分类： 安全

　　所有从非官方网站下载的putty和WinSCP都有后门，大家在全公司范围内撤查一遍吧。已经经过金山网络反病毒工程师李铁军确认，后面附图。

　　putty和winscp是免费开源软件，怎么可能在baidu上打推广广告，明显带后门啊，如果你不知道putty和winscp的功能，那么我告诉你，这是最常用的用于连接linux主机的软件，putty是命令行界面，winscp是上传下载文件，带有后门

　　近几日，中文版putty等SSH远程管理工具被曝出存在后门，该后门会自动窃取管理员所输入的SSH用户名与口令，并将其发送至指定服务器上。知道创宇安全研究小组在第一时间获取该消息后，对此次事件进行了跟踪和分析。根据分析，此次事件涉及到来自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站点的中文版putty、WinSCP、SSHSecure和sftp等软件，而这些软件的英文版本不受影响。

　　【IT168 专稿】配置错误、访问控制过失和确定范围问题位居常见PCI错误榜首。在2012年，企业将继续努力完成PCI合规工作，安全专家警告说，为了更具成本效益地实现合规和安全目标，企业需要想办法避免这些常见合规错误。以下是总结出来的十大PCI合规错误：

　　1、不遵守最小特权原则

　　根据Viewfinity首席执行官Leonid Shtilman表示，企业对于“PCI 2.2.

产品简介
　　"深空网页防篡改系统" 是由福州深空信息技术有限公司自主研发而成的,具有完全自主知识产权的全新技术网页防篡改产品.该产品解决了单纯采用事件触发技术、核心内嵌技术、脆弱数字水印技术、文件过滤驱动技术的严重安全隐患,是网页防篡改技术领域的一次技术革命!

　　产品安装应用时,无需额外增加物理服务器,不影响原有的网站更新模式,大大适应了现实中各种复杂的网络环境.(提示:本产品同样支持

　　全球唯一发现数据库潜藏木马的评估工具
　　
　　产品概述：
　　
　　安恒明鉴数据库弱点扫描器(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上，研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累，是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品，能够扫描几百种不当的数据库配置或者潜在漏洞，具有强大的

国内首创全透明部署WEB应用安全网关
全透明直连部署
HTTPS站点全面防护
OWASP十大类Web攻击防护
Web静态页面加速

　　安恒WAF概述

　　明御WEB应用防火墙（简称：WAF）是安恒信息结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明直连部署模式，全面

　　MatriXay：最佳WEB应用安全评估工具

　　MatriXay概述

　　明鉴WEB应用弱点扫描器（简称：MatriXay 5.0）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运会W

　　金融机构是否可能外泄客户资料？

　　你有没有被各类垃圾信息、推销电话“轰炸”的经历？推销房子的，推销汽车的，推销保险的，推销母婴用品的……甚至有的推销员连你的准确姓名、家庭住址、存款信息都一清二楚，言语之中还透着一股“老相识”的味道。

　　近期，关于个人资料泄密的话题从互联网行业蔓延至金融领域，有网友爆料称，国内多家银行的用户数据已经泄露，其中交通银行7000万，民生银行3500万

　　在2011年的岁末发生的密码泄露事件引暴信息安全话题。根据国家互联网应急中心(CNCERT)统计，截至12月29日，CNCERT通过公开渠道获得疑似泄露的数据库有26个，涉及帐号、密码2.78亿条。其中，具有与网站、论坛相关联信息的数据库有12个，涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个，涉及数据1.42亿条。

　　2011年12月28日，工业和信息化部发布通告称，用户

随着信息技术的高速发展，网络中的设备越来越多，渐渐的我们发现依赖传统手段去一台台分析设备的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障，是时候对运维日志进行集中管理了。

　　网站安全狗是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖网马/木马扫描、防SQL注入、防盗链、防CC攻击、下载线程保护、IP黑白名单管理等功能。作为服务器安全专家，这套软件已通过公安部信息安全产品检测中心的检测，并获检验合格证书。

相关厂商：www.sina.com
作者：http://weibo.com/evilniang
发现时间：2012-1-1
漏洞类型：sql注射
危害等级：高
漏洞状态：已修复

首先申明：该漏洞发现后本人已联系新浪官方修复漏洞，目前漏洞以修补。文章内容公布，仅供参考学习。

新浪网iask存在sql注射漏洞，利用漏洞可读取iask数据库内内容。包括明文密码在内的7000多W新浪

　　近15年是互联网从开始到火热的15年，从Web1.0到Web2.0，从B2B到B2C，从博客到微博，从传统支付到网上支付，从美国第一个www静态页面到目前的网银、网上营业厅、电子商务和电子政务的盛行，到今天接近1000万的国内网站数量，我们正在经历网络给我们带来的全新理念和惊喜，我们也正在承受敏感和隐私数据泄露甚至泄密的严峻挑战。从美国最终公开了互联网空间战略，到我们国内的黑色产业链的严谨分工

　　我们知道Acunetix WVS可以对网站进行安全性评估，那么怎么能批量扫描呢？游侠（www.youxia.org）在测试WVS 8 BETA2的时候发现WVS居然支持WEB管理，还是很方便的。
　　打开Acunetix WVS，点New Scan，在弹出来的界面可以看到有三个选项：

　　最下

用作渗透测试平台的系统已经很久没有升级了，刚给Nessus升级了下规则库。速度一如既往的慢……不过还好，没有提示“could not verify the signature of all-2.0.tar.gz”错误，就是万幸啊！ 新版本内置了几个规则，不过看了下配置，貌似各个规则之间没什么区别，按说局域网扫描、互联网扫描、WEB应用扫描规则应该是不一样的啊——还是，游侠我没搞明白？ 然后发现Ac...