从空虚浪子心的博客转过来的。
sablog1.6的CSRF漏洞POC。这个在我的blog中测试成功,官方下载的最新版本测试成功,但是在小泽的blog失败的。原因是他自己修改了源程序,判断了referer。
POC:
SHELL代码评论时,网站地址输入:http://www.inbreak.net/blog 然后内容是:你好,可以给我做个链接么? 管理员后台登陆后,如果点
网络空间安全:资讯、技术、法规、趋势……
从空虚浪子心的博客转过来的。
sablog1.6的CSRF漏洞POC。这个在我的blog中测试成功,官方下载的最新版本测试成功,但是在小泽的blog失败的。原因是他自己修改了源程序,判断了referer。
POC:
SHELL代码评论时,网站地址输入:http://www.inbreak.net/blog 然后内容是:你好,可以给我做个链接么? 管理员后台登陆后,如果点
在数据防护(DLP)领域,除了开源外,包括Reconnex, Orchestria, Vontu, Provilla和Tablus等新兴创新性数据防护(DLP)技术厂商都相继被麦咖啡,CA,赛门铁克,趋势科技以及RSA(EMC下属的安全公司)所吞并,尽管Fidelis Security Systems这样的公司依然保持独立运营。
随着数据防护(DLP)领域掀起的收购狂潮,成熟的安全厂
圈里有这样一则真实的故事:某银行软件开发中心的一位工程师费劲心血开发出一套网银安全认证程序。之后,他恰好调到网络银行业务部门,于是他决定体验一下用自己开发产品的感觉。结果,耗费了一天的时间,他都没能安装利索自己开发的软件。
这则故事告诉我们:一方面,软件开发者和应用者的思维逻辑和关注重点是不一样的;另一方面,易用性其实是目前网银安全技术产品的应用瓶颈。而后者正是“2009中国国际电子银行发展论坛”上,与会者讨论的焦点话题。
其实,从数字证书到USBkey再到动态口令卡,业界对网银安全工具的技术问题的争议已经很少了,大家更关注的网银安全工具的易用性和厂商的行业经验。目前,国内市场应用的主流是USBkey,而国外银行大多是应用动态口令卡,采用双因子认证(一是认证网银用户的用户名和密码,二是通过动态口令卡等身份认证方式来认证用户信息)。论坛上,来自英国渣打银行、瑞士邮政银行、美国花旗银行、意大利BNL银行的四位网银专家分别从各自所在银行的应用实践角度出发,分享了其网上银行应用安全保障的经验。
…
今天在某省级政府单位进行技术沟通,谈到他们测试的流量控制系统,用户说了一句很经典的话:
“高开低走,最后停盘”
我问,详情如何?
曰:测试的产品一款不如一款,最后直接断网了……有的挂上慢一些也就罢了,“杀敌一万,自损三千”尚且可以理解,但是某款宣传的蛮好的产品居然挂上之后网卡和交换机有兼容性问题,乃至于无法上网!还有某厂家的测试的时候需要一个个的添加帐号,否则无法上网。配合测试的工程师直接说:算了吧,上千人添上都累死了……不用测了。
所以说产品的测试是“高开低走,最后停盘”。
游侠想说:
做产品,一定要以客户实际需求为主,切忌研发闷头写产品,否则注定是被市场抛弃。
不写了,明天早上还得被闹钟叫醒去外地给客户做网络安全测试……
估计睡眠时间6小时,明天至少在车上6小时。晚上回西安如果不出意外的话是得“披星戴月”。
在中国市场上,存在两种截然不同的数据泄露防护(DLP)解决方案。一种由国外信息安全厂商所提供,来自赛门铁克、麦咖啡、EMC(RSA)、趋势科技、Websense等。这类DLP解决方案以信息分类为基础,结合外设及网络协议控制、信息过滤等技术来防止敏感数据泄露;另一种是由国内信息安全厂商提供,以文档透明加密和权限管理为核心,结合了文档备份、文档外发控制、网络边界控制、终端管理等功能。这一类以北京亿
根据所部署的位置的不同,数据泄漏防御方案可以分成基于网络的数据泄漏防御方案(NDLP)和基于主机的数据泄漏防御方案(HDLP)。大部分数据泄漏防御方案是基于网络类型,少部分是基于主机类型。基于网络的数据泄漏防御方案通常部署内部网络和外部网络连接的出口处,所针对的对象是进出单位内部网络的所有数据。基于主机的数据泄漏防御方案则部署在存放敏感数据的主机上,当其发现被保护主机上的数据被违规转移出主机时,HDLP会采取拦截或警报等行为。
请注意:这是一条娱乐新闻 🙂
虽为娱乐,但事情为真。
国内:
–北京:清大安科、大恒、亿赛通、思智泰克、中科网航、明朝万达、方正、博瑞勤;
–上海:华御、前沿、网伦;
–深圳:铁卷、易锁、巨石、紫色力腾
–南京:新模式;
–无锡:江阴安腾,江阴天恒;
–武汉:天喻,风奥;
–成都:卫士通
–济南:华软金盾
–西安:安智
台湾:
–TrustView/Blorg/新人类/
韩国:
–Fasoo/MarkAny
美国:
–AirZip/PGP/EMC
加拿大:
–RightSmarket
欢迎加入信息与网络安全QQ群,号码:1255197
当前,保密工作人员在进行互联网保密检查时,由于检查方法不当或因存储防护措施不到位、查办过程措施不严等原因,造成了一些新的泄密隐患,这一问题应当引起我们的高度重视,并在技术上探索解决途径,在制度上建立保障措施。
科学选择搜索关键词。互联网保密检查效果如何,关键词的选择十分重要。对经常使用的关键词,每过一段时间,都要认真分析、反复筛选、科学选定,尽可能通过关键词把网上涉密信息的共性和特征
现年46岁的澳籍华人胡士泰恐怕不会想到,他会被中国国家安全机关拘捕。与胡士泰一起被拘捕的,还有他的三位同事。
7月9日,外交部新闻发言人秦刚证实,因为涉嫌为境外刺探和窃取中国国家秘密,澳大利亚力拓公司驻上海办事处的首席代表胡士泰等已于7月5日晚被中国国家安全机关依法刑事拘留。
此时,中国与包括力拓在内的国际“三巨头”的铁矿石谈判陷入了僵局。
今年,商务部全权将年度铁矿石谈判事宜放手给中钢协处理。1月9日,中钢协就提出了降价40%以上的降幅要求。
6月30日,2009年铁矿石谈判的最后截止日,力拓等国际铁矿石三巨头最终不接受中钢协要求。
…
编者按:日前,力拓“间谍门”事件有了突破性进展:有关涉案人员先后被捕、相关证据的收集、固定工作完成……力拓“间谍门”事件让公众对我国涉密数据信息安全保障工作的开展提出了质疑,同时也显示了我国在包括数据恢复、计算机取证在内的涉密信息安全领域的超强实力。相信在众多专业数据恢复、计算机取证设备的帮助下,包括力拓“间谍门”在内的众多害群之马最终必定会受到法律的制裁。
近段时间闹得沸沸扬扬的澳大利
产品还处于完全的内部测试阶段,预想中的功能比现在界面看到的多的多…