分类： 安全

　　游侠朋友公司的WAF刚升级了，在面前显摆呢，嘿嘿。截几个图让大家看看。
　　下面是可以设置高速缓存，提高网站访问速度。设置一个值，这样客户端请求部分无需频繁更新的文件的时候就可以由WAF直接返回，增加了访问速度还减轻了WEB服务器的压力。

　　当然，数据压缩也是必须的，这样访问速度更快了。

　　去年，Verisign将其GlobalSecurity Consulting Services(全球安全咨询服务)业务出售给了电信AT&T。而之前，作为Verisign退出MSS和安全服务市场的一系列举动之一，Verisign公司已经将其MSS(可管理安全服务，Managed Security Service)业务出售给了SecureWorks。联想到在2003年Verisign公司收购Guardent进入MSS市场，可以看出，现在的MSS已经成为了巨型公司、尤其是电信公司的才配拥有的业务了，一些中型甚至是大型的公司都纷纷选择退出或者被收购。可以预见，未来类似的并购还会不断出现，安全管理服务业务将逐渐收拢到巨型IT公司的旗下。
...

　　在信息化程度日益增长的今天，对于一个单位或者机构来说，信息设备中存储的数据无疑是最为重要的资源之一，对于这些数据的保护成为了大家越来越关心的问题。在现实的网络环境中，根据信息存储设备的移动性，数据可以简单分为两大类，一类存储在单位内部的固定设备上，对于此类数据的保护主要通过严格的信息安全管理规范，使用防火墙、防病毒软件、入侵检测等工具，另一类数据存储在“可移动设备”上，随着“移动计算”技术的发展，笔记本、PDA、可移动媒介等“移动设备”成为了日常工作中不可缺少的工具，越来越多的敏感信息存储在这些“移动设备”中。
...

　　Rier光盘刻录监控与审计系统为您提供刻录控制全方位解决方案

　　Rier光盘刻录监控与审计系统完全贯彻和落实国家保密局BMB17文件思想，实现对刻录的全面控制，是对CD/DVD刻录最佳的安全管理系统。系统采用三权分立原则，集权限控制、数据刻录控制、安全光盘读取和日志审计于一身，方便、有效的控制内网涉密信息通过CD/DVD盘片进行的数据交换。

　　权限控制

　　·未授权用户无法使用任何刻录软件刻录数据。
　　·针对不同用户可授权为：不可以刻录、只可刻录普通光盘、只可刻录安全光盘、无限制刻录等权限。
...

　　数字签名不仅可以用于验证特定个人账户生成的信息，而且还可以用于验证该信息是否是由账户的实际所有者生成的，就像在签署支票或法律文件时，你的签名可以用于验证你认可此交易一样。数字签名的好处是可以确保被签名的信息是由可信账户创建的，并且未受到任何篡改。数字签名算法计算要签名的实际信息并生成一个值。如果已签名的信息被添加或删除了任何内容，则验证数字签名的校验值时将会返回一个错误。

　　实施数字签

　　“云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
　　
　　概念
　　中国企业创造的“云安全”概念，在国际云计算领域独树一帜。云安

　　长期以来，很多单位和部门的网站深受木马毒害，并时常遭到黑客的无情篡改，由于网站是对外传播的第一门面，因此，网站安全始终是悬在网络中心管理员头上的一把利剑!

　　难道网站安全真的就不能让人放心无忧吗?

　　当然可以!

　　日前，国内领先的网络设备及解决方案提供商锐捷网络推出了门户网站安全守护神——RG-WG系列锐捷webGuard应用保护系统，弥补了传统网站安全防护机制漏洞，把

　　转载自cisps，作者firstpeak，正文开始：

　　McAfee DLP是防内部人员主动泄密的产品。

　　就产品本身而言，McAfee DLP做得早一点，技术靠前，但不能说是最好，这样不客观。各家的产品都有长处。McAfee的技术优势我就自己的理解捡两点说说：

　　一是大规模应用的优势。如果只是小规模的应用，几十几百台，好点儿的产品都可以做，差别不容易看出来，但是在比较极端的情况下，如果需要同时管理几千几万台终端，差别就出来了，McAfee DLP的性能表现遥遥领先，其它产品也可以做，但是可能硬件上的投入要多一点，通过硬件来把性能提上去，这样也可以，就是总体成本高一点，管理上也多一点工作量，有时候硬件出了问题客户会不加分辨地怪到你的软件头上。
...

From CISPs by shadowfax

　　我参加了在渥太华举行7月10日的CISSP考试，在6月28日多伦多本来也有一轮考试，因为那个时候整个复习还没有做完。所以按照原计划，把考试时间定在7月10日，多争取了两周时间，不过就得跑五百公里的路去另外一个城市，没有在多伦多这么方便。

　　考试在星期六八点，我星期四下班后，直接开车到渥太华。预先在网上找好了落脚的地方，这样可以在星期四晚上睡个好觉，空出来星期五一天做最后的复习，还有准备在下午时间去考场踩点。考试场所在渥太华市中心的Marriot 宾馆，我特意找了一个离开考场很近的地方入宿，这样考试当天就不需要开车，走路过去即可，减少其他比如塞车等意外事故发生的可能性。
...

　　xss简单渗透测试
　　
　　Author: jianxin [80sec]
　　EMail: jianxin#80sec.com
　　Site: http://www.80sec.com
　　Date: 2008-12-24
　　From: http://www.80sec.com/release/xss-how-to-root.txt
　　
　　[ 目录 ]
　　
　　0×00 前言
　　0×01 xss渗透测试基本思路
　　0×02 一次黑盒的xss渗透测试
　　0×03 一次白盒的xss渗透测试
...

　　下面的文字来自华安论坛，感觉这个帖子很有价值，转载过来：
---------------------------------------------
xhdu：
　　2000年就开始做售前的我（妖精级了），现在还在继续奋斗在这个岗位上，无奈，但毕竟做熟了，一些经验兄弟姐妹门多提提意见！
　　
　　售前的主要工作就是沟通，与客户沟通，与销售沟通，与研发沟通，核心就是需求，那么通常客户会

　　在网路游侠实际的走访调查中，遇到好多大型网络的管理员，特别是高校、政府的网络管理人员，对网上言论的不可控性比较头大，游侠也遇到多个用户反映：得到公安机关的通知，从网络出口发出了违规的帖子，但是找不到发帖人。于是，单位就要承担法律层面的风险。

　　游侠相信，没有人愿意承担这个风险，于是，互联网发帖审计系统应运而生！

　　·发帖审计支持百度贴吧、新浪、搜狐、网易、西祠胡同、天涯论坛、QQ空间、猫扑等网站
　　·发帖审计支持人员、部门、IP、MAC、发帖时间、详细URL地址等内容
　　·支持发帖Post内容的还原
　　·支持按照IP、IP段、时间段、URL地址、帖子标题、帖子内容等项目的发帖审计
　　·发帖审计功能支持UTF 8和GB2312等编码

　　部署方式：透明接入、旁路接入。透明接入的部署图：

　　下面是天御五行互联网发帖审计系统支持的网站：

　　QQ论坛、Qqzone、新浪星座论坛、搜狐汽车社区、新浪贴吧、新浪生活论坛、新浪读书论坛、新浪动漫论坛、新浪地方论坛、新浪新锐社区、搜狐星空、国际在线论坛、网易文化论坛、新浪百味论坛、新浪教育论坛、网易教育论坛、网易娱乐论坛、新浪娱乐论坛、新浪财经论坛、猫扑论坛、新浪公益论坛、新浪房产论坛、凤凰论坛、新浪UT Game论坛、网易女人论坛、网易地方论坛、新浪杂志论坛、网易财经论坛、网易新闻论坛、新浪时事论坛、泡泡俱乐部论坛、京华论坛、京华论坛、红网博客、新浪社区服务、新浪SHOW、网易体育论坛、新浪体育论坛、网易科技论坛、新浪旅游论坛、网易旅游论坛、新浪博客论坛、华声论坛、凯迪博客、国际在线博客、红网论坛、搜狐博客、天涯博客、搜狐西南社区、搜狐星座社区、网易汽车论坛、新浪亲子论坛、搜狐母婴社区、搜狐读书社区、搜狐财经社区、凯迪论坛、搜狐吃好社区、中国人论坛、搜狐地方社区、搜狐文化社区、大洋博客、搜狐动漫社区、新浪女性论坛、新浪女性论坛、搜狐华南社区、搜狐健康社区、搜狐IT社区、搜狐教育社区、搜狐手机社区、搜狐男人社区、新浪军事论坛、新浪军事论坛、搜狐理财社区、搜狐新闻社区、搜狐新闻社区、搜狐华东社区、搜狐体育社区、搜狐股票社区、网易手机论坛、新浪科技论坛、新浪科技论坛、搜狐旅游社区、搜狐视频社区、搜狐女人、搜狐女人社区、搜狐娱乐、搜狐娱乐社区、网易评论、新浪博客、网易博客、网易数码论坛、猫扑论坛、新浪游戏论坛、QQ空间、新华网博客、新华网博客、新浪汽车论坛、泡泡俱乐部论坛、天涯论坛、西陆社区、百度贴吧、猫扑论坛、19楼论坛、搜狐校园社区


　　当然，也许您要说：我担心出问题的网站不在这个列表中，天御五行互联网发帖审计系统的开发团队承诺可在24小时内增加您要审计的网站。还不放心？

　　如果您对天御五行互联网发帖审计系统感兴趣，请联系本站站长网路游侠。QQ：55984512，E-Mail：zbc98@163.com

　　从2008年开始，大量企业、政府的网站遭遇Web攻击，甚至有黑客通过攻击企业网站勒索钱财。众多的事例使企业逐渐认识到，由于很多攻击已经转向应用层，传统的防火墙、IPS、网页防篡改设备都无法彻底阻止此类攻击，必须要安装Web应用防火墙（以下简称WAF）来保护Web应用。

　　保护应用的“墙”

　　只要有网络的地方就会有防火墙，但传统的防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，而WAF则深入到应用层，对所有应用信息进行过滤，这是二者的本质区别。

　　WAF的运行基础是应用层访问控制列表。整个应用层的访问控制列表所面对的对象是网站的地址、网站的参数、在整个网站互动过程中所提交的一些内容，包括HTTP协议报文内容，由于WAF对HTTP协议完全认知，通过内容分析就可知道报文是恶意攻击还是非恶意攻击。IPS只是做部分的扫描，而WAF会做完全、深层次的扫描。
...

　　该认清事实了！企业的信息安全十之八九做得一败涂地。

　　问问2008年8月因透过不安全的Wi-Fi入侵TJX等零售店而遭到起诉的11名黑客，便知─当时有4,000万笔信用卡与现金卡卡号被窃。问问EDS承包Medicaid理赔处理专员：今年2月她承认犯下盗卖客户社会安全号码与生日数据，以冒领退税金。问问犹他州大学医院聘雇来护送磁带到异地储存中心的快递人员。6月的某一天，他开了自己的车，而非公司的安保车来，结果这批包含2,200万名病患账单资料从前座被偷。

　　量化安全项目的报酬率并不容易，通常因为很难算出你从避免的危机中，可获得多少金钱报偿。今年低迷的经济，迫使决策者对任何预算提案都更加保守。即使如此，调查结果显示，企业还是继续购买、导入技术工具，包括入侵检测软件、加密和身份管理等。这倒是好消息。
...

　　文章作者：Cschii
　　[关键字]：OA，J2EE，Servlet，Tomcat应用，克隆
　　[技术要点]： 本文以华天、金和两款OA系统为例，为读者展示安全隐患给OA带来的创伤——不但系统本身被破解，而且殃及到服务器的安全。并对国内使用比较多的OA，如通达、华天、金和、泛微、致力协同、新思创等作了检测与分析，几乎都存在安全隐患，这使我们不能不为国内OA系统的安全感到担忧。
　　[