两位一体 论应用安全与数据库安全

  【IT168 技术】应用安全和数据库安全就像是拼图中的拼图块,它们虽然不同,却彼此之间需要对方,缺少任何一个,都不能形成一个安全整体。如果其中一方出现安全隐患就会令整个安全防御彻底失效,如WEB应用程序存在SQL注入的时候,就会对整个系统和数据库产生更大的影响。为了减小攻击范围,开发人员和数据库管理员必须明晰他们在这个过程中的角色,协同工作,以避免WEB应用暴露出任何敏感数据。

  如今,许多行业用户将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。不论是通信、金融、电子政务、电子商务抑或是小小的个人博客,前端应用程序和后台数据库都不可避免地结合在我们现在的模型中,任何一个都不可离开另一个而单独存在。

2012年安全预测:社交媒体的应用入侵

  大型恶意网络继续推动绝大多数攻击:预计2012年高达三分之二的恶意软件攻击将来自Shnakule等已知恶意网络。这些网络旨在攻击互联网上不知情的用户和他们的基础设施,他们在攻击发生过后很长时间都意识不到攻击已经发生。恶意网络还使网络犯罪能够轻松地利用新闻话题(例如奥运会)发动新的攻击。预计安全领域将转向阻止恶意网络的交付机制,而不是单个攻击。

  搜索引擎继续成为主要的恶意软件攻击渠道

2011年应用安全漏洞分析及趋势展望

以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。来自杭州安恒的Tony为大家分享了《2011应用安全0—day漏洞分析》。

转载noless的“Web安全,学习计划”

  游侠 www.youxia.org 在华安论坛看到noless的一个学习Web安全的计划,感觉不错,贴在博客,学习Web安全的兄弟们可以参考。
-----------------------------------
标题为Web安全学习计划,实属我的愿望:将下面这份Web学习清单完善成为一个Web安全,学习计划指导性帖子。

说明:本来打算给自己设计一个详细的学习计划,但是发现这些学习内容罗列出来后,发现这是个很庞大的系统,一时不知该如何来安排时间(自已把自己杯具了~~)。那就暂时成了如下的一个学习清单列表。发表出来,希望看看大家的建议。想成学习计划虽为私心,但如果修改得好也是一个福利大多想学习Web安全的朋友的一个机会。
...

游侠原创:做安全的,你拿用户当智者还是傻子?

我们国内没有一家能有世界影响力的安全公司,亦或说像点样子的安全公司。当然,你和我说卫士通、启明星辰上市了……那谁、那谁,也上市了,但是除了卫士通、启明星辰是做安全的,其它那些上市的是纯粹的安全公司吗?他们只是在业务里面有安全这一块而已。

安全猎头:某安全公司招聘应用安全工程师

  某安全公司招聘应用安全工程师,承担风险评估、渗透测试和应急响应工作

  具体要求:

  1 精通SQL注射、跨站脚本攻击等应用攻击手法;
  2 熟悉常见脚本语言和数据库,能够进行WEB渗透测试,恶意代码检测和分析;
  3 熟悉攻击的各类技术及方法,对各类操作系统、应用平台的弱点有较深入的理解;
  4 分析问题和实际动手能力强,具有良好的团队合作精神;
  5 具有良好的沟通能力和文档编写能力;
  5 学历不限;
  6 有相关工作经验者优先;

  工作地点:杭州或上海

  联系方式 QQ:19833355