游侠安全网

From CISPs by shadowfax

　　我参加了在渥太华举行7月10日的CISSP考试，在6月28日多伦多本来也有一轮考试，因为那个时候整个复习还没有做完。所以按照原计划，把考试时间定在7月10日，多争取了两周时间，不过就得跑五百公里的路去另外一个城市，没有在多伦多这么方便。

　　考试在星期六八点，我星期四下班后，直接开车到渥太华。预先在网上找好了落脚的地方，这样可以在星期四晚上睡个好觉，空出来星期五一天做最后的复习，还有准备在下午时间去考场踩点。考试场所在渥太华市中心的Marriot 宾馆，我特意找了一个离开考场很近的地方入宿，这样考试当天就不需要开车，走路过去即可，减少其他比如塞车等意外事故发生的可能性。
...

　　随着互联网的发展演变，基于Web和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。但是，黑客也将攻击目标瞄准了Web应用，目前常见的网络攻击大多数都是针对应用自身的弱点，其中最常用的攻击技术就是针对Web应用的SQL注入和跨站攻击。

　　对Web应用的攻击增多刺激了Web应用防火墙（以下简称WAF）市场的增长。WAF是一种专门针对Web应用进行全面防护的设备，它可以识别黑客攻击，并且根据应用层的会话请求，处理应用层信息。也就是说，它专门保护Web应用通信流和所有相关的应用资源，避免遭受来自Web协议或应用程序漏洞方面的攻击。根据IDC的报告，未来几年全球关于Web应用防护的市场份额将达30亿美元。
...

　　近日，全球知名的高性能Web 2.0安全解决方案领导厂商与高端Web安全设备提供商----Wedge Networks（稳捷网络）宣布，公司获得中国通信企业协会通信网络安全专业委员会的邀请，成为电信安委会全国首批会员单位，并以此为基础通过把全球领先的支持10G电信网络的Web安全技术引入国内，致力于为中国电信行业应用安全提供技术标准与解决方案。

　　曙光：电信安全转机

　　事实证明

　　加快实施办公用计算机安全配置管理，是加强政府信息系统安全和保密管理工作的重要手段。针对我国当前电子政务网络安全状况，以及等级保护等安全保障要求，国家信息中心率先在国内启动政务终端安全护理计划，为政务终端提供统一的安全策略配置、检测的补丁分发、实时的安全状态监测等终端安全护理服务。近期，又在终端安全核心配置标准研究方面取得了较大进展，研制完成政务终端安全核心配置规范（CGDCC）。

　　2010年5月28日，国家信息中心信息安全研究与服务中心联合微软公司在中国科技会堂组织召开“政务终端安全配置研讨会”。本次会议邀请了微软分管信息安全的全球副总裁及多名信息安全资深专家介绍全球信息安全保障新技术，终端安全配置技术新发展，同时介绍我国政务终端安全配置标准（CGDCC）的研究情况，以及标准配套软件的使用方法。来自中央部委、各省（区、市）信息中心、国有大中型企业、大专院校、科研单位、从事信息安全工作的领导、专家和技术人员等100多位来宾参加了会议。
...

　　近来物联网已经成为信息产业领域、城市现代科技应用方面最火热的概念。在物联网的热潮下，成都、深圳、上海等国内众多城市都提出了物联网发展计划，一时间物联网区域竞争格局凸显。广州市日前也宣布启动“智慧广东”计划，规划到2013年，聚集规模以上的物联网企业超过500家，销售收入达到500亿元。福建省政府办公厅日前转发《福建省加快物联网发展行动方案（2010—2012年）》。方案提出，福建省将重点培育、扶持一批在全国具有一定影响力的物联网龙头企业，到2012年，全省物联网相关产业产值将超过300亿元。
...

　　刚刚在腾讯科技版看到“知名互联网专家，资深营销顾问。计算机硕士。”写的一篇文章，说“最大创业机会还是在IT和互联网领域”、“在全世界所有的国家中，中国是最重视IT和互联网行业的国家。不管是政府，还是普通中国人民，都对IT和互联网为代表的信息革命投入了最大的热情，寄予了最大的希望。”、“既然中国人民在以全世界最大的热情在拥抱互联网，既然中国人民把信息革命当作中华民族伟大复兴的寄托，我们的创业者们

　　不知不觉，第二届云计算大会已经闭幕了，我也从北京回到了上海，关于大会具体的新闻和资料，大家都可以在csdn和大会官方站点上找到，我就不在这里重复，本篇将主要介绍大会的几个亮点。
　　
　　热情的观众和激情的讲师
　　当我走进会场的时候，我真的有点吃惊，因为居然有这么多人参加一场收费上千的会议，看来大家也和我一样对云

　　据正义报道，三十岁不到的一个年青人，为了给自己公司拉业务，伙同他人进入公安内网下载190余万条车辆管理信息，并获利近90余万元。5月24日，浙江省新昌县检察院依法对陈天水等七人以涉嫌非法获取公民个人信息罪向法院提起公诉。

　　据起诉书指控，今年28岁的陈天水系浙江省江山市人，2008年成立了杭州轩行汽车服务有限公司，从事汽车保险业务。为获取车辆车主信息，扩大业务，陈天水想通过进入公安内网来获取各类车辆信息。为了能进入公安内网，陈天水想到了四、五年前就在杭州相识的新昌人陈栎骏。2009年12月，陈天水让陈栎骏出面去联系人员进入公安网并下载车辆信息，支付陈栎骏0.15元/条的报酬。
...

　　前一段时间我和同事去拜访个客户，我们的意图就是推广我们的WEB防护方案，因为这个用户此前的网站有过被攻击，所以我们的意图也是相当明确。

　　刚坐下不久，客户桌上电话铃响——北京X公司电话销售问：要不要网页防篡改？用户说：不需要。

　　过了一会儿，电话又响——西安X代理商电话销售问：要不要网页防篡改？用户说：不需要。

　　然后，我、同事、客户，就笑。

　　2个电话距离仅仅15分钟而已，算上我们，半小时之内3个推销网页防篡改的了

　　——这就是网络安全——一个外行看来很高科技、很暴利，实际上你想象不到的竞争激烈的行业。...

　　有朋友问游侠，为什么现在安全保密检查工具很多都涨价了？您想想，有证书的越来越少了，人家想多赚一点点也是正常的吧？呵呵

　　其实一直想把几个QQ群的聊天记录整理一下，以前也有过这样的整理（2010年01月21日安全QQ群53651293的部分聊天记录）但是苦于整理太累，一直没有能坚持下来。

　　前两天来自深圳的樊山居然发给我了整理过的2010年3月聊天记录，真的让我感觉很惊讶——打开EmEditor可是将近2000行的工作量！并且这是整理之后的，要知道群里面的朋友平时灌水也是很厉害的……
　　游侠修改了发言人的名称，屏蔽了QQ、邮箱等，以防有不必要的骚扰。
　　点击这里下载：www.youxia.orgwww.cnciso.com2010年3月技术讨论.rar
　　感谢大家的支持！

　　中新网5月22日电 据日本共同社报道，美国国防部21日宣布，为了打击敌对国家和黑客的网络攻击，“网络司令部”于当天正式启动。司令部位于马里兰州的米德基地，以网络防御作战为主要任务。
　　
　　报道称，网络司令部隶属美国战略司令部，以基思·亚历山大为司令官，编制近千人。一直以来美军各部门都在网络领域孤军作战，网络司令部将统一管理、强化对策，并将积极寻求国际合作。按照计划，网络司令部将于10月全面运作。
　　
　　共同社引述美国国防部长盖茨的话称：“新的司令部旨在改变对网络攻击的脆弱性，应对威胁的扩大。”
...

　　xss简单渗透测试
　　
　　Author: jianxin [80sec]
　　EMail: jianxin#80sec.com
　　Site: http://www.80sec.com
　　Date: 2008-12-24
　　From: http://www.80sec.com/release/xss-how-to-root.txt
　　
　　[ 目录 ]
　　
　　0×00 前言
　　0×01 xss渗透测试基本思路
　　0×02 一次黑盒的xss渗透测试
　　0×03 一次白盒的xss渗透测试
...

　　下面的文字来自华安论坛，感觉这个帖子很有价值，转载过来：
---------------------------------------------
xhdu：
　　2000年就开始做售前的我（妖精级了），现在还在继续奋斗在这个岗位上，无奈，但毕竟做熟了，一些经验兄弟姐妹门多提提意见！
　　
　　售前的主要工作就是沟通，与客户沟通，与销售沟通，与研发沟通，核心就是需求，那么通常客户会

　　网上逃犯于某被抓

　　他精通网络，小有名气，要他办假证的人络绎不绝。为使假证能有“合法身份”，他请来黑客攻击教育部门网站，其间获利十余万元。昨日凌晨，他被南昌警方抓获。

　　制假者名气很大

　　男子姓于，现年25岁，江苏沐阴县人。2008年，他来到南昌一民办学校读书，学的是计算机专业。于某精通网络，能帮人解决各种网络的疑难问题，为此他在校内外小有名气。

　　2008年5月，南昌人陶某（已被湖北警方抓获）找到于某，称有一批湖北人需要办理高校毕业证，目前已经为他们办好假证，但这些假证无法在教育部门的网站查询，希望于某能解决此问题。陶某表示，事成后，他将给于某每个假证1500元的回报。
...