由baidu被黑而想到的

百度“被黑”系列事件,不仅使近日“黑客”技术讨论帖在各大网站迅速升温,也让IT高手成了论坛上最受关注的人群,而他们今年的才市行情也一路看涨。“好多单位都是大批量招聘硕士、博士。”本市某主要招聘会负责人透露。而昨天一份报告显示,IT业已成为2009年员工跳槽频率最高的行业,这一势头预计在今年仍将保持。

  百度事件引发高手答疑
  百度事件发生后,各大论坛相关讨论帖层出不穷,不少IT高手也纷纷解答网友的技术疑问。
  昨晚,某论坛兼职版主、网友CLARKS发了一篇原创帖,从技术角度分析了近日发生的百度被黑系列事件,短短几分钟内便有许多网友跟贴,“版主太牛了!”“你也可以去做黑客了!”
  CLARKS称,他原先是某IT公司的资深软件工程师,由于目前正处于从老公司离职后的空闲期,等着节后去新公司上班,故而有大把时间来写这种原创帖。“我今年跳了3次槽,算下来收入翻了个倍。”他透露,由于去年下半年起行业招聘行情大幅回暖,不少同事也都换了新东家。
  “从百度事件也可以看出,网络信息安全的重要性越来越高,对优秀IT技术人才的需求是一个世界性的话题。”沪上某著名IT企业人力资源经理表示,尽管去年上半年IT业有过一波招聘低迷裁员,但目前随着经济的回暖、公司扩张的需要,今年已向优秀学子发出大批招贤令。

  IT业2009年离职率最高
  昨天,前程无忧每年一次的《企业离职与调薪调研报告》出炉,涉及企业3368家。报告透露,2009年员工主动离职率创下5年来的最低记录,但其中IT行业在所有受调查的19个行业里,员工离职率却最高,相关的高科技行业离职率也位居前列。其中,基层员工的离职率和主动离职率最高,分别为29。2%和20。5:1,远远高于高层管理和技术人员的7。2%和1。6:1。
  “去年年初受金融危机影响最明显时,不少IT公司确实紧缩招聘规模甚至裁员、或是以搬迁等软裁员形式压缩人力成本。但IT业也是最先回暖的行业之一,这也使该行业在去年一年中,员工流动率达到高峰。”相关分析人员透露,不仅纯IT业,包括金融业等多个行业的网络信息安全重要性也越来越突出,这也使IT高手们行情看涨。

  产业结构调整带动需求
  同时,上海产业结构调整也拉动了相关行业对IT高手的需求。
  市人才服务中心相关负责人透露,在今年组织的高校应届毕业生招聘活动中,尤以高新技术岗位如通讯、软件工程师等启动招聘早、需求量大。而在该中心举办的大学生招聘会上,记者看到,不少用人单位对互联网、软件、信息技术等相关专业的硕士、博士等高学历人才需求巨大,几乎达到“团购”规模。而在沪上近日举办的不少综合性招聘会上,IT人才招聘摊位前供需两旺。网络安全工程师、3G工程师等都有很多招聘职位,其中有的展位对应聘人数甚至没有限制。
  不过,国内著名招聘网站51job分析师认为,互联网、IT等行业由于已率先回暖、经历过才市复苏,今年的加薪幅度可能没有外贸、物流、机械等行业明显,但仍将对优秀人才提供具有竞争力的待遇。职业分析师认为,2010年,网络安全工程师将成为最佳职业。作为国内从事培训网络安全技术的黑基网来说是成立时间较早、规模最大的机构,在成就高手梦想的同时也为国家、企事业单位培养了大批网络安全高手.

阅读更多

由网站验证码而想到的……。

06-15

网站验证码的作用是防止暴力破解用户名密码或用机器人灌水。rn主流的写法都是在服务器生成一个随机串,然后将随机数生成图片,发至客户端,然后再将随机数加密用Cookies传到客户端。rn在用户提交回来的信息中检查用户输入数的加密值是否与Cookies中的值相同来验证的。rnrn不过我发现这种写法有相当大的漏洞。其结果是即麻烦了客户而又没有达到目地。rn因为:rn客户端可以重复发送一个相同的post/cookies验证串来达到目地。rnrn举个例子,rn第一步,正常访问rn可以得到一个验证码和一个存在cookies中的验证串。rn第二步,将二个值放入暴破/灌水机器人中。rn这样,机器人就可以每次请求都使用这对正确的值。而验证码系统将失效。rnrn为什么会出现这种情况呢?rn一、因为Web的任意二次请求/响应没有必要的因果关系。所以即使请求需要凭证也无法验证凭证是何时发布的,是发给哪个客户端的。(实际上,这会引起更大的问题,我会在后面讲到)rnrn二、凭证与校验两个值同是发送至各户端;这样就给了客户端伪造的机会。客户端不需要知道凭证与校验之间的转换算法。只需拥有一对正确的凭证/校验数据就够了。rnrn以上二点是所有网络应用都应当注意的问题,可见,如果要相使你的验证码有效,就必须将校验串留在服务器端,而向客户端发送凭证和一个校验串的编号,凭证/校验串使用一次后立即过期。不过随之而来的是你要如何保存校验串和校验串编号。用内存?用数据库?开销都是不小的。rnrnrn然后我们再来看我说的第一点问题。如果你认为验证码的问题你可以忍受的话,那么我下面要说的可能会让你精心构建的网站安全系统有一种崩溃的意像。rn我们都知道HTTP是一种非加密协议,所有HTTP的请求/响应都是在TCP通路上飞速“裸奔”。很早以前就出现过截取Web密码的软件,那时的网络大多基于HUB或是总线网络使得只要在网内的一台机器上使用截取软件就可以得到整个网络内所有的Web密码。而现在大多数网络基于交换机,这种方法显然失去了一部份市场。rn有点跑题,回到我们的问题上来,我们知道ASP/ASP.NET和其它的WEB服务器技术的Session都是依据cookies换句话来说,现在所有Web技术的服务器验证都是将凭据发送到客户机这就出现了我刚才所讲的第二个问题:“凭证可以伪造”!掌握了相应SessionID就得到了服务器权限。rn不过还好,SessionID的值都是随机的并且很长。不太可能被人猜解到,不过不要大意。如果你好心的为了方便你的访客访问你的网站而将其的Id/Key加密后放入cookies后那么问题就出现了。在客户机上是很容易得到访客的Id/Key所计算出的“凭证”的。这样即使不知道具体的密码,也可以在其它地点以这个用户登陆。而且这几个访问的SessionID和Id/Key完全相同,这会出现什么样的后果?你的网站的操作日志完全失效!因为所有的访问凭证都是相同的。你没办法区别哪些请求是真正访客的,哪些请求是攻击者的!rnrn综上所述我总结了以下几点:rn一、需要权限的访问一定需要凭证,而凭证一定需要校验。rn二、校验一定需要保存在服务器上。并且,凭证与校验必须是一次性的。使用后立即过期。rn三、不要相信任何客户端发来的结果,它们都可能是假的!rn四、不要在cookies中长期保存任何凭证。它们只会增加风险。rn五、如果你使用的是Asp/Asp.net请不要在网页上体现访客的SessionID。它们会造成伪造的机会。如果你使用的是其它技术,也一样。rn六、对于需要高度安全的访问验证,请劝告你们的访客,不要在局域网内或使用不安全的代理访问你的网站。rnrn一家之言仅供参考。

没有更多推荐了,返回首页