利用数据库漏洞扫描评估数据库安全性 6 渗透攻击
前面的文章中,我们分别测试了数据库漏洞扫描系统的授权扫描、弱口令扫描、非授权扫描,今天我们测试Oracle数据库下的“渗透攻击”,由于此模块具备破坏性,所以尽量不要在实际环境中测试,游侠安全网(www.youxia.org)强烈建议您搭建一个仿真环境进行测试。OK,let’s go ! ...
-
21阅读
-
30阅读
利用数据库漏洞扫描评估数据库安全性 5 非授权扫描
在前面的文章中,游侠安全网已经给大家介绍了“数据库漏洞扫描系统”的“授权扫描”和“弱口令扫描”,今天我们来下针对MySQL和MS SQL Server的“非授权扫描”。 新建一个数据库漏洞扫描任务,这里为MySQL,输入地址、端口、实例名、数据库版本。 选择相应的数据库漏洞扫描策略 发起扫描……...
-
38阅读
游侠原创:说说交警“消违章”和医院“统方”的技术控制
前一周、上一周,CCTV曾经集中披露过一些地方的交警执法部门和第三方人员串通低价收费“消违章”的事情,今晚焦点访谈又播出了医院里面的非法统方(统计处方信息,药厂给医生回扣)事件。这些,本质上都是对数据的安全保障不够引起的。如果要结合等级保护来说,就是应用安全部分中的:身份鉴别、访问控制、安全审计几大...
-
7阅读
关于人性化设计 有时候也许是自以为是
游侠一直是个图省事的人……所以,即使是输入电子信箱这样的事情,也都是寻找更方便、更快捷的方式,比如:用输入法的“自定义”功能。非常方便!下面是搜狗的设置: 各位可以看到,我只要输入:mcse,就可以出来“微软认证系统工程师”,非常方便。很多网站的登录,账户名是电子信箱,游侠也用此种方式进行快速输入...
-
35阅读
再见,2012!你好,2013!
今天是2012年的最后一天,天气不错——难得晴朗的天气,天很蓝,久违了的好心情! 收到《中国信息安全》的稿费……算来好久没有收到稿费了,平时写东西都直接发博客,感谢编辑的支持。 还有51CTO“2012博客大赛”的奖品,2010年进入50强,今年100强→50强,最终又拿到优秀独立博客奖。感谢51...
-
26阅读
利用数据库漏洞扫描评估数据库安全性 4 弱口令扫描
在前面,游侠给大家介绍了数据库漏洞扫描的一些知识,并且发起了一次针对Oracle数据库的“授权扫描”,现在我们进行一次“弱口令扫描”,因为弱口令实在是数据库几乎最大的威胁,所以,在数据库漏洞扫描中专列了“弱口令扫描”。本项的目标依然是Oracle数据库。 发起扫描的方式如前面文章所言,在任务上鼠标右...
-
34阅读
利用数据库漏洞扫描评估数据库安全性 3 授权扫描
前面我们已经给数据库漏洞扫描系统增加了扫描任务,现在我们开始发起一次授权扫描。 授权扫描的意思是:在对数据库进行漏洞扫描的过程中,要输入帐号、口令等信息,属于“数据库管理员授权”进行的“正规”扫描。因为会输入帐号信息,因此可扫描的项目比其它方式更多。 OK,下面我们开扫! 右键在任务分组上选择我们...
-
21阅读
利用数据库漏洞扫描评估数据库安全性 2 创建扫描任务
游侠在上一篇给大家介绍了“数据库漏洞扫描系统”,可能有网友会关心系统的使用是否方便,本文游侠就与大家一起,做一次Oracle数据库的漏洞扫描。 测试环境: VMware下的Windows Server 2003 Oracle 10g(Windows版) 其它:无任何补丁 数据库漏洞扫描系统默认支...
-
33阅读
利用数据库漏洞扫描评估数据库安全性 1 概述
此前游侠安全网曾多次提到过数据库安全,同时也测试过1款国产的数据库漏洞扫描系统(测试报告见:使用数据库扫描系统评估数据库的安全性)。但是由于上次测试是在2009年,到目前已经有3年多,所以在拿到厂家送测的这款数据库漏洞扫描程序之后,第一时间撰写这个系列文章,奉献给大家! 无论是CRM、ERP,还是O...
-
16阅读
游侠原创:轻松加强电子邮件传输安全性
我们知道,电子邮件默认是通过明文的方式在网络上进行传输的,这就是说:只要有人能截获你的网络数据包,则你的邮件就没有保密性可言了。那么,怎么能快速、低成本的增强邮件传输安全性呢? 1、通过网页收发邮件 如果您用的是QQ邮箱,可以通过打开 https://mail.qq.com 的方式登录邮箱,http...
-
14阅读
假货横行:网络、电视、官方媒体无一例外
网络上各种负面信息、假信息泛滥,真的已经到了必须整治的地步。再加上一些无良搜索引擎的推波助澜,假手机贩卖的、假家电维修的、假机票…… 下图就是百度“小辣椒”搜到的结果: 我们可以看到,前三个搜索结果都是竞价排名的,并且,都不是官方网站, 试问:在上面这三个网站买到假货,或者上当受骗,百度为此负责么...
-
18阅读
问:非技术人员设置的服务器在互联网上能活多久?
朋友的服务器,周三下午才上线,周四上午就发现被骇客入侵,他的说法是:杀毒软件查出来好几个病毒。然后让我帮忙看看。 一查不要紧,上面各种木马、后门,查出来五六个……当然,游侠还是又换了一种杀毒软件,此前的虽然大家也都知道名字,但是游侠还是卸载之,换上了另一家的,交叉杀毒,效果会好一些。算起来,已经是1...
-
15阅读
游侠随笔:关于业务型数据库审计 有图有真相
2005年,游侠的老东家就在卖数据库审计,到现在也算是八年抗战了……说一点点感想: 在不算久远的过去,那时候应用基本都是C/S模式,数据库审计非常简单 客户端→数据库服务器 只需要把流量镜像过来就OK了 无非就是审计源和目的IP、源和目的MAC、登录账号、数据库名、表名、语句、返回值 渐渐的,三层...
-
16阅读
最近收到的几本安全类书籍
出版社的朋友送的样书,有的也是游侠此前想买的,刚好这次送了。看看定价,也都不低……现在信息安全、网络安全类的书籍由于买的人少,所以价格也往往相对较高……像大众娱乐类书籍,找一些娱乐编辑就能出,但是安全类的,特别是国外的,往往得找专业人员翻译,还得多人校对,并且买书的人还不算多……毕竟,安全算是个小众...
-
99阅读
HTTPS页面打不开的解决方法
今天在游侠的某个QQ群中有朋友提到: 看问题: 1、Windows 7系统+IE9+VPN站点(SSL VPN),打不开 2、同样的SSL VPN,Windows XP+IE8可以打开 游侠突然想到了前一段公司内部邮件中,提到了微软的KB2661254补丁,大意是:该补丁对HTTP SSL证书最小...
-
20阅读
利用科来数据包播放器实现网络数据回放
有时候我们会遇到这样一种场景: 在客户网络中用抓包软件把存在问题的数据包抓下来之后,回到公司进行网络数据分析。但是由于纯粹的网络分析软件有的并不好用,因此有时候我们希望把数据发送到专业设备,如网络审计、数据库审计、入侵检测中去,有没有方便、快捷的方式呢?——有!(废话,要是没有,你也就不会看到本文了...
-
8阅读
游侠安全网 独家:360私有云发布Windows平台测试版
游侠安全网在前一段曾经给大家介绍过360私有云的一些情况(原文)。当时的系统基于CentOS,而今天游侠拿到的版本则是Windows版本。 当然,Windows下的360私有云部署是非常简单的,安装包可以从网站下载,目前版本为283MB,估计将来的正式版会比这个版本大一些……毕竟要增加一些功能。对硬...
-
18阅读
游侠原创:网络应用瑞士军刀——Zentyal(4 常用命令)
前一段,游侠曾经针对Zentyal写了三篇文章: 游侠原创:网络应用瑞士军刀——Zentyal(3 中文支持)2012-09-22 游侠原创:网络应用瑞士军刀——Zentyal(2 配置向导)2012-09-22 游侠原创:网络应用瑞士军刀——Zentyal(1 安装)2012-09-22 今天...
-
17阅读
游侠原创:网络应用瑞士军刀——Zentyal(3 中文支持)
前面游侠说过,Zentyal基于Ubuntu。因此支持多语言不是问题,并且配置起来比较简单。下面游侠给大家说下如何配置中文。 前提: 你的Zentyal可以连接到互联网,以方便下载语言包。 登录Zentyal,在左侧菜单中,依次: Core→System→General→Languate selec...
-
20阅读
游侠原创:网络应用瑞士军刀——Zentyal(2 配置向导)
Zentyal虽然是一款多功能的服务器、安全软件,但是其安装、配置过程却不繁琐。上一篇游侠给大家介绍了Zentyal的安装,现在说说装完之后的配置向导。老规矩——有图有真相! 在Zentyal桌面打开快捷方式后,浏览器默认是https://localhost,首页可以选择模块。上面的其实有4个大选项...
