意软件一般包括木马、病毒等）。而通过进一步的调查发现：恶意软件的来源居然是他在网上花了5美元买来的电子香烟！

值得一提的是，这位高管的电脑并不是“裸奔”：系统不仅已经安装了补丁更新，而且还安装了杀毒软件和反恶意程序软件。最初IT技术人员用尽了各种传统方法都没有找出感染恶意软件的源头，于是IT技术人员开始尝试从其他的方面进行调查：

IT人员：你最近在生活上有没有发现什么可疑之处？
高管：没啥，不过我最近在戒烟，从网上买了一根电子烟代替真正的香烟。

凶手就是电子香烟

经调查发现，恶意软件代码被写入了电子香烟的充电器里。当把电子烟插入电脑USB接口充电时，恶意软件会通过网络自动与指令与控制服务器（C&C）通讯，然后感染用户计算机。

ID管理公司Bit4Id的信息安全主管Pierluigi Paganini说，电子烟是传播恶意软件的最新载体。

猥琐又奇葩的攻击方式

攻击者可以利用任何可以利用的设备感染处于低防护的网络。尽管这种攻击看起来猥琐又奇葩，但不可否认的是，确实有很多的电子香烟都是通过USB进行充电的（有的使用特殊的连接线，有的直接插入USB接口），这给了攻击者可乘之机。

虽然我们现在没有足够的证据来证明这一消息的可信度，但是我们认为这种攻击还是有可能的。类似用USB设备传播恶意软件的例子在过去就发生过，比如有的攻击者会用电池充电器感染笔记本电脑和移动设备，还有刚刚发生不久的Badusb事件

据英国卫报建议：要想规避这种风险，最好买可信赖厂商的USB充电设备，如Aspire，KangerTech和Innokin，不要购买中国的电子设备（又黑我大天朝！）