作者： 安华金和

“CSDN泄密事件”、“小米用户账号信息曝光”、“Facebook数据泄”和“12306网站用户泄密事件”，“携程网数据库数据恶意删除”……触目惊心的数据泄漏事件一件接一件层出不穷。由数据库安全原因爆发的安全问题越来越多，引起政企事业单位和社会的极大关注与反思。 当前信息化安全时代，以数据库为基础的信息系统在金融、保险、医疗、通讯等领域的基础设施建设中都得到了非常广泛的应用。在这一新的网络环境下，...

WordPress 4.2.3现已提供更新。这是一个关键的安全维护版本版本，我们强烈建议您立即更新您的网站。WordPress的版本4.2.2及更早版本都受到一个关 键的跨站点脚本漏洞, 这可能会允许匿名用户控制一个网站。

传统的信息安全解决方案主要是通过网络传输通道加密、PKI或增强身份认证、防火墙、IPS、堡垒机等技术构成综合的信息安全应对策略，但这些方案在现实中变得弱不禁风，大量信息泄露事件频繁爆发，数据库在近期泄露事件中成为了主角。 这与我们在传统的安全建设中忽略了数据库安全问题有关，在传统的信息安全防护体系中数据库处于被保护的核心位置，不易被外部黑客攻击，同时数据库自身已经具备强大安全措施，表面上看足够安全...

数据库加密作为近年来兴起的数据库安防技术，已经被越来越多的人所重视。这种基于存储层加密的防护方式，不仅可以有效解决数据库明文存储引起的泄密风险，也可以防止来自内部或者外部的入侵及越权访问行为。 从技术手段上来看，现今数据库加密技术主要有三大类，分别是前置代理及加密网关方式、应用层加密方式以及后置代理方式。这三类技术各自的特点如何，彼此之间孰优孰劣，下文详尽介绍。 前置代理及加密网关技术 该技术思路...

北京安华金和科技有限公司（简称安华金和）长期致力于帮助客户应对数据库安全领域的威胁。为了提高数据库用户的安全意识，快速反馈最新数据库漏洞被利用方向，安华金和数据库攻防实验室（以下简称：DBSec Labs）最新发布《2015年上半年数据库漏洞威胁报告》。数据选取截至2015年上半年，该报告用于快速跟踪及反馈数据库漏洞的发展态势。 报告核心观点 上半年数据泄密事件回顾 Web数据库依旧是黑客的主要攻...

【IT168 访谈】企业如果要成为数据泄露频发事件的“幸存者”，不妨认真聆听安华金和CEO刘晓韬怎么说? 随着近几年数据泄露事件频发，包括一些拖库、撞库的事件也引起了众多网友的关注，个人隐私的泄露成为广大网友比较关注的问题，越来越多的企事业单位对此重视度提高。安华金和作为一家为客户持续提供全面的数据库安全产品及解决方案的厂商，对此有着自己独特的视角和看法。近期，安华金和CEO刘晓韬做客IT168演...

背景 最近《经济参考报》报道我国高校成为信息泄漏的重灾区，自2014年至2015年3月，漏洞分析平台补天显示的有效高校网站漏洞多达3495个。这些漏洞有的已造成教职员工或学生个人信息泄漏。西安交通大学信息安全法律研究中心主任马民虎表示，一方面高校涉及人数众多，并且包括大量学生和教授的隐私信息；另一方面很多重要院校还承担着国家众多科研和军工项目，这些都可能成为不法分子的目标。 随着校园信息化的快速建...

NowSecure公司的安全研究人员表示，三星智能手机可被劫持，被恶意软件感染，并被咖啡店、酒店等地的恶意WiFi热点远程控制。研究人员表示有6亿部三星手机存在远程代码执行漏洞，且是一个软件设计漏洞。解决方案是避免连接不受信任的无线、在受信任网络中使用VPN、或者换手机。 触摸屏键盘app的自动更新未验证真实性 NowSecure表示，与三星Galaxy S6、S5、S4以及S4 Mini绑定的触...

一个大型的应用系统就如同一个国家，维护国家的安全与稳定需要一整套的防御体系，同样维护一个应用系统的运行也需要一整套的安全防护体系。接下来我们从大明太祖高皇帝朱元璋的安邦治国策略来一起看看系统安全策略。 大明太祖高皇帝朱元璋，消灭群雄，建立明朝，统一中国；这就如同建立了一个庞大的应用系统。 为了抵御外敌修筑长城， 这就犹如在应用系统构筑了一道抵御外部入侵的网络防火墙。 为了刺探情报，监督百官，设置了...

Adobe Flash恶意软件攻击一如继往的呈上升趋势，报告显示今年第一季度利用没打补丁的Flash漏洞的恶意软件激增了317%。 迈克菲实验室将其归为如下几个因素： 该技术应用的普遍性 用户打补丁的延迟性 漏洞利用新方法的出现 移动设备对Flash文件兼容性的增加 某些漏洞难以检测 像Flash这种在全球广泛应用的产品，任何问题和漏洞都会威胁到亿万用户。 几天前，Adobe初步修复了42个提交到...

根据安全专家Incapsula披露的最新版《DDoS威胁环境报告》，尽管尽管有71%的网络层攻击持续不到3小时，但仍有20.4%的攻击持续了5天以上。Incapsula指出，按照4万美元/小时的价格来估算，这些攻击的总成本可达数百万美元。，记录最长的攻击更是持续了64天的时间。此外，如果某个站点曾被攻击，那么它很可能会再次遇袭，平均为每10天一次；另外20%的网站会被攻击5次以上。 Incapsu...

本文对网络信息安全攻击的实例考察，通过了解黑客攻击的路径及技术手段，让读者初步建立信息安全攻击威胁的感性认识，让安全从业者更多站在攻击者的视角思考安全防护。

【前言】 日前谷歌公开了一个今年1月份更新的漏洞。这个漏洞修复了一个存在于Android5.1版本以下图片渲染的问题，可以查看相关链接。 9patch是Android上特有的一种图片格式，就是在普通的png图片的基础了增加了一些像素的边框，使之具有可随意拉伸、缩放的功能。 【9patch文件格式概述】 前面说到9patch文件是一种特殊png图片，我们先来看下png文件结构。 在png文件的起始处...

近年来，人们对信息安全的重视程度逐渐增加，然而仍然有大量的信息泄密事件呈井喷状，不断闯入大众视线。这些事件所涉及的泄密源，往往是传统安全防护手段难以涵盖的数据库存储层面。入侵者或利用职权之便，或直接采取行动入侵数据库主机，从而将不设防的数据库存储文件整体窃走并还原。这种简单粗暴却屡屡见效的方式背后，隐含的重大安全需求便是——数据库安全，用户需要有效的加密技术作为存储层防护手段。 对数据库存储层进行...

果然被小编说中了，还记得我昨天的资讯么“互联网专场”，结果携程蹲了。除了这个大热点，让我们一起看看今天还有哪些安全问题： 中企动力SQL注入导致2w多名员工明文账号密码泄露(来源：WooYun) 携程网官网出现网络故障，称服务器遭到不明攻击(来源：cnnvd) 某国家质量监督检验中心SQL注入导致大量合同信息泄露（来源：vulbox） 广西卫生厅某系统可能泄露全省千万居民敏感信息（来源：补天） 太...