PS 11/12/20

‧圖片合併

‧動畫 ^q^

PS 11/12/13

PS Homework Part2

                                               ‧素描效果

                                               ‧加入背景圖層

                                                ‧強調(?)

PS Homework

                                      使用工具：

                                       ‧汙點修復筆刷工具

                                       ‧仿製印章工具

                                      套用濾鏡：

                                       ‧液化

                                       ‧表面模糊

                                       ‧光源效果

Colife

Dreamweaver Homework (Frameset)

http://140.127.56.36/t2/410075026/babala/

社交工程

-社交工程-

        社交工程 (Social Engineering) 係利用人性弱點，應用簡單的溝通和欺騙技倆，以獲取帳號、通行碼、身分證號碼或其他機敏資料，來突破校園的資通安全防護，遂行其非法的存取、破壞行為。

   

社交工程常見的攻擊方式

‧電話詐騙：利用電話佯裝資訊人員，騙取帳號及通行碼。
‧偽裝委外廠商之維護人員或上級單位人員，乘機騙取帳號及通行碼。
‧網路釣魚：利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼。
‧電子郵件隱藏電腦病毒：利用電子郵件誘騙使用者開啟檔案、圖片，以植入惡意程式、暗中收集機敏性資料。
‧利用提供工具、檔案、圖片為幌子，誘騙使用者下載，如偽裝的修補程式 、 p2p 下載軟體、工具軟體等，乘機植入惡意程式、暗中收集機敏性資料。
‧即時通：利用即時通訊軟體如 MSN ，偽裝親友來訊，誘騙點選來訊中之連結後中毒。

   

預防社交工程的發生

‧不未經確認即提供資料

‧不開啟來路不明的電子郵件及附加檔案

‧不連結及登入未經確認的網站

‧不下載非法軟體及檔案

社交工程其實就是一種利用人性弱點的詐騙技術，它避開了嚴密的資通安全技術防護，是一種非常難以防範的攻擊模式，只有具備高度的危機意識及警覺心，才能減少社交工程攻擊傷害。

參考資料：http://www.i-security.tw/topic/topic_sg.asp?id=106

網頁掛馬

-網頁掛馬-

        當使用者瀏覽特定網站時，遇到有惡意程式內嵌在網頁上的情況。網頁惡意程式多是利用JavaScript、ActiveX在使用者電腦端上執行，利用瀏覽器的漏洞來植入惡意程式或木馬。當使用者瀏覽至含有網頁惡意程式網站的同時，惡意程式已悄悄植入使用者的電腦中，駭客可以利用受害者系統的資源發動攻擊加以破壞，或盜取個人機密資料等。

網頁惡意程式種類

 1.透過Java Script、Applet、ActiveX編輯的腳本程式，修改瀏覽器：

．預設瀏覽器首頁被修改
．預設的微軟更新首頁被修改
．首頁設定被鎖定，且設定選項無法變更
．預設的瀏覽器搜索引擎已被修改過
．瀏覽器標題欄位被新增其他來路不明欄位資訊
．滑鼠右鍵功能表被新增來路不明網站廣告鏈結
．滑鼠右鍵彈出功能表功能被禁止使用
．瀏覽器書籤被強迫新增來路不明網站的位址鏈結
．在瀏覽器工具欄出現來路不明的工具按鈕
．會不定時的彈出廣告視窗

2.透過Java Script、Applet、ActiveX編輯的腳本程式修改用戶作業系統：

．開機後出現不知名的對話方塊
．系統正常啟動後，但IE被鎖定開啟自動連結到不知名網站
．格式化硬碟
．未經授權竊取使用者個人機密資料
．鎖定並禁止變更登錄檔
．使用者電腦上出現一些來路不明的檔案
．使用者電腦的CPU使用率一直是在100％，居高不下

預防策略

．提高瀏覽器的安全性設定，停用Script和ActiveX元件下載
．安裝防毒軟體，時時更新病毒碼，並定期掃描、檢查本機上所有磁碟機。
．定期瀏覽並注意惡意掛馬網站公告：例如到StopBadware網站上查詢。
．不隨意瀏覽不知名的網站
．考慮使用IE以外的瀏覽器，例如FireFox。

                *請注意：目前所有瀏覽器都有安全性上的問題，所以並沒有絕對安全的瀏覽器。
．建立網站黑名單，杜絕來路不明的網站。
．使用ProcessExplorer、Autoruns等程式，檢視重要電腦的開機執行狀態。

惡意掛馬檢測網站SCOUT（Speedy Complete Online URL Test）
輸入可能植入木馬的網站，即可檢測出是否該網站是否有被掛馬。http://www.client-honeynet.org/cwebservice.php

參考資料：http://ithelp.ithome.com.tw/question/10000041

網路釣魚

      -網路釣魚-

（Phishing，與釣魚的英語fishing發音一樣，又名「網釣法」或「網路網釣」，意味著放線釣魚以「釣」取受害人財務資料和密碼。）

       

        是一種企圖從電子通訊中，透過偽裝成信譽卓著的法人媒體(EX:Youtube、Facebook、Myspace、eBay等)以獲得如用戶名、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。通常是透過e-mail或者即時通訊進行。它常常導引用戶到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證，要偵測網站是否仿冒實際上仍很困難。

連接操控

大多數的網釣方法使用某種形式的技術欺騙，旨在使一個位於一封電子郵件中的連接（和其連到的欺騙性網站）似乎屬於真正合法的組織。

1.拼寫錯誤的網址或使用子網域。

2.使用含有'@'符號的欺騙連接。

        例如，連接http://www.google.com@members.tripod.com/可能欺騙偶然造訪的使用者，讓他認為這將打開 www.google.com上的一個網頁，而它實際上導引瀏覽器指向members.tripod.com上的某頁，以用戶名 www.google.com。

*但這種網址在Internet Explorer中被禁用，而Mozilla Firefox與Opera會顯示警告訊息，並讓用戶選擇繼續到該站瀏覽或取消。

3. IDN欺騙(同形異義字攻擊的漏洞)

        網頁瀏覽器處理國際化域名（International Domain Names，下稱IDN），這可能使外觀相同的網址，連到不同的、可能是惡意的網站上。

過濾器規避

網釣者使用圖像代替文字，使反網釣過濾器更難偵測網釣電子郵件中常用的文字。

網站偽造

一些網釣詐騙使用JavaScript命令以改變位址欄。這由放一個合法網址的網址欄圖片以蓋住位址欄，或者關閉原來的網址欄並重開一個新的合法的URL達成。

      -反網釣-

1.設立專門的技術和立法

2.改變瀏覽習慣

        當接觸某要求您「核對身分」（或任何其他網釣所使用的信件要旨）的信件或帳號時，明智之舉是與該信件明顯來源公司聯絡以檢查該電子郵件是否合法。

另外，個人所知道網址是該公司的真正的網站，可透過在瀏覽器網址欄輸入拜訪，而不是盲目相信任何涉嫌詐騙郵件裡的超連結。

參考資料：http://zh.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5

【Homework】

Test

(ㅎ_ㅎ)