游侠安全网

　　如果你打算从事IT行业或刚进入这个行业，也许本文下面的小内幕会吓到你，因为这些事平常都不会公开讨论的。如果你是IT资深人士，或许你已经遇到其中的大部分了。如果你愿意，请一起来参与讨论吧。

　　这些内幕大多数是针对网络管理员、IT经理和桌面支持专业人士。虽然这些小内幕并不针对开发人员和程序员（这两类人员也有对应的小内幕。），但有些或许也适用于他们。

　　10. 虽然IT业的薪酬比其他很多行业要好，但有公司因此视你为其“佣人”

　　尽管IT人士的薪水没有互联网泡沫之前要好，但和其他行业人士比较，IT人的薪资还算好点。在接下的几十年中，科技在商业和社会发展中所占分量会一直增加，所以我们完全有理由相信，IT专业人才的需求量也不会减少。
...

　　解放日报讯 (记者 简工博)修订后的《中华人民共和国保守国家秘密法》今天起正式实施。据悉，针对近年来信息化发展的现状和网络泄密高发的趋势，新修订的保密法对计算机网络保密管理提出了新标准，计算机信息系统将按照涉密程度不同，采取不同强度的管理措施，明确涉密计算机和储存设备不得接入互联网。

　　据悉，与保密法修订前相比，定密制度有了改变。不再赋予县级机关定密权和地级市机关绝密级定密权。不同密级

　　解放军报9月29日报道 9月3日，南京军区某装甲师召开安全保密专题教育动员大会。会上，宣布了对违反保密规定的人员处理决定，2名师机关科长作了检查，4名师机关干部被调离师机关。

　　前不久，该师保密委员会对师机关进行了一次安全保密检查，发现了涉密文件管理不正规等10个问题。对此，少数同志认为这次检查发现的问题，涉及的机关干部比较多，法不责众，只能大事化小，批评教育、整改问题、接受教训就行了。

　　然而，该师党委分析认为，必须维护保密法规的严肃性、权威性，不管涉及谁、涉及多少人都要按照规定处理。师党委研究决定，专门安排一天时间在全师开展安全保密专题教育，责令问题较多的两个科的科长作检查，将4名负有直接责任的干部调离师机关。
...

　　不少人喜欢在网上发布信息。一些信息，如一时冲动写下的不恰当评论或拍摄的不雅照片，日后可能给发布者带来麻烦。德国一名信息技术专家设想开发一种技术，让人们今后在互联网上发布信息时能给信息设置一个在网上留存的期限，超过期限，信息就会自动从网上消失。

　　办法
　　即使经常去删除发布在网上的文字和图片仍难以消除痕迹，因为搜索引擎会自动“梳理”网络，记下上面发布的一切信息。
　　德国萨尔州大学信息安全和密码系统专家迈克尔·贝克说，要想彻底清除所发布信息，“需要阻止数据自动存储”。
　　德新社２６日报道，按照贝克设想，只要在电脑中安装一个插件，在网上发布信息时就可以设置一个“失效日”。
...

　　KingCMS ASP是基于ASP+ACCESS构架的一款很不错的CMS系统，前台全部静态化处理，新一代 KingCMS 提供了更好的界面、更多的开发余地、更强大的扩展能力，现今也受到不少站长的欢迎。但是在没有正确设置系统的情况下会爆出一个致命的弱点，特别是针对比较懒的站长。
　　漏洞算不上0day，但是却具有0day的危害效果，主要是因管理为对后台路径和编辑器路径做更改，系统是使用FCKeditor编辑器，这个编辑器的漏洞大家都比较熟悉了，下面就给出具体利用方法。
　　利用前提：管理员未更改后台路径以及FCKeditor编辑器路径做更改。
...

从zhenker的百度空间转转过来的，游侠刚测试了下，可以用！OK , Let's Go !

UCenter Home 2.0 shop插件漏洞都叫做DZ 0DYAY了。真杯具。

注入页: shop.php
注入字段: (?)ac=view&shopid=
关键词: inurl:shop.php?ac=view&shopid=

　　只要略有知觉的人就都知道：这回学生的请愿[2]，是因为日本占据了辽吉，南京政府束手无策，单会去哀求国联，[3]而国联却正和日本是一伙。读书呀，读书呀，不错，学生是应该读书的，但一面也要大人老爷们不至于葬送土地，这才能够安心读书。报上不是说过，东北大学逃散，冯庸大学[4]逃散，日本兵看见学生模样的就枪毙吗？放下书包来请愿，真是已经可怜之至。不道国民党政府却在十二月十八日通电各地军政当局文里，又加

我们国内没有一家能有世界影响力的安全公司，亦或说像点样子的安全公司。当然，你和我说卫士通、启明星辰上市了……那谁、那谁，也上市了，但是除了卫士通、启明星辰是做安全的，其它那些上市的是纯粹的安全公司吗？他们只是在业务里面有安全这一块而已。

　　杭州安信检测技术有限公司招聘“攻防人员”

　　公司介绍
　　杭州安信检测技术有限公司是一家专业从事信息安全等级保护测评、信息安全风险评估、信息安全体系建设咨询与服务的独立第三方机构。是浙江省公安厅等级保护工作的主要技术支撑单位，及浙江省通报中心技术支持单位。
　　公司目前拥有信息系统测评实验室、物理安全测评实验室等专业信息安全测评实验环境，具有专业的检测工具、专业的信息系统安全测试软件及物理安全专业测试相关设备等。
　　与上海交通大学信息安全学院、DNV中国、国内信息安全专业机构及行业领先企业均建立了良好的合作关系和战略联盟。
...

　　在此前的文章中，游侠谈到过 [免费网络和主机漏洞评估程序Nessus 4.2.0安装试用]，可能有朋友注意到，Nessus只是扫描主机、网络设备等的漏洞，而对于目前相当流行的Web应用安全漏洞没有涉及，其实Nessus是有此项设置的，不过默认没有打开——理由是会延长扫描时间……游侠感觉还是有必要说一下的。
　　Nessus可以扫描的Web应用安全项目包括：
　　·SQL injection
　　·Cross-Site Scripting (XSS)
　　·HTTP Header Injection
　　·Directory Traversal
　　·Remote File Inclusion
　　·Command Execution
　　在Google搜了下，居然没有中文文档，就自己啃e文吧……

　　1 前言
　　目前信息化程度不断深入，极大推动了社会进步。同时由于信息数据易复制性和网络开发性也给信息数据的完整性、保密性、可靠性、可用性带来巨大威胁。
　　深圳信宏四季科技有限公司所研发的SecEInfo（安极）信息安全系统系列产品是以“信息数据安全为中心”，以“可信的人在可信的计算机上通过可信的网络访问单位核心数据资源为目标”，从“服务器数据保护、网络安全管理、终端主机文档加密管理、身

　　【报告概要】

　　2010年1月至6月间，木马、钓鱼欺诈网站是中国网民面临的主要安全威胁。以不良网址导航站、不良下载站、钓鱼欺诈网站为代表的“流氓网站”群体正在形成一个庞大灰色利益链，互联网安全问题开始进入“流氓网站”时代。以下为2010年上半年中国互联网安全六大特点：

　　1、360安全卫士、360杀毒、360木马防火墙、360系统急救箱、360帐号保险箱等360系列产品共截获各

　　有挺多朋友问游侠，数据清除类产品有什么功能？刚好游侠(www.youxia.org)拿到了某厂家的一套“涉密磁介质数据清除工具”。刚好，在这里截几个图。
　　本“涉密磁介质数据清除工具”的产品形式是光盘+USB加密狗，自带Windows PE操作系统，可以用此光盘启动计算机，这样即使您的计算机是非Windows操作系统，如Linux、FreeBSD也都没问题。当然，这样的话，您可能只能清除分区数据或清除物理硬盘数据。
　　下面是启动后的界面，最上面是主菜单，左侧是资源管理UI，右侧是主显示区。

　　如果你比较图省心，直接在涉密磁介质数据清除工具点“智能清除记录”，

　 神州数码网络公司针对电子政务提出了S.A.F.E解决方案集，它由四个部分组成：Safe（安全）、Availability（可靠)、multi-Function（多功能）、Easy-use（易用）。

1、Safe---符合等级保护要求的电子政务办公网方案
1.1 电子政务网络结构
　　按照《国家电子政务标准化指南》相关要求，三级以上网络属于涉密网络，网络需要分为政务涉密网、政务内网、政务外网，各网络之间通过安全设备进行隔离。在本建议书中，根据相关标准要求，只对政务内网和政务外网进行规划、设计，其中：
...

简要描述：
phpwind较高版本论坛中存在一个严重的漏洞，成功利用该漏洞可以远程执行任意php代码，影响phpwind 7和phpwind 8
详细说明：
pw_ajax.php中的
[CODE_LITE]
} elseif （$action == 'pcdelimg‘） {
InitGP（array（'fieldname','pctype’））；
InitGP（array（‘tid','id’），2）；
if （！$tid || !$id || !$fieldname || !$pctype） {
...