MY-CCMS 文件上传漏洞分析及修补
影响版本:最新 Version : 5.1.0 及以前所有版本官方地址:http://www.my-ccms.com/漏洞类型:文件上传漏洞描述:MY-CCMS 美易企业内容管理系统,上传页过滤不严导致asp\aspx\cer等脚本文件上传漏洞。漏洞分析: 1.@require( "../...
- 115阅读
- 114阅读
证券行业日志审计需求分析,产品选型和实施建议
内控合规需求分析 当今的证券行业在IT信息安全领域面临比以往更为复杂的局面,日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求,对证券行业的日志审计提出了明确的要求: 1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记...
- 68阅读
网闸在嫦娥二号安全防护中的应用
月球是地球的唯一天然卫星,它与地球有着密切的演化联系。月球是人类走向太空的第一步,因此登陆月球也一直是我们中华民族的梦想,随着嫦娥二号的顺利升空,我们又离这一目标更近了一步。 10月1日嫦娥二号火箭顺利点火升空,截止现在,嫦娥二号已经制动成功,进入100公里工作轨道,嫦娥二号将拍摄月球表面影...
- 102阅读
通过unicode躲开WEB防火墙过滤
现在有不少服务器加了web的防火墙,用来过滤含asp/jsp/php的网马代码,全部用空格替换,比较讨厌,不过后来刚好想到以前的一句话时候的unicode编码,那就也搞一个吧。 1.新建一个mdb2.建表,考入:┼攠數畣整爠煥敵瑳∨≡┩> nbsp; (实际是)3.改后缀为asp/asa4.上传5....
- 87阅读
回顾KingCMS ASP 5.0/5.1漏洞利用方法 ZT
KingCMS ASP是基于ASP+ACCESS构架的一款很不错的CMS系统,前台全部静态化处理,新一代 KingCMS 提供了更好的界面、更多的开发余地、更强大的扩展能力,现今也受到不少站长的欢迎。但是在没有正确设置系统的情况下会爆出一个致命的弱点,特别是针对比较懒的站长。 漏洞算不上0da...
- 96阅读
转:传说中的DZ 0day?——经测试可用
从zhenker的百度空间转转过来的,游侠刚测试了下,可以用!OK , Let's Go ! UCenter Home 2.0 shop插件漏洞都叫做DZ 0DYAY了。真杯具。 注入页: shop.php注入字段: (?)ac=view&shopid=关键词: inurl:shop.php?ac=...
- 109阅读
信宏四季SecEInfo(安极)信息数据安全完备统一解决方案
1 前言 目前信息化程度不断深入,极大推动了社会进步。同时由于信息数据易复制性和网络开发性也给信息数据的完整性、保密性、可靠性、可用性带来巨大威胁。 深圳信宏四季科技有限公司所研发的SecEInfo(安极)信息安全系统系列产品是以“信息数据安全为中心”,以“可信的人在可信的计算机上通过可信的...
- 48阅读
360发布《2010上半年中国互联网安全报告》_附报告下载
【报告概要】 2010年1月至6月间,木马、钓鱼欺诈网站是中国网民面临的主要安全威胁。以不良网址导航站、不良下载站、钓鱼欺诈网站为代表的“流氓网站”群体正在形成一个庞大灰色利益链,互联网安全问题开始进入“流氓网站”时代。以下为2010年上半年中国互联网安全六大特点: 1、360安全卫士、...
- 354阅读
Safe---符合等级保护要求的电子政务办公网方案
神州数码网络公司针对电子政务提出了S.A.F.E解决方案集,它由四个部分组成:Safe(安全)、Availability(可靠)、multi-Function(多功能)、Easy-use(易用)。 1、Safe---符合等级保护要求的电子政务办公网方案1.1 电子政务网络结构 按照《国家电子政...
- 116阅读
phpwind又现0day——phpwind远程代码执行漏洞
简要描述:phpwind较高版本论坛中存在一个严重的漏洞,成功利用该漏洞可以远程执行任意php代码,影响phpwind 7和phpwind 8详细说明:pw_ajax.php中的 } elseif ($action == 'pcdelimg‘) {I...
- 68阅读
中软华泰网站防护安全解决方案
1操作系统安全加固 在操作系统底层利用信任链机制,对系统中所有装载的可执行文件代码(例如,EXE、DLL、SYS、COM等)进行严格的控制,所有可执行文件代码在加载运行之前都需要先经过检验,只有通过验证的代码才可以加载,这种方式可以有效阻止恶意代码的运行,从而有效保障操作系统自身的完整性和可...
- 74阅读
游侠原创:某计算机违规深度检查取证系统试用
很多朋友都比较关心现在的“深度检查取证工具”能做到什么样的程度。其实这类软件一般就几个主要的项目:上网记录检查、文件操作记录、存储介质检查。 其实作为无论是上网计算机也好,工作计算机也好,都得遵照规定使用,否则……一旦出问题,不堪设想。最近www.youxia.org拿到了某“计算机违规深度检查取证...
- 106阅读
热点分析:网站安全防护产品什么最好?
日前有媒体报道,截至今年5月份,我国大陆地区被篡改网站的数量为2748个,其中代号为“Fatal”、“HEXB00T3R”和“aGReSiF”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改的网站数量为30个,较4月份增长了9个;我国台湾被篡改的网站数量为44个,较4月份增长了35个…… ...
- 60阅读
游侠原创:开源安全信息管理系统——OSSIM安装
在此前,游侠介绍过OSSIM这个软件 [开源安全信息管理系统——OSSIM介绍] 现在我们看看软件的安装过程: 我是在VMware安装的。大家可以选择建立一个Linux 2.6内核的虚拟机,内存256M或者512M都可以,当然1G更好 嘿嘿 选择下载的镜像文件就是了,Open Source SIM官...
- 93阅读
游侠原创:开源安全信息管理系统——OSSIM介绍
Open Source SIM(OSSIM)代表开源信息管理。它的目标是提供一个全面、集成化的工具,允许网络/安全管理员详细浏览网络、主机、物理访问设备、服务器等的每一方面。除了获取最知名的开源工具,它提供一个详细的可视化界面,包括高、中、低级别报警的视图。并且提供报告、时间管理工具,可设置和定...
- 67阅读
安天实验室:反病毒产品的兼容性问题白皮书
·反病毒产品兼容冲突问题概述 反病毒产品从最开始的行命令扫描工具发展至今,已经形成了带有文件、注册表、内存等多种本地监控机制;浏览器、邮件客户端等多种保护环节;以及整合了主机防火墙、入侵检测机制、主动防御机制的综合型产品。而其核心价值早在...
- 54阅读
关注安全功底 上网行为管理进入安全时代
上网行为管理产品发展到2010年,已经成为企业,尤其是中小企业最喜欢的网络增值类产品之一。随着用户需求的增加,厂商的热情也空前高涨。从中央政府招标网上可以看到,上网行为管理类产品的厂商有41家之多。一些传统的国内安全大厂也加入进来,纷纷推出各自上网行为管理网关产品。面对众多品牌,用户如何作出正确...
- 68阅读
“女人必看”导致“没有找到Comres.dll”
周一上班就在几个群里收到“女人必看”有关的消息,据金山毒霸安全实验室分析,这是一个专盗QQ号的木马程序。若不小心打开“女人必看”中的可疑程序,木马首先会显示一张美女的照片,盗号木马在后台运行,释放假的comres.dll文件替换系统文件comres.dll,将盗取的用户QQ号和密码发到指定邮箱,...
- 145阅读
计算机和移动存储介质保密管理的相关制度
计算机安全使用保密管理规定 机关全体人员都必须遵守《中华人民共和国保守秘密法》和《中华人民共和国计算机信息系统安全保护条例》。 1、承担涉密事项处理的计算机应专机专用,专人管理,严格控制,不得他人使用。 2、禁止使用涉密计算机上国际互联网或其它非涉密信息系统;禁止在非涉密计算机系统上处理涉密信息。 ...
- 68阅读
稳捷WEB安全网关完美演绎Web应用安全解决方案
近日,全球知名的高性能Web 2.0安全解决方案领导厂商与高端Web安全设备提供商----Wedge Networks(稳捷网络)宣布,为了满足广大企业用户对于Web安全的全新需求,公司基于全球最佳BeSecure Web安全网关成功构建四大web 应用安全解决方案,从而在确保安全效果与性能的基...
