游侠试图向QQ群上传一个PPT,看到说居然只能上传4M的,而这个PPT是6M,利用PowerPoint 2007自带的压缩进行了优化,发现只能压缩到4.5M,用WinRAR最高压缩率进行压缩,发现到4.2M,还是不行!
于是百度了下,找到了NXPowerLite这个软件,号称可以极大程度的给PowerPoint生成的.ppt瘦身。软件的汉化绿色版不到1M,设置下软件:
月度归档: 2010年6月
游侠原创:关于计算机安全检查取证系统中几个功能的展示
此前很多朋友都说,很多计算机安全检查取证系统的一些功能,都是仅限于“听说”有某些功能,没见过,今天游侠(www.youxia.org)从某厂商要了一套软件,给大家看看,要不对于一些概念还是难以理解。
游侠原创:某厂家新发布的数据销毁工具
此前在游侠博客提到过很多次数据销毁工具,最近某厂家也新推出了一款,并给www.youxia.org发了一份测试。这里给大家看一下。老规矩,上图吧……这事情如果像白皮书那样说不清楚……
图标菜单,很清晰。具体功能:数据粉碎、磁盘粉碎、痕迹清理、参数设置、历史记录。下面的均用图描述,“有图有真相”,嘿嘿。
产品可以添加文件和文件夹进行销毁,我们看图例,我这里设置了几个文件和文件夹,大家可以看到,只需要选择“涉密数据”和“普通数据”即可。界面是一样的,我这里举个例子。
前苏联军官泣血告中国:永远别信美国真实谎言
前苏联上尉军官科什别里雅科维奇:作为曾经的前苏联军官,我现在已经被解除了武装。
我目前定居在法国,之所以来到这个国家,我要看看在那个“春色”年代,我并没有去曾经向往的“圣殿”。但是,我究竟看到了什么?美国人在那个时代主办了一个叫做‘莫斯科之春“的俄语电台,在驻军营房中,我经常半夜起身,来收听。在收听中,我知道了原来所谓的苏维埃,是一个民族主义极端政party。他在把世界与我们拖入战争的深渊。而美国仅有美国是一个唯一可以阻止他的圣洁的国度。
communistparty政权在88-89年几乎在同一年内,在东欧原社会主义国家内,”灰飞烟灭“。当时的我认为,这是我们开始走向新的进步的前奏。随后,伟大的苏联,在一位伟人新的号召下,解体了。我们再也不需要面对”潜在敌人“了。世界上已经没有了我们的敌人。美国人是我们的救世主。我当时,也是这样的考虑与思索。但是,紧随其后,我们出现了严重的经济危机,美国人承诺的127亿美元的援助,没有到来,到来的是我的5200卢布月薪买不到1公斤面包。
…
风讯网站管理系统awardAction.asp页面存在SQL注入
发布日期:2010-06.26
信息来源:WAVDB
影响版本:FooSun > 5.0
程序介绍:FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析:
在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString(“Integral”)) //第14行
if action=”join” then
User_Conn.execute(“Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values(“&CintStr(prizeID)&”,'”&session(“FS_UserNumber”)&”‘,”&CintStr(awardID)&”)”)
…
如何从空白起点建立完善的信息安全体系[zt]
帖子是shiter兄弟在cisps发起的,正文如下:
看多了大家对技术和管理的讨论,无论是“三七”还是“四六”,围绕的始终是单一产品、几种技术、某类认证等等。换句话说,讨论的始终是在一个点、几个点的层面上,当然,有些有深度的帖子回复可以达到“面”的程度!
但我们知道,信息安全从来都是立体防御、纵深防御–貌似有点装专家的感觉了,大家明白我说的啥意思就行。
现在
游侠原创:某WEB应用安全扫描器介绍
游侠安全网(www.youxia.org)拿到了某厂商送来测试的Web Application Security Scanner,专门针对WEB应用安全的扫描器,该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞,并且具备渗透测试功能。
商务部关于做好接入国家电子政务外网工作的通知
2010年6月11日,商务部办公厅发布通知,根据《国家发展改革委、财政部关于加快推进国家电子政务外网建设工作的通知》(发改高技〔2009〕988号)的要求,商务部决定利用国家电子政务外网(以下简称政务外网),连接各省、自治区、直辖市、计划单列市及生产建设兵团商务主管部门(以下简称地方商务主管部门)和中国对外贸易中心(以下简称外贸中心),并依托政务外网建设商务系统视频会议系统。根据计划要求,2010年7月9日前地方商务主管部门和外贸中心接入政务外网。
有关事项通知如下:
一、接入工作目标
…
数据库安全十大漏洞
这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞:
1.默认、空白及弱用户名/密码
2.SQL注入
3.广泛的用户和组权限
4.启用不必要的数据库功能
5.失效的配置管理
6.缓冲区溢出
7.特权升级
8.拒绝服务攻击
9.数据库未打补丁
10.敏感数据未加密
此前,另一个公司也给出过数据库安全十大威胁,两者基本一致。
威胁 1 – 滥用过高权限
威胁 2 – 滥用合法权
威胁 3 – 权限提升
威胁 4 – 平台漏洞
…
日志管理:信息安全的必备武器
有一篇来自英国的IT自由撰稿人写的博文,对日志管理(Log Management,LM)这个技术进行了一番自己的分析。可以说,全世界IT人士对LM的认识基本上都是一致的,包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的,那就是内控与合规。Kevin将合规分为三种类型:
1)法律要求的合规,就像是美国的SOX,国内例如刑七
2)商业领域的合规要求:就是行业规范,例如PCI-DSS,国内例如金融行业的内控指引,《企业内部控制规范》等;
3)政府领域的合规要求:就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo,当然美国有FISMA,中国的政府领域不仅包括行政机构,还有行政事业性单位,甚至国有企业,那就是等级保护了。
…
借助日志审计保护网络安全 转
这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下:
[注]这应该是一个比较早(2006或2007)的文章了,因为Anton Chuvakin在08年就去了LogLogic,而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还是写的不错的。
日志数据可以是有价值的信息宝库,也可以是毫无价值的数据泥潭。要保护和提高你的网络安全,由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难,并且找到安全事件的根本原因。
当然,日志数据对于实现网络安全的价值有多大取决于两个因素:第一,你的系统和设备必须进行合适的设置以便记录你需要的数据。第二,你必须有合适的工具、培训和可用的资源来分析收集到的数据。
…
赛迪顾问中国信息安全产品市场研究年度报告2010摘要
最近,赛迪网刊载了《中国信息安全产品市场研究年度报告2010》的部分内容摘要。摘要提到:
在政府和园区方面,赛迪顾问对北京、成都、南京、广州等信息安全产业集聚园区进行深入访谈研究;
对行业内厂商,赛迪顾问对包括天融信、启明星辰、卫士通、东软、浪潮、航天信息、绿盟、安氏领信、北信源、网御神州、蓝盾、H3C、网康、山石、联想网御、三零盛安、赛门铁克、IBM、HP、EMC、华为赛
数据库审计产品购买者指南 V0.8 [转帖]
引言
随着信息技术的不断发展,数字信息逐渐成为一种重要资产,尤其是在过去的20多年里,作为信息的主要载体——数据库,其相关应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高,各种数据信息,尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾,网络技术使得数字信息的泄漏和篡改变得更加容易,而防范则更加困难。
更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
…
Gartner公布六月DLP数据防泄漏产品全球四强
Gartner分析认为,出现在领导者象限中的厂商”展示出了对客户需求的深刻理解,并且能够直接或通过完善的合作伙伴关系及紧密集成提供涵盖网络、发现和终端三大功能领域的全面解决方案。居于领导者象限的厂商都有着明确而积极的发展计划,并且会切实执行,在发展中全面增强现有功能以满足日益变化的市场需求,从而保持领导者地位。”
这四个厂家是:Symantec、McAfee、WebSense和RSA。
安全猎头:支付宝,杭州,JAVA开发工程师,7人
JAVA开发工程师
工作地点:杭州
人数:7
工作摘要:
从事互联网安全产品的研发,如数字证书、支付盾、CTU(安全防护体系)
职位描述:
1、进行业务需求分析、系统设计和软件概要设计;
2、进行软件详细设计和编码实现,确保安全、质量和性能;
3、维护和升级现有软件产品,快速定位并修复现有软件缺陷;
4、负责相关产品的文档编写。
职位要求:
1、本科及以上学历,计算机软件或相关专业;
2、四年及以上J2EE项目开发经验;
3、熟练掌握J2EE,包括Spring、Spring mvc、iBatis、struts、ESB等框架;熟悉Linux、Cache、HTML、UML等相关技术;
…