游侠安全网

相关厂商：www.sina.com
作者：http://weibo.com/evilniang
发现时间：2012-1-1
漏洞类型：sql注射
危害等级：高
漏洞状态：已修复

首先申明：该漏洞发现后本人已联系新浪官方修复漏洞，目前漏洞以修补。文章内容公布，仅供参考学习。

新浪网iask存在sql注射漏洞，利用漏洞可读取iask数据库内内容。包括明文密码在内的7000多W新浪

　　近15年是互联网从开始到火热的15年，从Web1.0到Web2.0，从B2B到B2C，从博客到微博，从传统支付到网上支付，从美国第一个www静态页面到目前的网银、网上营业厅、电子商务和电子政务的盛行，到今天接近1000万的国内网站数量，我们正在经历网络给我们带来的全新理念和惊喜，我们也正在承受敏感和隐私数据泄露甚至泄密的严峻挑战。从美国最终公开了互联网空间战略，到我们国内的黑色产业链的严谨分工

　　12月22日，国家互联网应急中心（CNCERT）通过网站发布了《关于CSDN中文社区用户帐号密码泄露的安全公告》，通报了CSDN中文社区大量用户账号和明文密码遭泄露的情况。事件发生后，CNCERT一方面密切关注后续发展情况，一方面紧急联系和协调相关网站开展应急处置，并组织召开专家研判会进行分析研判。现将相关情况通报如下：

　　一、信息泄露情况
　　截至12月29日，CNCERT通过公开

　　我们知道Acunetix WVS可以对网站进行安全性评估，那么怎么能批量扫描呢？游侠（www.youxia.org）在测试WVS 8 BETA2的时候发现WVS居然支持WEB管理，还是很方便的。
　　打开Acunetix WVS，点New Scan，在弹出来的界面可以看到有三个选项：

　　最下

用作渗透测试平台的系统已经很久没有升级了，刚给Nessus升级了下规则库。速度一如既往的慢……不过还好，没有提示“could not verify the signature of all-2.0.tar.gz”错误，就是万幸啊！ 新版本内置了几个规则，不过看了下配置，貌似各个规则之间没什么区别，按说局域网扫描、互联网扫描、WEB应用扫描规则应该是不一样的啊——还是，游侠我没搞明白？ 然后发现Ac...

　　近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载，国内外媒体频繁报道，影响恶劣，引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开，各报道中也针对系列事件向用户提出密码设置策略等安全建议。
　　注册用户数据作为网站所有者的核心信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。
　　针对近期部分互联网站信息泄露事件，工信部于2011年12月28日发布通告要求

最近安全的话题突然就爆了，几个月前我在公司内组织的安全培训的内容完全得到了验证。而稍早发的关于md5撞库和社工扫描库的博文简直就成了未卜先知。（罪过，真不是故意的，纯属巧合）。考虑到这个话题还是蛮多人在问，微博发不开，特此将一些培训中的观点整理出来，分享一下。

1. 安全是技术人员的事情

错！太多著名互联网公司因为客服，市场人员的安全意识疏忽，导致严重安全事故。安全意识必须是全员的，每一个接入公司网络的员工，每一个拥有公司邮件账号的员工，都应该具有基本的安全素质。

2.安全就是严防死守，封堵一切入侵途径
...

　　中国互联网最大规模的用户资料泄露事件正在进行时，自12月21日有黑客在网上公开了开发者技术社区CSDN用户数据库包括600余万个明文的注册邮箱账号和密码以来，上周末，又新增了十余家国内知名网站涉入密码外泄的消息。你的密码改了吗？已成为众多网民最流行的相互问候语。

　　事件回放

　　12月21日，黑客在网上公开了CSDN网站用户数据库。12月21日晚间，CSDN在其官网上发表声明承认

　　美国安全智库Stratfor Global Intelligence的网站在过去一周中遭到黑客攻击。美国当地时间周四晚间，黑客公布了该网站的大量用户数据。黑客公布的数据中包括7.5万姓名、地址、信用卡号码和密码，而数据来自曾经付费购买Stratfor服务的所有客户。其他数据还包括曾注册该网站的86万个用户名、电子邮件地址和密码。

　　此次攻击是由黑客组织Anonymous的成员发起的。这

　　10大搜索引擎共保驾 打响“钓鱼网站”阻击战

　　公安部确定首批7家金融机构官网搜索置顶

　　为防止网民误上钓鱼网站导致财产受损，公安部已会同中国银联、中国金融认证中心及部分商业银行共同研究解决办法，并与国内10家主要互联网搜索引擎公司（百度、人民搜索、必应、搜狐搜狗、网易有道、腾讯搜搜、雅虎、中搜、盘古、奇虎）协商，首批已将中国工商银行、中国农业银行、中国银行、中国建设银行、中

　　北京市公安机关近日破获一起网络黑客通过篡改网络游戏服务器数据非法获利案件，抓获犯罪嫌疑人6名，追缴赃款820余万元。据了解，今年以来，北京警方不断加大对网络违法犯罪活动的打击力度，共侦破网上诈骗、网络赌博等网络违法犯罪案件2600余起，打掉各类犯罪团伙15个，抓获犯罪嫌疑人2600余名。
　　
　　今年9月，北京警方接某互联网公司报案称：其公司游戏产品的服务器数据自今年5月以来被他

　　此前游侠曾经写过在Windows下面安装Nessus的文章，然后就有朋友问我，在Linux下面怎么安装？今天游侠以CentOS 6为例，讲解如何安装Nessus 4.4.1 。

　　操作系统游侠推荐用wdlinux——一个精简的CentOS，删除了一些无用的程序，速度飞快。下载地址为：http://www.wdlinux.cn/download_center 选择 基于 CentOS 6.0的精简版，游侠这里用的是64位版本。

　　南都讯 记者邓淋彦 政府主动公开信息，要在网站上同步发布。市市场监管局发布的深圳市标准化指导性技术文件《政府网站建设和管理规范》(以下简称“《规范》”)将从明年1月1日起实施。政府网站出现重大安全事故，网站恢复正常的时间不应超过1小时。对于网上咨询投诉，政府相关部门不能敷衍或作无效回答。

　　完整、准确、及时、有效。根据《规范》的要求，政府网站不得发布不真实、不完整或有歧义的信息。属于主

　　过去，信息安全工作主要围绕着网络层、主机层等边界防护采取了一系列的安全措施，已建立起相对安全的数据应用环境，但由于技术局限和相关安全产品匮乏等原因，数据库安全建设一直未能得到有效开展，这就造成了数据能够安全使用、传输，但“落地”以后反而变得不安全的问题。

　　近几年，在国内市场需求迅速膨胀和分级保护、等级保护等国家安全政策的刺激下，数据库防护技术有了长足的发展，如数据库漏洞评估技术、数据