近日,黑客向tech insider展示了如何通過在亞馬遜和ebay上購買價值700美元的電子零件來轉殖門禁卡,成功闖入辦公室的全過程。
對於黑客而言,未經授權闖入一家公司是及其簡單,而且還無需花費很多金錢的事情,可能只需要花700美元從亞馬遜和ebay上購買一些零件就可以了。
tech insider網這樣寫道:
「我們曾親眼看過乙個黑客團隊在不到24小時的時間瓦解了一家電力公司。該電力公司位於美國中西部,名為「metrofader」的黑客從口袋中掏出電子胸牌,在外部感測器上揮動一下,門就開了,但是,不得不說明的是,這個電子胸牌是在其前期竊取的資料基礎上製作的假卡。」redteam安全公司的研究人員稱,黑客可以從亞馬遜或ebay**購買到價值350美元的裝置,並通過偽造門禁卡來繞過基於員工id胸章的門禁控制系統。
安全專家進一步向tech insider的記者解釋道,黑客在不竊取員工個人資訊的前提下,轉殖任何一名員工的門禁卡也是非常容易實現的。
redteam 安全公司的mattgrandy解釋道,黑客在造訪目標公司的時候,會使用特定的裝置,而這些裝置只需要花費350美元。
redteam的安全顧問mattgrandy說:
「(我們)從亞馬遜**上獲得了支援大規模,遠距離的讀卡器,它們同樣也可以從ebay上買得到。」黑客假冒成一名參觀公司的學生,將裝置放置在膝上型電腦包中,該裝置可以攔截員工門禁卡與控制開/關門的訪問系統之間的加密通訊。
亞馬遜和ebay上**的rfid標記閱讀器能夠捕捉到三英呎外的門禁卡資料,並將其寫入microsd卡上。
攻擊者只需要在員工使用rfid徽章的時候,在有效範圍內接近他就行了。隨後,攻擊者就可以利用捕獲的員工胸牌資料來製作假的胸牌了,整個操作需要借助第二個裝置——proxmark,價值300美元,操作簡單,成本低廉。
tech insider稱:
「redteam安全公司向我們揭示了乙個眾所周知的,關於rfid或無線射頻識別的問題,也是目前很多企業認證員工訪問裝置最常用的方法。員工通過rfid徽章驗證身份,獲得進入一扇門的訪問權。但是,問題是很多時候,這些資料是以明文的方式傳送的,並沒有加密處理,這使得黑客可以輕鬆的盜取員工的資料資訊,進而轉殖假卡侵入裝置,實現其不為人知的目的。」當然,為了提高物理安全,可能對資料加密而言,另乙個很好的措施就是使用rfid阻隔套來保護通過保護門禁卡,防止資料被盜。
簡單繞過安全狗進行任何操作 讓狗形同虛設
可能之前很多人想到的是之前那個傳了很久的溢位,其實沒溢位那麼牛逼,不過影響也不小,乙個邏輯漏洞,如果是你做 裝了waf,肯定是會把搜尋引擎的爬蟲放到白名單裡面,不然seo就蛋疼了。白名單意味著啥?就是說在白名單裡面的使用者,waf都會不管它,直接放行,那我們就可以利用這個東西來繞過安全狗。搜尋引擎爬...
部分直播平台青少年模式形同虛設 包括鬥魚 B站等
程式設計客棧 www.cppcns.com 4月15日 訊息 近日,江蘇省消保委聯合江蘇消費網對近期消費者投訴較多的手程式設計客棧機遊戲app和直播平台app開展調查,包括了 9 個遊戲app和 9 個直播app。遊戲app方面,調查結果顯示,開心消消樂 奧特曼傳奇英雄以及天龍3d 蘋果手機程式設計...
Orm 請別讓資料庫中的預設值形同虛設!!
沒有最懶,只有更懶。用orm就是為了偷懶,那你在我新增一條記錄的時候,還必須對在資料庫中已經設定了預設值的列還要賦值呢?我所見到orm都犯了乙個毛病,生成插入insert語句的時候都是乙個列不拉的都進行一次賦值,導致資料庫列上設定的預設值全都形同虛設!生成insert語句的時候請智慧型一些,只指定使...