Apache Struts2远程命令执行漏洞呈爆发趋势
近日,安恒信息安全小组发现Apache Struts2导致大量使用此框架的网站沦陷,Apache Struts2 框架是在2010年7月14日被发现存在一个严重命令执行漏洞,但随之出现了防范技术,最近随着struts2带回显功能的POC被公布,出现大量的利用工具,并导致大量使用此框架的网站沦陷,并呈...
- 124阅读
- 55阅读
高级攻击者开始瞄准WAF——你的WAF安全吗?
【IT168 评论】根据研究人员表示,只需要使用一些技巧(在少数情况下,只需添加一个单一字符),熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。 从简单的文件名和路径名处理,到更复杂的多部分和unicode解析,不同的Web服务器和安全软件使用不...
- 129阅读
从东软泄密案看企业U盘外设管理
日前,东软集团被曝出内部人员泄密大案,涉案人数多达28人,领头的是东软的公司副总经理李某某。经司法鉴定,商业秘密外泄造成东软被侵犯商业秘密项目折余价值为4000余万元,其中东软研发项目延迟,损失高达1470余万元;犯罪嫌疑人窃取技术价值总计2400余万元。警方还在现场及居住场所查获了装有大量商业秘密...
- 55阅读
从高考志愿被篡改案看企事业单位如何防泄密
【赛迪网-IT技术讯】近日,备受关注的四川眉山高考志愿被篡改案已成功告破,3名犯罪嫌疑人分别以涉嫌非法提供公民个人信息罪或侵犯通信自由罪,被公安机关拘留。经警方查证,此案是典型的内鬼勾结外校招生人员,涉案中学的副主任将学生密码信息泄露给某校招生人员,由此引出这一被篡改闹剧。除了四川眉山,河南、广东湛...
- 88阅读
游侠原创:中国信息安全--层层揭开WEB安全问题
本文是游侠应《中国信息安全》杂志约稿写的文章,发表在《中国信息安全》2012年第6期,原文题目为《层层揭开WEB安全问题》。OK,Let's go!罗马非一日建成,网站也是如此。网站由很多部分组成,缺一不可。虽然现在提供了很多所谓的模板化建站工具,但是对于大型网站而言,建设起来至少需要以下环节:...
- 285阅读
安全专家支招信息安全:密码需长且定期换
速途网上海讯 互联网的发展让人们感受到便利,越来越多的支付在网上进行,信息安全的问题也越来越被重视。资深安全专家表示,密码设置最好相对复杂并做到定期更换。 上周末,雅虎网站遭到黑客袭击,以纯文本方式储存的45万个用户登录认证信息泄露,并被公之于众。 黑客宣称这些隐私资料是黑进雅虎网站一个子域名后获得...
- 175阅读
细数网络个人信息安全的四大“死穴”
速途网讯 信息时代,互联网成为现代生活必不可少的一部分,网络世界与真实生活紧密相连后,网络实名制也成为一个不可忽略的议题。实名制要求用户提供个人真实信息,当越来越多的密码、口令、身份证号、手机号、信用卡号、访问记录等数据,必须暴露给网站时,网民个人信息安全的保障问题成为聚焦的核心。 个人信息安全保护...
- 72阅读
TurboMail邮件系统捍卫涉密信息安全
【赛迪网讯】“无纸化”办公得到深入贯彻的今天,我们已经习惯于在电脑和网络搭建起的办公平台上工作。然而,这类办公方式为信息的安全带来了很大的不确定性,特别是企事业单位涉密信息,一旦以电子数据的形式储存进电脑,就时刻面临被泄露的危险。 现状:电子邮件信息泄密严重 任何事物在其快速发展的道路上,都不可能一...
- 58阅读
端口泄密 不能只防USB
信息化水平正在逐步成为衡量一个国家或地区综合竞争力的重要标志。社会各行各业对计算机应用的需求和依赖程度也日趋增强,各级政府也已将计算机信息与网络技术作为加速办公现代化的手段。近年来随着采用USB端口为主的便携式设备(例如U盘、移动硬盘、移动刻录机等其它采用USB端口的存储设备)的盛行,通过USB端口...
- 73阅读
虹安U系统 全面管控计算机外部设备及端口
【赛迪网讯】计算机技术的飞速发展也带动了计算机外部设备的发展,从软盘、光驱、网卡等到红外、蓝牙设备、U盘、移动硬盘、光盘刻录机……纷繁复杂,多种多样。他们在不同的方面给我们的工作生活带来了极大的便利的同时也带来了越来越多的的泄密问题。在不断出现的泄密案例面前,企业及各类机构逐步意识到了数据安全保护的...
- 81阅读
智恒科技Webpecker8.0监测平台获销售许可证
【赛迪网-IT技术讯】日前,经过中华人民共和国公安部的严格技术审查,智恒科技公司Webpecker8.0网站安全统一监测平台系统符合公安部《计算机系统安全专用产品检测和销售许可证管理办法》及相关规定,准许进入市场销售。 Webpecker8.0网站安全统一监测平台系统的功能性领先业界同类产品,是智恒...
- 59阅读
防御黑客——汽车控制网络的防护
长期以来,黑客一直没有机会进入汽车的控制网络中。但自从有了蓝牙技术和采用了无线局域网总线系统之后,这种情况将会发生改变。新的被称为“可信赖运算”的技术将给汽车带来新的安全保护,实现受保护的数据通信。 自从1967年第一个没有软件控制的电子喷射系统问世以来,今天的发动机控制器所采集控制的参数已经超过了...
- 55阅读
[视频]金山新视频:《3分钟揭秘钓鱼网站》
今天,一部叫做《3分钟揭秘钓鱼网站》的动画视频,在微博上掀起了一轮“杀毒软件免费不等于免责”的争议。这部视频由金山毒霸制作,详细介绍了钓鱼网站的诈骗手法,以及网友被骗后的无奈。当钓鱼网站已经泛滥到连宁财神等名人、一叶千鸟等资深网民都上当的时候,作为第一道安全防线的杀毒软件除了宣传自己的技术实力,...
- 60阅读
关于等保的视频:那些危险藏在哪儿
...
- 70阅读
8个实用且免费的Web应用程序安全测试工具
游侠评论:转载的文章,都是国外的。要想试试国内的,可以看看游侠以前写的《最受欢迎的十大WEB应用安全评估系统》,那个有国外的,也与国内的,并且……即使是国外的,也是能找到Crack的(仅限测试哦!)。 随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务...
- 67阅读
金山发布“火眼”1.2.3α版本
昨天在新浪微博看到金山发布了“火眼”新版本,感谢李铁军提供的邀请码,游侠可以登录进去,进行了简单的测试。 火眼的登录地址:https://fireeye.ijinshan.com/ 界面简单,上传文件即可:选中路径后“上传分析”即可把文件提交到金山火眼系统分析。稍后会收到电子邮件,说分析完毕。然...
- 172阅读
日志管理综合审计系统招投标参数
网路游侠:现在公司做日志管理综合审计系统,于是有些朋友会问我:产品有什么功能?……于是游侠还是跑到百度文库,找到了这个文档——日志管理综合审计产品的功能基本都在这了: 日志管理综合审计系统·系统要求 求为一个完整的软硬件一体化的日志审计系统;无需用户另行提供服务器、操作系统、数据库、防火墙软件及用户...
- 180阅读
日志审计管理系统需求说明书
网路游侠:最近身边有一些朋友在找日志审计、日志管理产品的需求,其实需求也就是常见产品的功能清单,也基本是用户在采购中需要注意的一些事项。不大想自己写了,就从百度文库找了一篇现成的文档。当然,功能描述的比较中性,很多厂家的都可以满足。在这里贴给大家看: 一、总体要求 支持对主流操作系统、数据库系统、应...
- 148阅读
太极ARP攻击防御系统
ARP攻击防御系统是由太极公司针对各信息中心、网络管理专业人士的实际需求,在充分研究ARP攻击的行为模式后,推出的最易于操作使用的太极 ARP 攻击防御系统(简称TJ-ARPFW)。TJ-ARPFW 是一款快速部署、易于操作的网络管理硬件设备,定位于各种ARP攻击的监控和主动防御。减少 ARP攻...
- 69阅读
10个可被简单解决的安全疏漏
【IT168技术】不论我们做多大的努力,终端用户甚至是企业的IT部门,仍然会忽视那些本来很容易被纠正的安全疏漏。本文将与大家讨论10个可以被避免的安全疏漏,并告诉大家该如何纠正这种疏忽。 1: 使用脆弱的密码 曾经有段时间,有些人自作聪明的用“password”作为密码,用来愚弄那些千方百计猜测密码...
