信息安全杂谈

1. 信息安全杂谈 XLab云朋

2. 目录 1 已经麻木的密码安全 2 安全的邮箱？—我们把自己交给了谁！ 3 防不胜防的帐号被盗 4 如果你这样了，让我们如何抵御！ 5 攻击，往往不可想象的简单！

3. 郑重声明：所有出现的产品名称、网站样式、应用场景，只作为示例，并不带表产品本身真的存在问题，如有雷同纯属巧合。郑重声明：所有出现的产品名称、网站样式、应用场景，只作为示例，并不带表产品本身真的存在问题，如有雷同纯属巧合。

4. 个人介绍 云朋， 国家互联网网络应急专家委员会委员，华为XLab安全攻防实验室负责人，2000年涉足信息安全行业，杂家，泛工作于主机安全、网站安全、内网信息安全、IT架构安全方面，对木马，后门，僵尸，蠕虫有一定研究。

5. 已经麻木的密码安全 600万高价值的密码（去掉单重复字符和数字、短于6位的纯字符和数字），至少生成有效彩虹表4000万。 关于密码的安全性，经过调查及验证，发现的有趣现象：如果我们发现自己的密码被盗了，我们会如何再次定义我们的常用密码（以42%中字符串加数字串为例renzhi0920）： 加_“.-~：renzhi_0920, renzhi-0920,renzhi.0920, ‘renzhi0920,~renzhi0920 加空格：renzhi 0920 进行前后倒转：0920 renzhi 第一个字母变成大小：Renzhi0920 最后一个数字重复：renzhi09200 字母都变成大写：RENZHI0920 5%比较难于找到规律 46%纯数字 7%字符串 42%数字加字符串

6. 安全的邮箱？—我们把自己交给了谁？ 1 2 登录验证码对于一个进程，返回的值是统一的，爆破可能性高危！ 不清session，多长时间后用还是能打开 3 4 重验机制单纯的来自于cookie 爆破可能性高危！ 通过对本机识别，防止爆力破解，如果本地的信息能常常被改变了传回去，爆破可能性高危！

7. 防不胜防的帐号被盗 还原系统 黑产威胁、监守自盗 杀毒软件 不安全的系统架构、低廉的服务器、无意识的开发者 有密保，安全畅快游 看片，上网站，钢性需求 免杀、播放器器、事件攻击

8. 如果你这样了，让我们如何抵御！ 对传闻的分析 刷票 China 220*1000*12 = 2640000 7900*300 = 237000 1G USA 1500*300*12 = 5400000 6G 刷流量 DDos

9. 攻击，往往不可想象的简单 来自于Xlab的一个小尝试： 定点攻击？ 过免杀？ 时刻会发生在你身边的问题。

10. 疲于奔命、麻马、裸奔！ • 2000年前后，社区游戏（诺亚方舟）、地方聊天室、校内局域网（虚拟internet） • 2003：电话充值卡、游戏点卡 • 2003——：装备、游戏币、人民币 • 上网时，轮为广告主的流量宠儿 • 冷不丁硬盘猜转时，轮为可爱的肉鸡 • 娱乐时，轮为辛勤的金币制造劳动力 • . • . • .