污网站视频在线观看,国产精品激情偷乱一区二区,caoporn超碰随时会被屏蔽,madou精品一区二区

VimIy微民網(wǎng),讓世界傾聽微民的聲音! 設(shè)為首頁 | 加入收藏 | 網(wǎng)站地圖
當(dāng)前位置:主頁 > 惡搞 >

不安全的是用戶而不是系統(tǒng) - 再談QQ輸入法漏洞

整理時(shí)間:2012-11-22 23:38 來源:m.99912.com.cn 作者:編輯 點(diǎn)擊:

【樓主】小媽媽找蝌蚪2012-11-20 22:25
» 感謝xlandhenry的投遞在《[多圖]輸入法漏洞再現(xiàn)Windows 8 利用QQ拼音純凈版實(shí)現(xiàn)提權(quán) 》這篇文章里,作者發(fā)現(xiàn)一個(gè)通過"遠(yuǎn)程桌面的輸入法漏洞"進(jìn)行提權(quán),從而達(dá)到控制Winows 8遠(yuǎn)程機(jī)器的方法。這里面是什么原理呢?當(dāng)我們看到遠(yuǎn)程桌面顯示登錄界面的時(shí)候,因?yàn)檫@個(gè)時(shí)候并沒有已經(jīng)登陸的用戶,所以這個(gè)階段開啟的所有應(yīng)用都是以系統(tǒng)權(quán)限運(yùn)行的。 一個(gè)以系統(tǒng)權(quán)限運(yùn)行的應(yīng)用程序在執(zhí)行相當(dāng)多的操作時(shí)都是不需要進(jìn)行提權(quán)的,而由這個(gè)應(yīng)用開啟的其他應(yīng)用程序,同樣也以系統(tǒng)權(quán)限運(yùn)行,這就是為什么我們看到 該文作者可以直接通過net.exe命令成功添加管理員賬戶的原因(系統(tǒng)賬戶外的用戶賬戶在運(yùn)行這個(gè)命令時(shí)都需要提權(quán))。然而這并非Windows設(shè)計(jì)上的漏洞,這個(gè)入侵之所以能夠成功,是因?yàn)檫@臺(tái)Windows 8機(jī)器上極其愚蠢的配置。這就好比銀行沒鎖好金庫的大門,然后在失竊后卻怪門鎖不給力……實(shí)際上,不安全的不是操作系統(tǒng),而是用戶本身。下面我們具體來看看究竟是哪些不安全的設(shè)置導(dǎo)致機(jī)器被入侵。錯(cuò)誤1 :使用不安全的第三方輸入法作為默認(rèn)輸入法經(jīng)過測(cè)試發(fā)現(xiàn),如果不使用第三方輸入法作為默認(rèn)輸入法,在登錄界面是無法調(diào)出這些第三方輸入法的,只能使用系統(tǒng)本身的輸入法。而自帶的輸入法根本無法調(diào)用瀏覽器(或者其他程序)。讓一個(gè)不安全的程序在登錄界面運(yùn)行,這就已經(jīng)相當(dāng)危險(xiǎn)了,因?yàn)檫@些程序全部會(huì)以無需提權(quán)的系統(tǒng)權(quán)限運(yùn)行的。假如這個(gè)程序不是調(diào)用瀏覽器,而直接調(diào)用網(wǎng)絡(luò)上的惡意程序,那根本就是無解的事情。錯(cuò)誤2 :使用了不安全的遠(yuǎn)程桌面驗(yàn)證方式傳統(tǒng)的遠(yuǎn)程桌面連接是先打開rdp會(huì)話把登陸界面呈現(xiàn)出來,這就導(dǎo)致了本例中遠(yuǎn)程用戶可以直接訪問登陸界面上的程序這個(gè)問題。而Network Level Authentication是微軟在Vista之后引入遠(yuǎn)程桌面的一個(gè)機(jī)制,它的原理是先讓用戶在本地驗(yàn)明正身之后才打開rdp會(huì)話,這就避免了在遠(yuǎn)程計(jì)算機(jī)上載入整個(gè)登陸界面,同時(shí)也可以一定程度地避免了DDoS之類的攻擊。這項(xiàng)設(shè)置在配置Win8遠(yuǎn)程桌面時(shí)默認(rèn)是啟用的,但不知道為什么本案例里的Win8機(jī)器沒有啟用,可能是為了讓較低版本的遠(yuǎn)程桌面也能順利連接的緣故罷。說了這么多,其實(shí)都是要提醒下大家,系統(tǒng)本身的安全機(jī)制對(duì)于一般人來說都是足夠的了,但如果你把這些安全機(jī)制都取消了,那么你用Win8還是XP在安全性上還真沒什么區(qū)別。有一些半桶水的用戶關(guān)掉了UAC,使用著內(nèi)置管理員,以為自己裝個(gè)第三方的流氓安全管家就算是真正安全了,圖樣圖森破了啊。注:QQ輸入法的漏洞不知道是什么時(shí)候被發(fā)現(xiàn)的,但已經(jīng)在最新版本中修正了,現(xiàn)在也沒有新出現(xiàn)其他通過QQ輸入法調(diào)出IE瀏覽器的方法。QQ拼音的開發(fā)團(tuán)隊(duì)還是挺給力的,不存在沒有漏洞的軟件,能夠盡快地修復(fù)漏洞就是安全的軟件。
作者:zyjwxb2012-11-20 22:28
這是黑360吧……
作者:憤怒的手套2012-11-20 22:29
不安全的是用戶而不是系統(tǒng) - 再談QQ輸入法漏洞其實(shí)就是,出問題就是你不會(huì)用。

關(guān)于網(wǎng)站 | 網(wǎng)站聲明 | 用戶反饋 | 合作伙伴 | 聯(lián)系我們
Copyright © 2012年2月8日
亚洲美女天天干夜夜操| 黄色小视频在线观看无码不卡 | 日韩欧美一区二区区88| 超碰一区二区三区在线观看| 强一二三区| 欧美激情操穴视频| 九九播视频| 国产AB免费视频| 毛片永久性感免费| 大鸡巴干欧美| 喷个不停XXX| 欧美综合香蕉网| 狠狠一区二区久久婷婷| 欧美一区二区pron| 亚洲人妻一二三| 国产精品少妇内射| 激情视频视频| 久久激情亚洲一二| 精品福利9| 性图一区二区| 在线黄av观看| 316操逼视频| 欧美日韩日日做夜夜做| 欧美精品第24页| 草草国产精品| 日本三级美国三级久久| 色资源网| 夫妻性生活不卡视频| 高清乱码 麻豆| 久久久精品国产亚洲AV小说| 18以下禁qv网站| 亚洲无线观看国产视频| 在线看利福毛片| 丸石稀有无码一区二区三区四区| 激情五月天这里只有精品| 天天摸天天操天天插天天干| 日韩中文字幕高清颜射| 亚洲无码欧美日韩| 狠狠综合久久精品一区| 福利夜夜夜视频| 亚洲欧美AAAAAA|