分类： 安全

有位做安全产品需求规划的朋友加我，说讨论下关于UTM和IPS的包装，即我们呈现在用户面前的“亮点”。游侠认为，目前市面上的UTM和IPS实际上同质化非常严重，只不过A产品a功能强、B产品b、c功能强、C产品c功能好点而已，在功能上不会有特别厉害的差距。

　　简介：3Gweb自防御网站服务器（Self-Defending Web Server）是一种整合了OS，自防御系统，HTTP服务器，数据库，Web开发环境，通信和其它软件，以及特殊架构计算机在内的新一代网站服务器装置。它提供一种前所未有的高可信和高安全的综合Web平台，并提供最大的便利性。3Gweb的主功能还是基于http协议的“得到访问者的请求，送回信息”的Web功能，但同时，在其内部植入了最先进的人体“自我防御”机制。因此3Gweb具有超强的抗攻击和抗入侵能力，无论是对“已知攻击”还是“未知攻击”，无论是来自“通信层”，还是“应用层”的攻击。
...

　　2010年1月以来，在中国数据泄露防护（DLP）市场上，国外DLP大举进攻中国市场，而国内DLP厂商奋力抗争，从产品、技术、营销、理念等多个领域正面交锋，战斗如火如荼，形成了一个全新的市场竞争格局。

　　一、国外数据泄露防护（DLP）产品概述

　　从2006年开始，基于防止外部入侵窃密和内部无意泄密的需求，关于数据泄露防护（DLP）的技术和产品，信息安全领域的重点。国际信息安全巨头包括趋势科技、赛门铁克、RSA（EMC）、Websense、麦咖啡等，陆续推出了DLP产品。

　　2008年6月，趋势科技收购Provilla 公司，推出数据外泄管理系统LeakProof 3.0。2008年10月，赛门铁克宣布推出数据丢失防护解决方案9.0版（DLP 9.0），旨在帮助企业和组织增强发现、监测和保护机密信息的能力，无论这些信息在何处存储和使用。2008年10月，EMC的信息安全事业部RSA发布DLP6.0版本。Websense自2007年1月收购PortAuthority公司进入DLP市场，推出了终端内容保护套件解决方案。后来通过与Lumension建立合作伙伴关系来解决移动存储所导致的终端数据丢失问题。2009年9月Websense发布新版数据外泄防护（DLP）产品Data Security Suite，新版Data Security Suite加入端点控管，也就是防止数据从USB等管道外泄。McAfee在2006年买下Onigma后，在2007年2月推出了数据遗失保护软件Data Loss Prevention（DLP）Host，并在2007年11月将其整合进安全管理控制台ePO 4.0。
...

　　23日下午，我和重庆联想网御、华夏创新的哥哥弟弟们还在赛博楼下转悠，摆重庆IT武器装备行业的事。唐总指点江山，就差没激扬文字了。

　　回成都睡了一觉，小陈QQ上给我说：赛博烧了，你知道么？我说昨天不还好好的么？怎么就烧了？上网一看，果然！ 赛博大火

　　赛博是重庆IT的标志性建筑之一，被烧之后据说损失惨重，某商家报损失1个亿左右，我姑且不说这个损失大与小，关键这个数目是如何统计出来的，商家的账目恐怕都在大火中付之一炬了吧。

　　当然这只是我的猜测，但是我估计大部分的商家，会将自己的库存、财务数据、合同、客户资料存在电脑上放在办公室，这火一烧，损失的恐怕完全不仅仅是那一堆货。货是有形的损失，数据呢？财务、客户这些损失又如何统计？
...

随着中国移动河北有限公司通信网、业务网及各支撑系统的不断发展，由于内控措施不力造成的安全问题时有发生。依赖各通信网、业务网和各支撑系统中设备自身的日志功能进行审计的做法已经无法满足河北移动目前和未来业务发展的要求。

　　央视一套30集热播电视连续剧《密战》推出之后，获得了较高的收视率。《密战》中运用了当前主流的技术和设备。不论是服务器、笔记本电脑、移动硬盘等大众所常见的设备，还是相当专业的微波发射中继器、手机窃听器、安防监控系统解读器，都是泄密和窃密的重要途径。

　　为了让广大观众更为了解《密战》剧集中所涉及到的种种窃密与反窃密途径，本文将剧情中种种窃密途径进行解析，并提出相应的技术、产品或者是防范手段

　　1、引言

　　跨站点请求伪造（Cross—Site Request Forgery）。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家，将CSRF列为最危险的25个编程错误之一。

　　2、现有的Web安全缺陷

　　2.1 Web安全策略

　　与CSRF有关的主要有三个Web安全策略：同源策略、Cookie安全策略和Flash安全策略。
...

　　好几个朋友和我说过Safe3 Web Vul Scanner了，前一段时间作者也加了游侠的QQ，聊了下，并给我注册了个Safe3 WVS，看了下功能不错。
　　为了说明其功能，我在这里扫描个不大不小的站吧，设置参数，点菜单“Setting”：

　　·Scanning Threads：默认值是10。扫描的线程，值越大扫描速度越快，当然占用主机资源越多。不过以游侠自己的测试，即使是改成30，对资源的占用也完全可以接受

VCLMS针对目前主流信息系统基础平台的特点，通过采集各种网络设备、安全设备、操作系统及应用软件平台的安全事件日志及各种消息、主动探测运行状态等手段，为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的综合日志管理平台。

　　“航天蓝西电子信息深度取证工具”是针对国家保密单位进行安全保密检查、公检法针对电子信息司法取证、各级涉密单位进行安全保密自查与防范工作的计算机安全产品。使用“航天蓝西电子信息深度取证工具”对涉密信息系统进行例行或日常检查，可及时发现、解决违规问题，真正促进保密工作制度化、规范化、常态化管理作用。
　　
　　航天蓝西电子信息深度取证工具功能

在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。

　　1 背景知识
　　
　　1.1 什么是XSS攻击
　　
　　XSS攻击：跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets, CSS）的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略（same origin policy）。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击”，而JavaScript是新型的“ShellCode”。
...

　　在公司写的个PPT，时间比较紧，所以做的也不那么精细。发上来供大家参考，如果有建议请直接联系张百川（网路游侠），或到信息与网络安全从业者QQ群讨论。
　　我的联系方式：baichuan.zhang@gmail.com

　　点击这里下载：
　　中国电信一站式安全服务-张百川.pdf
　　如果您在陕西省，并且有类似需求，欢迎与我联系。

　　摘要：
　　
　　IPS（入侵防护系统）和WAF（Web应用防护系统）两款产品有不同的使用场景，随着Web应用发展带来的复杂度，对安全性要求也日趋增高，Waf的出现是顺应了市场和技术的需要，本文从对比角度来分析，是为了从差异中让读者更清晰的理解Web安全防护产品的技术特征。
　　
　　关键词：WAF IPS WEB应用防护 绿盟科技
　　
　　谁是最佳选择？
　　
　　Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。但对于重要的Web应用（比如运营商或金融），始终有受利益驱动的黑客进行持续的跟踪。
...

　　近来在网络游侠的blog是看到一篇文章：《[网路游侠：WEB应用安全扫描产品概述] 》列举了一些国内外商业的免费的web扫描器及其的一些特点… 他这个问题是在产品推荐的角度上的，可以看的出来web扫描平台的市场竞争还是非常大。

　　在实现的技术是来说，他们都是基于url爬行的基础上的，对于基本上很多都是通过正则提取url及参数，只是有的提取url和参数不太一样，很少直接提取，一般都是通过本地代理[类似于代理中间人攻击]来提取。这样的爬行对于web2.0的时代来说，已经有那么点落后了，如复杂的ajax,flash应用，以及js混淆等…
...