2015年7月6日 星期一

7/6 晨摘

  • 資訊安全:
1.Sqlmap进阶用法:定制payload加速boolean-based注入 by piece of the past

sqlmap工作模式:

sqlmap启动后首先设置测试的level和risk,并识别受测试元素的类型,然后从它的配置文件xml/payloads.xml里面获取应该测试的漏洞类型、测试方法以及相应的漏洞利用方案。

在payloads.xml里面记录了两类数据:

<boundary>:用来使sql语句正确的前缀和后缀。比如前缀:"'"和后缀:"AND '[RANDSTR]'='[RANDSTR]"就可以闭合单引号,防止出错。

<test>:特定漏洞的全部信息,包括所用到的boundary,漏洞的level、risk,漏洞类型,利用的方法,检测方法等。

在测试一个参数的时候sqlmap会遍历所有符合要求的test节点,使用request节点下的payload执行漏洞扫描。

2.Akamai:1988年的路由器老舊協定漏洞被拿來進行高效率的DDoS反射式攻擊 by 陳曉莉

Akamai的安全研究團隊指出駭客利用1988年釋出的RIPv1協定漏洞,來執行反射性的分散式阻斷服務攻擊(DDoS),而且只利用了少數採用RIPv1協定的裝置就能夠讓目標網站停止運作。

RIP的全名為Routing Information Protocol,此一路由資訊協定屬於內部路由協定,可根據路徑所經過的設備數目來決定最佳路徑,基於該協定的路由設備每隔30秒就會互相更新路由資訊。

RIPv1在小型的路由網路上能夠很快速且輕易地分享路由資訊,基於RIPv1的路由設備在啟動後就會送出請求,任何收到請求的裝置皆會以路由名單回應,駭客於是利用此一等同於廣播效應的模式嵌入目標網站的IP位址。

3.互联网金融安全高级研讨会还原黑客攻击途径 by 黑吧安全网

据安恒互联网金融行业总监张开介绍,在对互联网金融网站全国抽样100个进行安全检测时发现,其中存在高危漏洞的占53%,6%的网站可以getshell,47%的网站发现SQL注入漏洞,2%的网站发现Struts2命令执行漏洞,25%的网站发现跨站脚本漏洞,4%的网站发现逻辑漏洞,6%的网站发现密码重置漏洞,4%的网站存在弱口令,2%的网站发现目录遍历漏洞,6%的网站发现高危敏感信息泄露漏洞。

  • 企業管理:
1.在企业管理中如何解决执行力的问题以及执行力管理的八个因素 by 牛津管理评论

(1)没有常抓不懈
(2)出台管理制度时不严谨
(3)制度本身不合理
(4)流程过于繁琐
(5)作业的过程中缺少良好的方法
(6)工作中缺少科学的监督考核机制
(7)培训中的浪费
(8)公司的企业文化没有形成凝聚力

2.论企业实力及构成要素 by 汪春风

(1)生产科技
(2)销售关系
(3)管理体系
(4)资源人力
(5)性格气质
(6)品牌文化
(7)思想理念

3.企业发展如何有效聚拢人才:明察秋毫,养勤养廉 by 牛津管理评论

(1)个人魅力,提升影响
(2)明察秋毫,养勤养廉
(3)情感投入,聚拢人心
(4)慧眼识才,优势互补
(5)尊重人才创造环境

如欲閱讀更多文章摘要,請見 每日晨摘