假装在现场 | 2017 SyScan360
Tomas 致辞：
谭晓生 致欢迎辞：
演讲嘉宾：Maxwell Koh
演讲议题：Bypass 2FA, Stealing Private Keys, and the Introduction to 4FAssassin
议题概要：双因子认证并不能保证所有的账户安全，本次演讲将重点展示新发现的技术通过窃取和破解OTP、私钥和客户端证书的方法绕过双因子认证。延时将包括私有密钥被破坏的场景，然后展示攻击者如何利用这些获得更多进入公司内网和获取利润的机会。同时使用一些开发的工具可以用来破坏单个系统，或者使用私钥来破坏整个网络。同时，它还能够分析和识别潜在的私钥，关键的信息提取，以配置目标服务器，破解和删除密码，基于密钥的后门，从而通过利用脆弱的公共密钥认证中的漏洞构建多链接的私密通道。本次演讲将以保护私人密钥免遭盗窃的建议结束，以及在最坏的情况下应该做些什么。
演讲嘉宾：Mattieu Suiche
演讲议题：the shadow brokers----Cyber Fear Game Changers
议题概要：影子经纪人是这个网络时代最具有争议的人物之一。在互联网上初露锋芒是在2016年8月，这个秘密黑客组织宣布自己攻破了NSA的防火墙，并公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。因此也迅速成为美国国家安全局斯诺登以来最可怕的噩梦。5月13日开始，一种名为“WanaCrypt0r 2.0”的蠕虫病毒开始在互联网上蔓延，它可以使感染的电脑在10秒内锁住，电脑里所有文件全被加密无法打开，只有按弹窗提示交赎金才能解密，因此也影响了很多的国家和地区。
演讲嘉宾：Yuriy Gurkin
演讲议题：Penetration through ICS Development Software----potentially devastating attack vector or not? CODESYS 0days examples.
议题概要：在ICS开发工具中，有一个CODESYS编程软件，它广泛应用于能源、工厂和其他自动化技术领域。但是也存在着针对这些软件的工具，比如留下后门进行远程控制。在2015年，大众汽车因其柴油发动机控制器软件丑闻而损失了30%的股份。本次演讲会利用开源代码的渗透测试展示CODESYS编程软件旧版所存在的漏洞以及2个新版本中的两个0day漏洞。
演讲嘉宾：龚广
演讲议题：Butterfly Effect and Program Mistake-Exploit an “Unexploitable” Chrome Bug
议题概要：360安全团队在PwnFest 2016上攻破Chrome浏览器使用的一个“近乎不可能”的漏洞利用。这个漏洞在Chrome的V8引擎中一处非常小的逻辑错误，在普通人的思路中，这个漏洞几乎不可能被利用。但是360团队结合了多种非常规的利用技巧后，成功稳定地利用了这个漏洞，并通过这个漏洞全球首次攻破了谷歌的最新手机：Google Pixel。
演讲嘉宾：Bertin Bervis
演讲议题：Exploiting and abusing web applications flaws in industrial and network communication devices
议题概要：在PLC、数据采集服务器上有大量的通信网管带有web服务器，而这些内容会存在大量的安全隐患，比如利用暴露在互联网上的接口被远程攻击者恶意利用。讲师将主要讲解众多知名厂商的一些案例以及现场漏洞示范来强调这个问题的重要性，同时将分享技巧和技术以便在工业设备中轻松快速地发现这些网络应用程序的漏洞。
演讲嘉宾：Abdul-Aziz Harir Brian Gorenc Jasiel Spelman
演讲议题：Transforming Open Source to Open Access in Closed Applications: Finding Vulnerabilities in Adobe Reader’s XSLT Engine
议题概要：将开源组件包含到大型的、封闭的应用程序汇总，已经成为现代软件中的一种常见做法。供应商显然从这种方法中获益，因为它允许他们快速地为用户添加功能，而不需要花费更多精力，但是却有很大的安全隐患。本次将通过对Adobe Reader的XSLT的测试进行举例，讨论用于审核Sablotron源码的新技术，以便在Adobe Reader中找到相应的bug，整个讲解以Adobe Reader为例，讲述去年Adobe Reader的XSLT引擎中发现的漏洞的趋势。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点用CMD建的文件夹，命令md d:\123..\ 现在我想删了这个文件夹，用什么命令？_百度知道
用CMD建的文件夹，命令md d:\123..\ 现在我想删了这个文件夹，用什么命令？
我有更好的答案
rd d:\123..\
采纳率：38%
特殊的算法改变原有的信息数据，使得未授权的用户即使获得了已加密的信号，但因不知解密的方法，仍然无法了解信息的内容。
加密建立在对信息进行数学编码和解码的基础上。 我们使用的加密类型分为两种密钥 -- 一种是公共密钥，一种是私人密钥。 您发送信息给我们时，使用公共密钥加密信息。 一旦我们收到您的加密信息，我们则使用私人密钥破译信息密码。 同一密钥不能既是加密信息又是解密信息。 因此，使用私人密钥加密的信息只能使用公共密钥解密，反之亦然，以确保您的信息安全。
加密的方法有很多种,有利用脚本加密,有利用系统漏洞加密,有利用加密算法加密,有利用系统驱动加密.
这些加密的方法个有个优点和缺点.有的加密速度快,有的加密速度相对比较慢.但加密速度快的没有加密速度慢的加密强度高.所以,在选择文件夹加密软件时可以根据自己需要选择.不过最好是选择一些,好的加密软件.
建议在天空华军里挑些排行比较前的软件下载使用，并注意用户的评价。[编辑本段]使用方法
不选择加密软件的话，请按下面的方法操作一、加密文件或文件夹
步骤一：打开Windows资源管理器。
步骤二：右键单击要加密的文件或文件夹，然后单击“属性”。
步骤三：在“常规”选项卡上，单击“高级”。选中“加密内容以便保护数据”复选框
在加密过程中还要注意以下五点：
1.要打开“Windows 资源管理器”，请单击“开始→程序→附件”，然后单击“Windows 资源管理器”。
2.只可以加密NTFS分区卷上的文件和文件夹，FAT分区卷上的文件和文件夹无效。（注意重装系统时先解密，否则后果严重。）
3.被压缩的文件或文件夹也可以加密。如果要加密一个压缩文件或文件夹，则该文件或文件夹将会被解压。
4.无法加密标记为“系统”属性的文件，并且位于systemroot目录结构中的文件也无法加密。
5.在加密文件夹时，系统将询问是否要同时加密它的子文件夹。如果选择是，那它的子文件夹也会被加密，以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。二、解密文件或文件夹
步骤一：打开Windows资源管理器。
步骤二：右键单击加密文件或文件夹，然后单击“属性”。
步骤三：在“常规”选项卡上，单击“高级”。
步骤四：清除“加密内容以便保护数据”复选框。
同样，我们在使用解密过程中要注意以下问题：
1.要打开“Windows资源管理器”，请单击“开始→程序→附件”，然后单击“Windows资源管理器”。
2.在对文件夹解密时，系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。如果选择仅解密文件夹，则在要解密文件夹中的加密文件和子文件夹仍保持加密。但是，在已解密文件夹内创立的新文件和文件夹将不会被自动加密。
以上就是使用文件加、解密的方法！[编辑本段]疑难解答
而在使用过程中我们也许会遇到以下一些问题，在此作以下说明：1.高级按钮不能用
原因：加密文件系统(EFS)只能处理NTFS文件系统卷上的文件和文件夹。如果试图加密的文件或文件夹在FAT或FAT32卷上，则高级按钮不会出现在该文件或文件夹的属性中。
解决方案：
将卷转换成带转换实用程序的NTFS卷。
打开命令提示符。
键入：Convert [drive]/fs:ntfs
(drive 是目标驱动器的驱动器号)2.当打开加密文件时，显示“拒绝访问”消息
原因：加密文件系统(EFS)使用公钥证书对文件加密，与该证书相关的私钥在本计算机上不可用。
解决方案：
查找合适的证书的私钥，并使用证书管理单元将私钥导入计算机并在本机上使用。3.用户基于NTFS对文件加密
NTFS格式重装系统后加密文件无法被访问的问题的解决方案(注意：重装Win2000/XP前一定要备份加密用户的证书)：
步骤一：以加密用户登录计算机。
步骤二：单击“开始→运行”，键入“mmc”，然后单击“确定”。
步骤三：在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”。
步骤四：在“单独管理单元”下，单击“证书”，然后单击“添加”。
步骤五：单击“我的用户账户”，然后单击“完成”(如图2，如果你加密用户不是管理员就不会出现这个窗口，直接到下一步) 。
步骤六：单击“关闭”，然后单击“确定”。
步骤七：双击“证书——当前用户”，双击“个人”，然后双击“证书”。
步骤八：单击“预期目的”栏中显示“加密文件”字样的证书。
步骤九：右键单击该证书，指向“所有任务”，然后单击“导出”。
步骤十：按照证书导出向导的指示将证书及相关的私钥以PFX文件格式导出(注意：推荐使用“导出私钥”方式导出，这样可以保证证书受密码保护，以防别人盗用。另外，证书只能保存到你有读写权限的目录下)。4.保存好证书
注意将PFX文件保存好。以后重装系统之后无论在哪个用户下只要双击这个证书文件，导入这个私人证书就可以访问NTFS系统下由该证书的原用户加密的文件夹(注意：使用备份恢复功能备份的NTFS分区上的加密文件夹是不能恢复到非NTFS分区的)。
最后要提一下，这个证书还可以实现下述用途：
(1)给予不同用户访问加密文件夹的权限
将我的证书按“导出私钥”方式导出，将该证书发给需要访问这个文件夹的本机其他用户。然后由他登录，导入该证书，实现对这个文件夹的访问。
(2)在其也WinXP机器上对用“备份恢复”程序备份的以前的加密文件夹的恢复访问权限
将加密文件夹用“备份恢复”程序备份，然后把生成的Backup.bkf连同这个证书拷贝到另外一台WinXP机器上，用“备份恢复”程序将它恢复出来(注意：只能恢复到NTFS分区)。然后导入证书，即可访问恢复出来的文件了。[编辑本段]Win98加密文件夹四法
一、文件夹属性法
在“Windows资源管理器”窗口，右键单击要加密的文件夹，单击“属性”，选中“隐藏”复选框。在注册表的“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL”分支下，将“Checkedvalue”的键值设置为数字“0”。以后，即使在“Windows资源管理器”窗口，单击“查看”菜单中的“文件夹选项”，单击“查看”选项卡，选中“显示所有文件”复选钮，也无法看到具有隐藏属性的文件夹。二、“回收站”法
首先确认选中了“显示所有文件”复选钮，并且注册表中“Checkedvalue”的键值为“1”。然后，在“Windows资源管理器”窗口，右键单击“C:\RECYCLED”文件夹(这是C盘上“回收站”对应的文件夹)，再单击“属性”，单击“常规”选项卡，清除“启用缩略图方式查看”和“只读”复选框，单击“确定”按钮。关闭并重新启动“Windows资源管理器”后，将会看到“C:\RECYCLED”文件夹中有一个desktop.ini文件。把该文件复制到要加密的文件夹中，并把该文件夹设为“只读”属性。三、“文件管理器”法
单击“开始/运行”，键入“winfile”，单击“确定”按钮，打开“文件管理器”窗口，单击“查看”菜单中的“按文件类型”，选中“显示隐藏/系统文件”复选框，单击“确定”按钮。把要加密的文件夹拖到“C:\RECYCLED”文件夹或者其他分区的“RECYCLED”文件夹。这样，在“我的电脑”或“Windows资源管理器”窗口中就看不到这个文件夹了。四、设置密码法
注：（该方法可以使用WINRAR破解，很不安全）
1、打开“资源管理器”，选定要加密或要保护的文件夹(文件目录)，在其中空白处单击鼠标右键，选择“自定义文件夹…”选项；
2、在“自定义文件夹”的复选框中，选择“创建或编辑HTML文档”，并单击“下一步”，系统准备启动HTML编辑器(此为WIN2000的加密方法）；
3、单击“下一步”，系统启动HTML编辑器，自动打开Folder.htt文档；
4、编辑Folder.htt文档，搜索“javascript”字符，在下方顶头输入以下3行内容：
var pass = prompt(&请输入密码&)
if(pass != &ABC&)
5、保存Folder.htt文档并退出编辑，选择“完成”；到此，对文件夹的加密或保护便已完成；
6、加密测试，关闭已打开的所有文档及文件夹，重新打开“资源管理器”，点击已加密的文件夹，系统便会提示输入密码，输入正确的密码(本文设定的密码为ABC)就可以访问该文件夹，反之则会转入E盘而无法访问，从而保护该文件夹及其中的文档。[编辑本段]扩展阅读
先说说传统的加密思路：
提到文件夹加密，大家想到的就是数据加密，用各种加密算法，将文件夹里的文件和文件夹自身加密处理，需要使用文件时，要先解密。这就是传统意义上的文件夹加密。
这种加密方式的优点：
从理论上来说，文件的确是安全了，没有密钥就无法解密，别人是无法看到真实数据的。
这种加密方式的缺点：
1. 如果忘记密码，数据将无法解密。所以好多文件加密软件（包括微软）都在使用前声明，如果忘记密码，连开发人员也无法解密，文件将彻底不能用。
2. 如果加密算法不稳定，文件加密之后很可能就无法解密，导致数据被破坏。
3. 效率低：“加密”和“解密”过程都是对文件的二进制数据按照算法进行处理，处理速度的快慢取决于算法的优劣。
我们换一种思路来解决文件夹加密问题，大家需要什么样的隐私大管家？ 首先我们要思考一个问题，广大的计算机用户都有加密文件夹，保护个人隐私的需求。那么他们到底需要一个什么样的加密软件呢？我们都是普通的计算机用户，身边的朋友也是普通用户，大家都不是电脑高手。而我们需要的就是当朋友用自己电脑时，如果无意打开自己隐私文件夹时，弹出密码提示窗口，需要输入密码才能打开，让朋友打不开文件夹，就足够了。最主要的是软件要好用，而且没有风险，忘记密码是人之常情，不能因为忘记密码，就再也打不开加密文件了。从这个思路出发，我们就可以想到，其实完全不需要任何加密算法去加密任何文件，只要利用Windows自身的文件夹访问机制，在打开文件夹时，加一个密码认证机制就可以了。至于文件夹里面的文件根本不需要一个个的加密，这样也就不会有数据无法解密，数据丢失的风险了。
还有一个比加密文件更安全，而且完全无风险的方式来保护隐私，这就是文件夹伪装。文件夹伪装就是将一个隐私文件夹图标变成一个其他任何文件的图标（比如：rar、 mp3等），当双击这个文件夹时，打开的其实是那个伪装的假文件；举个例子：别人看到的是一个mp3文件，双击图标时打开的也是一个mp3,但是其实这是个文件夹，别人看到的mp3只是个假象，这种方式完全将隐私隐藏起来，别人发现不了你的隐私，就更谈不上破解了。
总结：真正的 隐私大管家 = 文件夹加密 + 文件夹伪装（注意：不需要加密数据，安全无风险）
1. 文件夹加密：其实就是在打开文件夹时，加一个密码认证机制，不需要用算法加密文件
2. 文件夹伪装：将隐私文件夹的图标变成其他图标，打开时打开另一个文件，用假象来蒙蔽偷窥者[编辑本段]使用软件加密文件夹
省心文件夹加密上面介绍的加密文件夹的方法非常好，只是对于对电脑不是很熟悉的朋友不是很实用，加上要是遇见对电脑熟悉的人很容易能获取到你加密的资料，这里介绍利用加密软件加密文件夹，软件加密解密方便，加密的强度高，安全可靠，可以加密也可以隐藏，可以对U盘进行设置不可写，加密到U盘，对你的U盘进行加密，省心文件夹加密是一个不错的加密软件，
它采用先进的加密技术对数据本身进行加密，强度高，安全可靠。同时支持加密过程中断电处理，当你电脑系统重装后加密的软件同样能正确的解密不受系统的约束，同时支持WIN7系统，对加密的文件夹（文件）提供密码保护功能，万一忘记密码也可取回密码正确解密，当人不在电脑旁边的时候提供锁屏功能让别人无法进入你的电脑，数据可以得到更好的保护，对于常用的被加密文件夹提供临时解密功能同时不会出现烦人的对话框，并且提供U盘加密功能，让你的U盘数据可到保障，可以锁定U盘，让别人无法拷贝你电脑里面的资料。
为您推荐：
其他类似问题
cmd的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。当前位置：计算机信息安全知识题库＞
问题：  &#xe6
[多选] 下列那一项是一个公共密钥基础设施PKI的正常部件（）.
A . CA中心B . 证书库C . 证书作废管理系统D . 对称加密密钥管理
简述影响服装舒适卫生的因素是什么？
劳动合同订立过程中，劳动者应当向用人单位告知的个人信息包括（）. A.工作经历B.学历证明C.资格考试证明D.血型E.婚姻状况。
航空运输中，危险品是由（）规定并公布的 A、中央军委。
C、民航主管部门。
D、机场负责人。
个人资信证明业务以下表述正确的是（）。 时段证明、时点证明和历史明细证明应分别申请开立。
时点证明和时段证明，每份个人资信证明书所记载的证明笔数不超过5笔。
历史明细证明，每份个人资信证明书所记载的证明笔数不超过10笔。
个人资信证明书自签发之日起生效。
时段证明所列期间内，申请人不得支取或兑付资信证明项下的个人资产。
治疗风疹邪毒内盛证的首选方剂是（）。 升麻葛根汤。
清气凉营汤。
透疹凉解汤。
解肌透痧汤。
下列那一项是一个公共密钥基础设施PKI的正常部件（）.
参考答案：A, B, C
●&&参考解析对于有10个用户的网络来说，使用对称密钥加密系统，共需要多少个密钥？使用公共密钥加密系统则需要多少密_百度知道
对于有10个用户的网络来说，使用对称密钥加密系统，共需要多少个密钥？使用公共密钥加密系统则需要多少密
哪位高手帮帮忙，最好有详细解答。谢了。
需要多少个密钥？
我有更好的答案
n（n-1）/2
10个用户间互相用对称加密 算下就可以了
为您推荐：
其他类似问题
您可能关注的内容
对称密钥的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。黑客是如何通过公共WiFi窃取邮箱、密码... | 问答 | 问答 | 果壳网 科技有意思
黑客是如何通过公共WiFi窃取邮箱、密码、正在使用的App等信息的？
2015年，央视315晚会现场找了戴着眼罩的工程师来演示，如何通过公共WiFi，获取用户手机的操作系统、正在运行的App等信息，甚至还可以获取到用户手机中存储的邮箱、密码等隐私信息。这个是怎么做到的？晚会 现场测试，连上一个免费WiFi，只要打开消费类软件，订单和消费记录统统被提取！包括你的电话号码、家庭住址、身份证号码、银行卡号、甚至哪天几时你看了一场什么电影……
16年3.15更新补丁：今年演示的是怎么回事儿呢？和去年的情况类似，也是没加密的锅。所有数据直接明文推拉，啥都看光了。普通用户要怎么避免？别连不可信的公共Wi-Fi（公共VPN、代理服务器等也算）、别在不可信的网络环境下进行敏感操作。与此同时，如 所说的，不要无视浏览器的证书错误提醒、不要乱装安全证书，否则HTTPS也救不了你！同时，向开发商多提提意见，指望他们能快点更新、加强一下安全措施吧……一定程度上说，大型APP开发商对信息处理的完善程度会比小开发商要靠谱。虽然这个在并不怎么重视信息安全的中国不算可靠，但作为一个简要的判断手段，还是比较有效的。=========================================================一个猜想，不一定对。目前主流的邮件客户端与邮件服务器通讯，收取/管理邮件的时候，都是通过POP3协议进行操作的。问题在于……在不使用SSL/SPA的情况下，密码是明文传输的。此时只要抓包分析就可以获取到邮箱密码。顺便说一下对获取所装应用的手段猜测，本来我以为是利用了某些第三方统计工具的漏洞，后面一想觉得这个猜测有些不太靠谱。问了一下 这个环节上出现的APP有哪些，能回忆起来的只有QQ、Zaker和今日头条这三个应用。而这三个应用在网络切换后都会主动连接服务器获取信息。此时根据所用协议和所访问的服务器地址就可以倒推出是哪个应用进行的网络操作。大概就是这样~
网络工程师
我们把数据包当做“信件”来看一下吧。首先看一下如何获取操作系统信息，获取操作系统信息都是利用所谓的“特征码”，或者说指纹。不同操作系统发送数据包的过程中，会出现一些特有的行为，比如TTL值、IP头部信息。比如张三喜欢用牛皮纸做信封、并且常用黑色钢笔；李四喜欢用铜版纸做信封，常用蓝色圆珠笔。那么根据这些信息就可以大概判断出是谁发送的信。同样的，也可以判断出是哪些APP发送的数据。接下来就是如何截获用户名密码，很多人设置客户端邮箱的时候没有注意到“使用安全链接（SSL）”的选项，所以发送的邮箱用户名密码，甚至邮件内容都是明文的。如果一份信件被投到了一个假的邮筒，那么假邮筒的拥有者就可以随意查看你的信件内容了。但是张三和李四约定，写信的时候会把字母A替换成C，把字母B替换成Z等等，这样别人看到的就是一堆乱码了。而SSL是更为复杂和安全的加密方式。我们浏览网站的时候会看到有些网站是https:// 开头的，而不是http:// ，这类网站就是使用了SSL加密技术（不过现在注重安全的网站都会升级为TLS，安全等级更高）。类似的，把A替换成C，B替换成Z这样写起信来速度很慢，SSL也会导致速度变慢，所以有些网站会把网页上部分重要内容使用SSL加密，部分内容使用明文传输。这样做虽然可以防止窃听，但是可以被中间人攻击篡改页面，导致客户端使用明文发送用户名密码。前面有人提到使用sslstrip可以破解SSL，它的原理就是制作一个假的服务器证书来欺骗客户端，一般浏览器都可以发现假的SSL证书并弹出警告，如果忽略警告就会被盗取信息了。（sslstrip也可以把https:// 强行修改为http:// 这时候不会弹出安全证书提示，也需要注意）使用公共wifi的时候一定要注意，不要在http:// 开头的网址上输入密码等信息。不要使用同一个密码注册多个网站。如果你的网络服务提供商不可信任（比如房东直接从交换机拉一条网线给你），那么也要小心密码被盗或个人信息泄露。翻墙也是一样的，翻墙服务提供者可能时刻监视着你的数据流量。另外补充一点，在一些个人或中小企业网站注册的时候要特别注意，不要使用和敏感账户（如支付宝、QQ、邮箱）相同的密码，一般这些网站都不会加密存储你的密码。也不要在上面留下个人专用的联系方式，发布可能泄露个人信息的内容，个人信息的泄露跟密码泄露都是一样危险的事情，必须要重视。信息安全界的“社会工程学”就是利用这些信息来实施入侵的，往往比直接使用技术手段更加高速有效。
黑客搭建个开放的热点，别人连上去之后他就可以用截包工具监控着传输的数据，有些网站在网络传输过程是没加密的，你的隐私或者敏感信息很容易就被他拦截到了，举个栗子，我用个测试账号(账号：test_account，测试密码test_password）登陆下学校邮箱全程用wireshark截包，然后找到相应的数据居然就直接看到明文密码了，，，见图。。。必须吐槽下这还好现在大多数主流邮箱都是加密的但这只是那邮箱栗子所以平时上网还是要小心点额利益相关：不是黑客
软件工程师，网路安全从业者
协议本身不安全如http之类的容易被窃听的就不说了，咱们来找几个用了加密协议然后仍然被搞的。58同城app让用户名密码明文泄漏国内绝大部分Android APP存在信任所有证书漏洞亚马逊最新官方android版存在一处信任所有证书漏洞51信用卡管家最新android客户端存在7处信任所有证书漏洞这些还是我在乌云随手搜的例子，都是用了https加密的，但是用了https加密，但是没检验证书合法性，所以就相当于地铁的安检挨个都检查了身份证，然后发现了假身份证什么动作都没有一律放过，这样的加密毛用都没有。即使是正经官方的app也会有漏洞，即使是加密了也会被人轻松解密，所以有些说https加了密、用了官方app的就无敌了的就省省吧。不明来路的wifi就是不安全，这些官方app自己都存在漏洞的情况下，普通人更是无法分辨是不是可以安全 使用的情况下，大嘴一张用了https加了密就如何如何、用官方的就如何如何，只能说明自大与无知。
局域网内抓包嗅邮箱密码本来就是公开的秘密，十几年前就很“成熟”了（回想那个做黑客都不用啥成本的Win9x年代）。稍后一点，就有人发现不加密的Wifi更是减少了嗅探难度（不用物理上接入线网）。不法分子提供加密的wifi，主机受自己控制，跟局域网里也没啥差别，照样嗅探。所以系统和应用自身的加密才显得重要。至于用什么系统、什么APP，如果你都能够抓包了，探一下端口就大概能知道哪些APP在运行，不过目前的主流APP应该都会传输加密的，至少登陆信息会加密（也不是什么难事，定期强迫升级，更换下密匙，加不同的盐）。媒体对网络/电脑安全的报道总是很滞后的。如以我为例（业余编程爱好者），靠自己就能发现Office 97的致命漏洞（大概是03年，还有人用97的，具体来说就是放PPT时可以后台运行嵌入其中的EXE）、发现屏保居然只是可执行文件改个后缀、靠后门API可以QQ时打开对方的摄像头和远程控制、用虚拟摄像头玩视频聊天（那年的愚人节真的玩得好爽）。而上述这些安全隐患大概过了2~5年后我才在新闻里看到。所以不要盲目自信，操作系统的官方补丁随时补上，要装杀毒软件；不要用太老的应用和操作系统（旧系统漏洞早就被发掘多时了，比如被人远程打开telnet服务你怕不怕？），不要多个网站使用同一组账号密码（否则很容易一锅端）；不要太信奈手机上的第三方应用商店（我就在91里下载过一个加过料的百度知道，密码马上就丢了），而尽量在该应用主页上下载更新（Google商店也行，不过现在怕是连不上了）；手机SD卡能加密就全盘加密；电脑用户要合理控制权限（木马最喜欢的就是管理员权限了，特别是无权限提醒的XP）。还有很多安全隐患的坑，反正觉得现在都没啥是安全的了。
MITM，常说的中间人攻击方法。https的可以用sslstrip处理一下
简单的说你使用了这个WIFI服务器以后，你所有的上网数据包都会通过这个服务器，黑客做的就是截获这些数据包，破解他们，获取里面的内容。
反正 没有https 我是不输入密码的。
最大的可能是2个方面吧第一就是网络数据会被截取，反破译 得出用户名 密码 ，当然现在很多涉及到金钱的网站都是https第二就是劫持dns 让你进入钓鱼网站 从而直接获取你的用户名 和密码第一 困难 破译加密协议，第二 简单 但是却有迹可循
如果公司机房的技术人员对此进行监控怎么办？
只会说不会弄，开热点，本机电脑为路由器，DNS更改指向自己做好DNS，里面无关紧要的地址挂的都是正规网站，涉及到网银、支付宝、淘宝等等等等，能套到钱的指向自己做的伪网站，页面完全COPY正常页面，等待你输入密码，后台直接下载用户名密码，前台网站告诉你密码错误或者网络不稳定不辣不辣等等方法拖延，上线，验证密码，套钱。比如冲电话卡之类的，往大了玩，你登陆告诉你密码被盗取，要你登录银行网站，还是伪网站（工作量有点大得多COPY几个），套取你用户名密码手机验证码，直接转账套现。你自己想想就算你当时发现不对劲，最快的方法是直接给银行客服打电话冻结自己的账户，各位可以试试需要用多久，更有甚者那些菜鸡只是发觉不对，关机走人爷不玩了，你账号密码已经在盗取者手里，几个小时后大奔就改奔奔了。刚刚想到的，诱骗登录伪网站，你输入用户名密码直接跳转到正规网站继续操作，技术笨的直接在伪网站上套完用户名密码直接跳转，你发现网站怎么没登陆，你直接再输一边的可能性有多大。人家后台等你走了再套钱，你再发觉那就可能是几个小时或者几天后的事情了，再或者勤快点的直接跳转正规网站用户名密码都给你输入好了直接进入了，你会有感觉吗？
无人机攻城狮
最简单的抓包软件cain
不懂，问下，IOS的会不会比安卓安全一点，或者某些方面安全一点。。。
针对APP其实最简单的方法是最自己的自签证书进行认证,不过貌似现在的程序都怕麻烦,干脆直接信任任意证书,这样很危险,很危险,很危险,重要的事情说三篇,别说wifi即使是有线网络都非常危险!!!
就数据包来源不是sniffer 就是转发截包，几十年前就烂大街的，只不过那时候只有有线网络，电脑也少，也不存在网络支付，都是自己玩玩，最多丢个密码，现在都无线了，也能支付了，所以价值就有了，技术都是现成的。另外大部分的规范APP涉及到这些问题都走的https，新闻的重点应该是要求APP提供商应该从设计上就考虑这个问题，而不是用这些例子来吓消费者
不知道那个是敏感字，给截了个图
Wi-Fi 在网络中是通过路由来实现的。而在路由中，每时每刻都不断收到和转发着如下图一样的包这其中有 ARP 协议、IP 协议、Ethernet 协议、TCP 协议等等一大堆的协议。而且还有可能有一些需要网络通讯软件自定义的通讯协议。通过辨别通讯协议的类别，包的长度、内容就可以大概了解到用户正在使用什么软件，网卡的物理地址等信息。此外，很多小网站没钱买 HTTPS 服务器对链接进行加密。因此访问这些小网站的时候，如果进行了登录操作，用户名和密码很可能就可以被路由器的管理员截取。而很多人又经常只使用同一个用户名和密码……最后，黑客还可能将用户发送的请求重定向到自己的钓鱼网站，用钓鱼的方式获取用户私密信息。以上。
用gmail应该没事，可惜天朝封了，所以还是想办法翻*墙最安全
以上这些讨论在黑客、网络警察、国安局的人看起来都是不值一提的，窃密与反窃密是天生的一对矛盾。
简单说，就像你给朋友发短信一样，这来去的信息是通过网络传输的，黑客在这网络上使用某种软件达到偷听、偷看的目的。同理，登录论坛的账号、网银的账号和密码、论坛上的发帖内容、电子邮件内容，可以被偷看得一清二楚。某个个人干得，就叫黑客。。。政府干得就叫监听。。。斯诺登爆的料不也说的是相同的事情嘛。。。。总之，有种捡芝麻丢西瓜的感觉！
简单来说是浏量劫持。第一步，就是黑客先让你的手机接入自己设立的AP。简单一点儿呢，就是直接开启个免费的wifi等着人来链接。复杂一点儿就是伪造权威的AP。公共wifi的本身就是可以伪造的，只要是同名相同验证方式的AP，手机就会合并成同一个显示，手机会自动选择一个信号最好的链接。所以对于没有密码或是大家都知道密码的wifi只要黑客设立一个足够大功率的AP，就可以等着大家来连了。第二步，方案1简单的方式，抓包。成为手机的AP之后，手机所有通信的流量都是通过黑客设立的AP转发的。既然是转发，意思就是说，手机发给黑客的AP，黑客的AP跟实际的服务器通信，然后把返回的数据发给手机。那么此时黑客的AP就可以悄悄的留一份，如果这个手机软件跟服务器通信的数据是没有加密的，显然黑客就可以直接看到你的密码。如果密钥简单的话也是可以破解的。第二步，方案2伪造服务器。既然手机首先把数据发送给AP，AP跟服务器通信，然后把数据返回给手机。既然数据的发送接收完全由AP代理，这个时候如果AP随便弄点儿数据，发送给手机，告诉手机这就是正规的服务器返回给你的。所以如果手机缺乏认证数据来源的方式，那么黑客就可以伪装成服务器跟手机通信，这个时候黑客就可以通过假服务器向手机请求任何允许的数据。甚至可以让手机弹出对话框让你输入各种信息（用户一看是正常的APP，很大可能就填了）。第二不，方案3更加牛x的方案，缓存。手机里面还有个叫缓存的东西。有一部分手机运行的代码是从服务器请求的，而为了加快速度，手机请求之后会存储这一部分代码，下次使用的时候就不再重新请求，而是直接使用暂时保存的请求，而存储这部分代码的时间是服务器可以控制的。既然黑客可以伪造服务器，那么就可以返回一段恶意代码，然后让手机一直保存着这段恶意代码。这样即使用户断开了黑客的wifi，这段代码仍然会正常工作，窃取用户信息。那么现在来说防范：基本上，第一步是整个wifi协议的漏洞，没有办法防范。只要你连公共的wifi，那么总有可能是黑客设立的。除非你不连wifi（注意哦，wifi有自动链接功能哦）所以我们就只能从第二步防范：主要的方法就是通信加密和服务器认证。其实基本上这两个都是采用了同一种方式，证书。一般APP和服务器加密认证都是通过证书。（原理就不说了），证书是一个用户预先信任的文件，具有加密和认证服务器的功能。基本方式是，由用户信任证书，证书认证的服务器都会被手机认为是合法的服务器。因此用户能做的就是，不要随便信任安装来源不明的证书。如果本身APP采用了不加密的方式跟服务器通信的话，唯一的防范方式就是不要用wifi，不要用这个APP。结论就是：除非APP采用了加密的通信方式，否则只能任人宰割。可是天朝的软件，有多少公司为了少写代码，尽快发布使用不加密的通信方式。即使加密通信黑客还有一条路就是诱骗用户信任他伪造的假证书。所以，看命吧。。。。。。。。。
先去学习抓包
别逗了，你盗个https的我看看。
后回答问题，你也可以用以下帐号直接登录
(C)果壳网&&&&京ICP证100430号&&&&京网文[-239号&&&&新出发京零字东150005号&&&&
违法和不良信息举报邮箱：&&&&举报电话：&&&&&&&&