游侠安全网

　　应香港生产力促进局邀请，北京知道创宇信息技术有限公司将于2010年7月15~16日赴香港进行面向香港地区关于Web 2.0应用下的安全防护知识讲座。

　　知道创宇主题演讲 - SNS攻击及防御：

　　1. SNS （Social Networking Services）不完善的隐私控制导致用户隐私的泄露
　　2. 高级钓鱼攻击如何发生
　　3. SNS病毒 / 蠕虫如何攻击，能带来怎样的危害
　　4. 如何有效地监控这类攻击
　　5. 我们应该如何防御这些攻击的发生

　　近日，在第十三届科博会组委会组织的 “科博会科技成果推广与商务合作项目推介签约会”在美泉宫饭店隆重召开。会上共有6个项目签约，其中5个项目来自于北京技术市场管理办公室推介的三家国家技术转移示范机构和一家高新技术企业，签约项目总额超亿元。

　　这些项目技术先进，产业化前景好。其中，中科院理化所的“用于台式计算机CPU的液体金属芯片散热”项目、北京知道创宇信息技术有限公司与国家计算机技术应急处理协调中心北京中心签署的“科技北京绿色互联网”项目成为此次活动的亮点，受到了媒体的广泛关注，会后多家媒体对其进行了追踪报道。

　　1、什么叫Web应用系统？

　　答：Web应用系统就是利用各种动态Web技术开发的，基于B/S（浏览器/服务器）模式的事务处理系统。用户直接面对的是客户端浏览器，使用Web应用系统时，用户通过浏览器发出的请求，其之后的事务逻辑处理和数据的逻辑运算由服务器与数据库系统共同完成，对用户而言是完全透明的。运算后得到的结果再通过网络传输给浏览器，返回给用户。比如：ERP系统、CRM系统以及常见的网站系统（如电子政务网站、企业网站等）都是Web应用系统。

　　2、Web威胁为什么难以防范

　　答：针对Web的攻击已经成为全球安全领域最大的挑战，主要原因有如下两点：
...

　　日前，国内知名应用安全厂商北京瑞达时代科技有限正式发布了其UTM产品线：R-UTM。吞吐率从400Mbps到10Gbps，并发连接数从80万到2000万！

　　瑞达时代在全国范围内诚征R-UTM合作伙伴，合作模式包括：代理、OEM/ODM等方式。

　　2010年6月24日-25日，根据西安市政府要求和年度工作安排，西安市工信委在临潼组织举办了西安市第一期信息安全工作培训班。市工信委赵平副主任参加培训班开班仪式，并作了动员讲话。

　　这是西安市工信委成立以来举办的第一个信息安全培训班，培训目的是为了进一步强化信息安全意识，不断提高风险防范技能和素质。首批参加培训的学员共57人，包括全市13个区县和“四区一港两基地”信息安全主管部门领导、

　　针对《第一财经日报》报道的《工信部重估IBM“智慧的地球”战略安全性》一事，IBM高层和IBM官方首度作出回应。IBM大中华区董事长及首席执行总 裁钱大群昨天告诉本报，IBM正在和国内很多研究单位研究如何解决好这个问题，这是一个大的课题，会有很多不同的解决方案，“关键是如何帮助国内完成转型的问题。”IBM官方也向本报记者提供了一份针对“智慧的地球”安全性的声明： “对于安全问题的关注是合理的。”

　　IBM认为，“智慧的地球”的举措，不会损害国家安全和信息安全，“也不会影响政府对于关键信息的控制。”它能够带来的，是对数据更好的使用（以我们的客户所决定的方式），让数据更加具有意义，并帮助预见业务运营的结果。
...

　　今年以来，广东网民电脑已遭受约1.5亿次木马攻击，居国内各省市之首。广东网民消费能力强，网上支付、购物和网游的普及率高，导致其电脑成为木马最热衷的攻击目标。按CNNIC统计的广东近5000万网民数计算，平均每个广东网民在过去半年间受到3次木马威胁。

　　在木马产业链条中，传播木马和盗号、销赃分别处于不同的环节，木马传播者把植入木马的电脑称为“肉鸡”，如果把“肉鸡”的控制权卖给专业的盗号团伙，每台价格通常为0.5元到0.8元，最低的只有0.1元。但由于广东经济发达，从网民电脑中能窃取更多的虚拟货币和游戏装备，广东的“肉鸡”价格一直居高不下，可以达到每台1元，成了木马盗号者眼中的香饽饽。
...

　　IDG集团Computerworld网站近日撰文称，安全专家表示，选择云计算的企业可能熟悉多重租赁（multi-tenancy，多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上）和虚拟化等概念，但这并不表示他们完全了解云计算的安全情况。云安全联盟（CSA）执行董事Jim Reavis认为，云计算其实就是将各种技术集中在一起创造出一种具有独特管理制度的应用程序。

　　这是

　　关于黑客入侵网易邮箱事件的声明

　　2010年7月3日下午，有论坛陆续贴出黑客入侵网易邮箱的消息，随后有网站对事件进行了转载。为免外界误传造成不必要的猜测，网易邮件中心就此事发布声明如下：

　　网易邮件中心工作人员在14:00发现黑客入侵，立即进行了紧急处理，事件对网易邮箱服务并未造成任何影响。据查，事故起因为负责静态页面文件更新工作的员工电脑被入侵，导致ftp账号密码泄露，黑客在

网上看到有朋友发了几个链接，全部是网易邮箱系统的：

http://mail.126.com/css/hack.txt
http://mail.163.com/hd/hack.txt
http://mail.188.com/hd/hack.txt
http://mail.yeah.net/css/hack.txt

打开，全部是这样的页面，被黑？网易自己不会这么逗大家吧？

　　游侠试图向QQ群上传一个PPT，看到说居然只能上传4M的，而这个PPT是6M，利用PowerPoint 2007自带的压缩进行了优化，发现只能压缩到4.5M，用WinRAR最高压缩率进行压缩，发现到4.2M，还是不行！
　　于是百度了下，找到了NXPowerLite这个软件，号称可以极大程度的给PowerPoint生成的.ppt瘦身。软件的汉化绿色版不到1M，设置下软件：

此前很多朋友都说，很多计算机安全检查取证系统的一些功能，都是仅限于“听说”有某些功能，没见过，今天游侠（www.youxia.org）从某厂商要了一套软件，给大家看看，要不对于一些概念还是难以理解。

　　此前在游侠博客提到过很多次数据销毁工具，最近某厂家也新推出了一款，并给www.youxia.org发了一份测试。这里给大家看一下。老规矩，上图吧……这事情如果像白皮书那样说不清楚……
　　图标菜单，很清晰。具体功能：数据粉碎、磁盘粉碎、痕迹清理、参数设置、历史记录。下面的均用图描述，“有图有真相”，嘿嘿。

　　产品可以添加文件和文件夹进行销毁，我们看图例，我这里设置了几个文件和文件夹，大家可以看到，只需要选择“涉密数据”和“普通数据”即可。界面是一样的，我这里举个例子。

　　前苏联上尉军官科什别里雅科维奇：作为曾经的前苏联军官，我现在已经被解除了武装。
　　
　　我目前定居在法国，之所以来到这个国家，我要看看在那个“春色”年代，我并没有去曾经向往的“圣殿”。但是，我究竟看到了什么？美国人在那个时代主办了一个叫做‘莫斯科之春“的俄语电台，在驻军营房中，我经常半夜起身，来收听。在收听中，我知道了原来所谓的苏维埃，是一个民族主义极端政party。他在把世界与我们拖入战争的深渊。而美国仅有美国是一个唯一可以阻止他的圣洁的国度。
　　
　　communistparty政权在88－89年几乎在同一年内，在东欧原社会主义国家内，”灰飞烟灭“。当时的我认为，这是我们开始走向新的进步的前奏。随后，伟大的苏联，在一位伟人新的号召下，解体了。我们再也不需要面对”潜在敌人“了。世界上已经没有了我们的敌人。美国人是我们的救世主。我当时，也是这样的考虑与思索。但是，紧随其后，我们出现了严重的经济危机，美国人承诺的127亿美元的援助，没有到来，到来的是我的5200卢布月薪买不到1公斤面包。
...

发布日期：2010-06.26
信息来源：WAVDB
影响版本：FooSun > 5.0
程序介绍：FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析：
在文件\User\award\awardAction.asp中：
Integral=NoSqlHack(request.QueryString("Integral")) //第14行
if action="join" then
User_Conn.execute("Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values("&CintStr(prizeID)&",'"&session("FS_UserNumber")&"',"&CintStr(awardID)&")")
...