从空虚浪子心的博客转过来的。
sablog1.6的CSRF漏洞POC。这个在我的blog中测试成功,官方下载的最新版本测试成功,但是在小泽的blog失败的。原因是他自己修改了源程序,判断了referer。
POC:
SHELL代码评论时,网站地址输入:http://www.inbreak.net/blog 然后内容是:你好,可以给我做个链接么? 管理员后台登陆后,如果点
张百川(网路游侠)的博客
张百川(网路游侠,www.youxia.org)专注:网络安全、系统安全、应用安全、数据库安全、运维安全。
2009年7月30日
数据防护(DLP)市场企业竞争加速
在数据防护(DLP)领域,除了开源外,包括Reconnex, Orchestria, Vontu, Provilla和Tablus等新兴创新性数据防护(DLP)技术厂商都相继被麦咖啡,CA,赛门铁克,趋势科技以及RSA(EMC下属的安全公司)所吞并,尽管Fidelis Security Systems这样的公司依然保持独立运营。
随着数据防护(DLP)领域掀起的收购狂潮,成熟的安全厂
随着数据防护(DLP)领域掀起的收购狂潮,成熟的安全厂
Tags: 数据保护 数据泄漏防护 DLP
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:
2009年7月29日
安全观察:四家海外银行的安全网银之道
圈里有这样一则真实的故事:某银行软件开发中心的一位工程师费劲心血开发出一套网银安全认证程序。之后,他恰好调到网络银行业务部门,于是他决定体验一下用自己开发产品的感觉。结果,耗费了一天的时间,他都没能安装利索自己开发的软件。
这则故事告诉我们:一方面,软件开发者和应用者的思维逻辑和关注重点是不一样的;另一方面,易用性其实是目前网银安全技术产品的应用瓶颈。而后者正是“2009中国国际电子银行发展论坛”上,与会者讨论的焦点话题。
其实,从数字证书到USBkey再到动态口令卡,业界对网银安全工具的技术问题的争议已经很少了,大家更关注的网银安全工具的易用性和厂商的行业经验。目前,国内市场应用的主流是USBkey,而国外银行大多是应用动态口令卡,采用双因子认证(一是认证网银用户的用户名和密码,二是通过动态口令卡等身份认证方式来认证用户信息)。论坛上,来自英国渣打银行、瑞士邮政银行、美国花旗银行、意大利BNL银行的四位网银专家分别从各自所在银行的应用实践角度出发,分享了其网上银行应用安全保障的经验。
这则故事告诉我们:一方面,软件开发者和应用者的思维逻辑和关注重点是不一样的;另一方面,易用性其实是目前网银安全技术产品的应用瓶颈。而后者正是“2009中国国际电子银行发展论坛”上,与会者讨论的焦点话题。
其实,从数字证书到USBkey再到动态口令卡,业界对网银安全工具的技术问题的争议已经很少了,大家更关注的网银安全工具的易用性和厂商的行业经验。目前,国内市场应用的主流是USBkey,而国外银行大多是应用动态口令卡,采用双因子认证(一是认证网银用户的用户名和密码,二是通过动态口令卡等身份认证方式来认证用户信息)。论坛上,来自英国渣打银行、瑞士邮政银行、美国花旗银行、意大利BNL银行的四位网银专家分别从各自所在银行的应用实践角度出发,分享了其网上银行应用安全保障的经验。
Tags: 网银 数字证书
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:
2009年7月28日
用户说某产品的测试:高开低走,最后停盘
今天在某省级政府单位进行技术沟通,谈到他们测试的流量控制系统,用户说了一句很经典的话:
“高开低走,最后停盘”
我问,详情如何?
曰:测试的产品一款不如一款,最后直接断网了……有的挂上慢一些也就罢了,“杀敌一万,自损三千”尚且可以理解,但是某款宣传的蛮好的产品居然挂上之后网卡和交换机有兼容性问题,乃至于无法上网!还有某厂家的测试的时候需要一个个的添加帐号,否则无法上网。配合测试的工程师直接说:算了吧,上千人添上都累死了……不用测了。
所以说产品的测试是“高开低走,最后停盘”。
游侠想说:
做产品,一定要以客户实际需求为主,切忌研发闷头写产品,否则注定是被市场抛弃。
不写了,明天早上还得被闹钟叫醒去外地给客户做网络安全测试……
估计睡眠时间6小时,明天至少在车上6小时。晚上回西安如果不出意外的话是得“披星戴月”。
“高开低走,最后停盘”
我问,详情如何?
曰:测试的产品一款不如一款,最后直接断网了……有的挂上慢一些也就罢了,“杀敌一万,自损三千”尚且可以理解,但是某款宣传的蛮好的产品居然挂上之后网卡和交换机有兼容性问题,乃至于无法上网!还有某厂家的测试的时候需要一个个的添加帐号,否则无法上网。配合测试的工程师直接说:算了吧,上千人添上都累死了……不用测了。
所以说产品的测试是“高开低走,最后停盘”。
游侠想说:
做产品,一定要以客户实际需求为主,切忌研发闷头写产品,否则注定是被市场抛弃。
不写了,明天早上还得被闹钟叫醒去外地给客户做网络安全测试……
估计睡眠时间6小时,明天至少在车上6小时。晚上回西安如果不出意外的话是得“披星戴月”。
Tags: 流控产品 网络安全 信息安全 流量控制
发布:网路游侠 | 分类:游侠随笔 | 评论:1 | 引用:0 | 浏览:
2009年7月27日
数据泄露防护DLP市场八大预测
在中国市场上,存在两种截然不同的数据泄露防护(DLP)解决方案。一种由国外信息安全厂商所提供,来自赛门铁克、麦咖啡、EMC(RSA)、趋势科技、Websense等。这类DLP解决方案以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露;另一种是由国内信息安全厂商提供,以文档透明加密和权限管理为核心,结合了文档备份、文档外发控制、网络边界控制、终端管理等功能。这一类以北京亿
Tags: DLP市场 数据防泄漏 数据泄漏防护 DLP产品
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
2009年7月27日
中国数据泄露防护(DLP)市场分析
根据所部署的位置的不同,数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。大部分数据泄漏防御方案是基于网络类型,少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处,所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。
Tags: DLP市场分析 DLP市场 DLP厂家 DLP产品
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
2009年7月27日
娱乐新闻:瑞星旗下卡卡网站遭黑客攻击并挂马
请注意:这是一条娱乐新闻 :)
虽为娱乐,但事情为真。
虽为娱乐,但事情为真。
Tags: 瑞星被黑 瑞星被挂马 卡卡被黑 卡卡网被黑 卡卡被挂马 卡卡网被挂马
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
2009年7月27日
信息安全QQ群里面有哥们发的国内做文档安全的厂家
国内:
--北京:清大安科、大恒、亿赛通、思智泰克、中科网航、明朝万达、方正、博瑞勤;
--上海:华御、前沿、网伦;
--深圳:铁卷、易锁、巨石、紫色力腾
--南京:新模式;
--无锡:江阴安腾,江阴天恒;
--武汉:天喻,风奥;
--成都:卫士通
--济南:华软金盾
--西安:安智
台湾:
--TrustView/Blorg/新人类/
韩国:
--Fasoo/MarkAny
美国:
--AirZip/PGP/EMC
加拿大:
--RightSmarket
欢迎加入信息与网络安全QQ群,号码:1255197
--北京:清大安科、大恒、亿赛通、思智泰克、中科网航、明朝万达、方正、博瑞勤;
--上海:华御、前沿、网伦;
--深圳:铁卷、易锁、巨石、紫色力腾
--南京:新模式;
--无锡:江阴安腾,江阴天恒;
--武汉:天喻,风奥;
--成都:卫士通
--济南:华软金盾
--西安:安智
台湾:
--TrustView/Blorg/新人类/
韩国:
--Fasoo/MarkAny
美国:
--AirZip/PGP/EMC
加拿大:
--RightSmarket
欢迎加入信息与网络安全QQ群,号码:1255197
Tags: 文档安全 电子文档加密 文档加密 文档权限管理
发布:网路游侠 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
2009年7月27日
试了下鼎普猎隼涉密计算机上网监察取证系统
主界面的图,挺丑的……鼎普的兄弟们别怪我说实话
总体来看软件的功能还是不错的,但是有些地方并不人性化,比如:
左侧的快捷功能菜单必须双击,单击不行……
菜单的“全屏”居然只是主显示屏部分的全屏
没有一次列出所有的设备,并没有列出是否和安全策略匹配
口令强度策略这里,我点了没出来结果……
在上网记录检查这一点,鼎普的“强力搜索”明显很不错
详细的功能就不说了,毕竟是一款涉密计算机用的产品 :)
备注下,产品名称:猎隼,后一个字读音是:sǔn
总体来看软件的功能还是不错的,但是有些地方并不人性化,比如:
左侧的快捷功能菜单必须双击,单击不行……
菜单的“全屏”居然只是主显示屏部分的全屏
没有一次列出所有的设备,并没有列出是否和安全策略匹配
口令强度策略这里,我点了没出来结果……
在上网记录检查这一点,鼎普的“强力搜索”明显很不错
详细的功能就不说了,毕竟是一款涉密计算机用的产品 :)
备注下,产品名称:猎隼,后一个字读音是:sǔn
Tags: 猎隼 涉密计算机取证 鼎普取证系统 计算机取证系统 鼎普检查工具
发布:网路游侠 | 分类:信息安全 | 评论:0 | 引用:0 | 浏览:
Tags
- 数据库审计 (42)
- WEB应用防火墙 (30)
- WAF (30)
- 数据库安全 (27)
- 网路游侠 (24)
- 风险评估 (22)
- 信息安全 (21)
- 网络安全 (20)
- 等级保护 (19)
- 介质管理 (18)
- 保密检查工具 (18)
- 移动存储介质管理系统 (17)
- 移动存储介质管理 (16)
- 上网行为管理 (16)
- 网页防篡改 (16)
- WEB防火墙 (16)
- SEO (15)
- 张百川 (15)
- 应用防火墙 (15)
- 内网安全 (14)
- 启明星辰 (14)
- 汉邦软科集团 (14)
- WEB安全 (14)
- 北京汉邦 (13)
- 上海汉邦 (13)
- 数据库审计系统 (13)
- 网站防篡改 (13)
- 安全猎头 (13)
- 数据库扫描 (12)
- 计算机保密检查工具 (12)
- 网站安全 (12)
- 漏洞扫描 (11)
- 网络审计 (11)
- UTM (11)
- 信息安全博客 (10)
- 网络安全博客 (10)
- 安全审计 (10)
- 文档加密 (10)
- 介质管理系统 (9)
- 保密检查 (9)
- 游侠博客 (9)
- 服务器审计 (8)
- 磁碟机 (8)
- SOC (8)
- 计算机保密检查 (8)
- SSR (8)
- 上网行为管理系统 (8)
- 数据库评估 (8)
- McAfee (8)
- 中航嘉信 (8)
- 云安全 (8)
- U盘病毒 (7)
- IDS (7)
- 安全服务 (7)
- 绿盟科技 (7)
- 内网安全管理 (7)
- 移动介质管理 (7)
- 数据库监控 (7)
- 磁碟机病毒 (7)
- 服务器加固系统 (7)
- 服务器安全加固系统 (7)
- IPS (7)
- 终端安全 (7)
- 数字证书 (7)
- WEB安全网关 (7)
- MSSP (7)
- XSS (7)
- 分级保护 (6)
- 信息安全风险评估 (6)
- 防火墙 (6)
- U盘管理系统 (6)
- U盘管理 (6)
- 搜索引擎优化 (6)
- VMWare (6)
- 智恒联盟 (6)
- 英语九百句 (6)
- 英语900句 (6)
- 网路游侠博客 (6)
- 山东中孚 (6)
- 桌面管理 (6)
站内搜索-Search
- 找不到需要的?搜下试试!
日历
网站分类
文章归档
- 2010 August (8)
- 2010 July (36)
- 2010 June (40)
- 2010 May (30)
- 2010 April (33)
- 2010 March (40)
- 2010 February (19)
- 2010 January (42)
- 2009 December (31)
- 2009 November (21)
- 2009 October (14)
- 2009 September (17)
- 2009 August (25)
- 2009 July (56)
- 2009 June (78)
- 2009 May (21)
- 2009 April (30)
- 2009 March (26)
- 2009 February (31)
- 2009 January (17)
- 2008 December (23)
- 2008 November (33)
- 2008 October (53)
- 2008 September (27)
- 2008 August (42)
- 2008 July (32)
- 2008 June (44)
- 2008 May (71)
- 2008 April (168)
- 2008 March (227)
- 2008 February (119)
- 2008 January (24)