分类： 随笔

　　很多做论坛的朋友网站都无法备案了吧？游侠的一个校友网也被X了，那就出国吧……
　　零距离给介绍了个免费、无广告、支持MySQL数据库的国外虚拟主机，挂了一段时间，感觉还不错。测试速度点这里：www.xijing.org

　　空间介绍：
　　·无任何费用
　　·控制面板免费
　　·无任何广告
　　·250MB空间

昨天游侠写过一篇文章 [关于几个免费在线挂马检测网站] ，说到了北京知道创宇公司的“知道网站安全体检中心”，他们的工作人员很及时的给我发了个内测账号，这里大体说下。当然网址是 http://www.scanv.com 大家可以去申请内测账号。

　　有时候我们需要知道一个网站的安全性，那么您可以像游侠这样在网站底部挂金山和瑞星的云安全检测系统，如下图所示：

　　需要知道扫描效果的话，看看这两个网址：
　　金山 瑞星
　　不过不知道大家看到没，瑞星只说有没有木马，金山的要多一点信息，关于什么时候扫描过，什么时候发现过木马？都没有介绍。
　　今天有位来自北京知道创宇信息技术有限公司的朋友给游侠（www.youxia.org）写邮件，推荐了他们的在线WEB挂马检测和评估系统，看了下，也的确比较有特色。各位朋友可以在这个地址测试：http://www.scanv.com/user/login/ 只要输入网址就可以测试了，看看：

　　并且评估出来的信息相对丰富：

　　还有其它机构的评价，这里显示的是Google的恶意网站判别，当然后台是StopBadware了。
　　如果您以为只是如此，那游侠也不比特别写这些文字了，继续看：

　　以前在什么时候评估过，结果如何，都会有显示。让游侠感觉惊奇的是，居然有该域名以前使用过的IP地址……特色功能。
　　如果您是站长，还提供更多的功能，不过这个要注册，我已经给知道宇创的工作人员发了邮件，拿到测试账号后上文！先看看介绍……

　　先对金山和瑞星的“云安全”检测，北京知道宇创的还是有足够的新意，如上图，提供的方案对于个人站长而言已经基本够用，还不知道将来是否收费，如果是免费的就很幸福了！（不过可能性不大）嘿嘿

　　刚才在博客发了一篇文章 [WEB应用安全扫描产品概述]，然后没事做就在百度和骨骼搜索了下，结果相当让我满意：
----------图1----------

----------图2----------

----------图3----------

　　要知道，文章发布也就半小时多点而已。估计到天亮的时候搜索结果就会比较多了，毕竟现在搜索引擎蜘蛛可能也就只爬了这么几个URL。呵呵，睡觉咯！

　　网上经常有朋友问游侠（www.youxia.org），有什么好的WEB应用安全扫描产品，这里大体的说下。
　　国内这类产品不算多，当然国外也不算多，数来数去，就那么几个，画个图看看：

　　商业产品*国外
　　·Acunetix Web Vulnerability Scanner 6：简称WVS，还是不错的扫描工具，不知道检查的太细致还是因为慢，总之经常评估一个网站的时候一晚上不关电脑都扫描不万……但是报表做的不错。一般用这个扫描的话，不用等那么久，像区县政府的，扫20分钟就差不多了。
　　·IBM Rational AppScan：这个是IBM旗下的产品，扫描速度中规中矩，报表功能相当强大，可以按照法规遵从生成不同的报表，如：ISO27001、OWASP等，界面也很商业化。
　　·HP WebInspect：没错，的确就是卖PC的HP公司旗下的产品，扫描速度比上面的2个都快得多，东西还算不错。不过这几天在和NOSEC（下面说的“诺赛科技”）掐架，愣是说NOSEC的iiScan免费扫描平台侵犯隐私，说NOSEC有国家背景……这市场了解的！
　　·N-Stealth：没装成功，不过很多地方在推荐这个
　　·Burp Suite：貌似是《黑客攻防技术宝典·WEB实战篇》作者公司搞的，安全界牛人。虽然工具没用过，但是这本书的确是不错……如果您做WEB安全，游侠强烈建议您读一下。

商业产品*国内
　　·智恒联盟 WebPecker 网站啄木鸟：程序做的不错，扫描速度很快。
　　·诺赛科技 Pangolin、Jsky：Pangolin做SQL注入扫描，Jsky全面评估，就是上文说的NOSEC，网上扫描平台是iiScan，后台的牛人是zwell。
　　·安域领创 WebRavor：记得流光（FluXay）否？是的，WebRavor就是小榕所写！小榕是谁？搜下……不用我介绍了吧？
　　·安恒 MatriXay 明鉴WEB应用弱点扫描器：还没用过，和NOSEC一样，也有网上扫描平台。
　　·绿盟 NSFOCUS RSAS 极光远程安全评估系统：极光扫描系统新增的WEB安全评估插件，在某客户处见到过扫描报告，不过没用过产品。依照绿盟的一贯风格和绿盟的实力，应该不错。

免费产品
　　·Nikto：很多地方都在推荐，但游侠本人实在不喜欢命令行产品……各位喜欢的Google或Baidu下吧
　　·Paros Proxy：基于Java搞的扫描工具，速度也挺快，在淘宝QA团队博客也看到在介绍这个软件。
　　·WebScarab：传说中很NB的OWASP出的产品，不过我看下载地址的时候貌似更新挺慢
　　·Sandcat：扫描速度很快，检查的项目也挺多。机子现在就装了这个。
　　------------
　　·NBSI：应该说是黑客工具更靠谱，国内最早的，可能也是地球上最早的一批SQL注入及后续工作利用工具，当年是黑站挂马必备……
　　·HDSI：教主所写，支持ASP和PHP注入，功能就不多说了，也是杀人越货必备！
　　·Domain：批量扫描的必备产品，通过whois扫描服务器上的服务器，在很长一段时间内风靡黑客圈。
　　------------
　　·Nessus：当然它有商业版，不过我们常用的是免费版。脆弱性评估工具，更擅长于主机、服务器、网络设备扫描。
　　·NMAP：主要倾向于端口等的评估。
　　·X-Scan：安全焦点出品，多少年过去了，依然是很强悍的产品。大成天下曾经做过商业版的“游刃”，但最近已经不更新了，很可惜。

　　其实能做评估的工具还有很多，如：
　　·Retina Network Security Scanner
　　·LANguard Network Security Scanner
　　·榕基RJ-iTop网络隐患扫描系统
　　不过和Nessus和NMAP一样，主要倾向于主机安全评估，而不是WEB应用安全评估。但我们在WEB安全评估的时候，不可避免的要对服务器做安全扫描，因此也是必然要用的工具。

　　好了，大体的也说了下，各位感兴趣的可以在网上找下相关资料或下载。看完感觉有点收获的，就转发给您的朋友吧。现在都凌晨了，刚敲完……游侠（www.youxia.org）在此谢过了！

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

　　网上有位朋友给我留言，说：

您好,我怀疑我的移动硬盘中有一份机密文件被竞争对手拷贝走了,当然我现在不确定,请问如何查询我的移动硬盘的使用和拷贝记录?

　　据游侠所知：如果您的移动硬盘是普通的移动硬盘，那么资料被拷贝走是没有记录的，或者说即使有办法，如用法政软件分析，也比较困难。所以，如果您担心移动硬盘数据的安全性，请采用数据加密软件。比如TrueCrypt，或其它相关软件。另外，游侠不建议您用“伪加密”软件，如一些靠隐藏文件实现的“加密”。

下文内容来自信息与网络安全从业者QQ群53651293
内容有整理，不一定是原话，但游侠尽量保持原汁原味

1、关于IM软件：
我不用MSN，一帮自以为是的小白领们以为用这个好、牛逼，却不知道这东西一点都不安全
他们只以为用MSN就高贵，实际上却不知道这是个明文传输信息的烂货。
如果用MSN，必须用套（指的是可以加密传输的MsnShell）
--------------------------
游侠：隐私保护很重要，请慎选IM软件

2、针对桌面管理：
你装完客户端，所有人都会抱怨，他的机器慢了，他的网慢了，他什么什么不对了，他手机不震动了，他老婆跑了……都来找你
我们当年做一个2000点的桌管，结果三个工程师走了俩。至今都没验收，快3年了
一开始是一X通，后来换一个什么来的，也很有名的，好像名字里带个北的，再然后又上了XX防水墙
反正那个集成项目坐下来，集成商跑了俩工程师，中X跑了一个，天X信跑了一个，大洗牌
--------------------------
游侠：桌面管理系统问题多多，切记多测试，很多桌面管理项目实施失败的主要原因是客户只看厂家宣传，贪图那些花哨的功能，并且未经严格、长时间测试

3、关于安全加固：
A：靠，刚做过一个1200台的服务器加固，也是做死人的项目
B：加固可以用脚本来做，然后再用组策略去派，不久好了
C：这么多，累吐血。只是跑也够累的
A：脚本我们用了，16种系统……2个月不到，20个人，基本上扒了一层皮

4、关于牢骚和郁闷：
A：桌管，加固，兄弟们能别碰就别碰
B：小的可以碰，O(∩_∩)O哈哈~
C：加固打死不碰，否则没打死也给累死。
D：加固还好，还有一个最要命的，服务器万一挂了出事故，加固完了，搞运维的啥问题都往你身上推。你问他们，这个账户干吗的？能不能删？——不知道！这个端口是什么服务，需要吗？——不知道！
E：没给你句知道还要你们来做什么就不错了

5、关于WEB扫描：
公司的WEB扫描出了点问题——负责开发的老大一看这个有前途，自己跑去开公司了……我们研发就耽误了一下
--------------------------
游侠：汗……自己跑去做了

以上内容来自信息与网络安全从业者QQ群53651293，转载请包含本声明。

　　目前网络协议分析类产品火爆的很，游侠（www.youxia.org）其实在几年前就在关注这个市场，目前应该说已经做的如火如荼，但是貌似依然有很多人对这类产品认识有偏差，简单说几句：
　　网络协议分析类产品基本上就是三类：

　　从功能上来说，网络协议分析类产品基本上要做到：WHO、WHEN、WHERE、WHAT。不明白？看图就明白了：

　　1、行为管理
　　上网行为管理大家应该不陌生了，功能上来说：按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理，现在某些厂家大力推广其“千万级”URL分类库，相当有派头。
　　应用场景：
　　游侠是某公司网络管理员，某日BOSS说：N多人上班时间炒股票、玩游戏，200人每天浪费1小时就是200小时啊！我给他们发工资，这都是我的血汗，立刻把这些干掉！于是，于是……于是我只能祭出网络行为管理产品，让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容！
　　上网行为管理产品的难度也就在于URL分类库，即使是上面说到的千万级（可都是中文呢！）URL分类库，也经常有问题，如某误分类等。游侠在测试某上网行为管理产品的时候，发现我的www.youxia.org是属于“生活类”网站。
　　典型产品：网康、深信服、瑞达时代、网际思安、金盾、绿盟、陕西电信天御五行（本处只是随手举例，和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚，自家产品放在最后，有意者可以和游侠本人联系）
　　2、流量控制
　　流量控制产品在企业中也是需求非常多的，特别运营商、大学、大型企业，你在10M光纤的时候，上网很卡，升级到100M，发现快了十天半月之后又是很卡！于是BOSS开始发飙：网关！你丫花老子钱，一年十几万，为何比10M的时候快了一点点？！给哥解释！神啊，最见不得BOSS发飙了……
　　为什么10M到100M速率上×10，但是实际用的时候只感觉×2呢？——因为10M的时候他在土豆网掘土豆卡，100M的时候不卡了，并且普清换高清了；因为以前在单位下电影只有100K，在家下电影120K，他都在家下电影，现在公司100M，所以都在公司下周了；因为……啥？为何有十天半月的“蜜月期”？因为那些电影狂人还没买来新的1TB的超大移动硬盘！
　　网络流量控制难点在于应用协议分析，请注意我这里说的是“应用协议”分析，而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议，而不是网络协议。并且这些都在一直变换、升级，如迅雷就有完整版、mini版、WEB迅雷等版本，都需要控制，并且会不定时更新。
　　典型产品：Allot、Cisco、L7、AceNet、QQSG、不得不说的NB产品Panabit……
　　3、协议审计
　　这里说的协议是彻底的网络协议，如：HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢？当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制，仅要求审计。但……
　　大家知道，对于航空、航天、兵器、政府能纯内网而言，FTP等也是相当重要的部分，很多场景下需要对文件服务器操作进行审计，那么就需要FTP协议的审计；内网ARP病毒泛滥的时候，ARP协议审计就派上了用场！分级、等级保护等要求对邮件流向做控制，那就需要对SMTP、POP3协议做审计……
　　还有一些是比较偏门的，如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器，那么需要对SSH操作进行审计——什么？SSH加密？目前通过Cain就可以抓到SSH v1的内容，当然SSH v2还是比较保险的，但是如果需要操作审计，也是有办法进行审计的。另外管理员通过telnet管理交换机，也可以进行审计。
　　典型产品：启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
　　其实目前很多产品都是综合型的，有些产品覆盖了上述1、2、3的所有部分功能，有的则是术业有专攻，大家可以根据自己的需求进行选择。另外请大家谨记：记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为（注意我用的是“监控”而不是“审计”）是与我国法律相悖的。
　　补充一下：
　　有些产品现在往往只注重一个功能，衍生出了产品，如：发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品，软件产品没有分析。
　　版权声明：张百川（网路游侠）https://www.youxia.org
　　信息与网络安全从业者QQ群：53651293，可容纳500名专业网安从业者的超级QQ群欢迎您的加入！

　　早上起来上网，Zwell发给我一篇文章，看地址是HP安全产品的博客，地址是：http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/01/15/china-google-and-web-security.aspx，英文好的自己看，英文不好的听我说大意……嘿嘿
　　文中首先说Google、Yahoo、S

在和一些厂家的朋友聊天的时候，曾经说过一个观点：用娱乐的观念做产品。圈子里面很多人都在说某公司是“娱乐公司”而不是安全公司，但是反观之，它的产品市场占有率相当高，国内毫无非议的No.1，特别在政府、军工企业都几乎是唯一的选择，为何？——包装、炒作。

去过很多单位，很多负责信息安全或安全保密的管理人员或技术人员对网络安全漏洞的危害并不清楚，不知道前一段的《密战》让多少人感觉必须增强保密意识？必须增强安全防范手段？

　　在Google搜索下“为什么星期日不叫星期七”，第一条说“百度知道”，有图有真相。

　　那么，为什么“为什么星期日不叫星期七”呢？Google说“百度知道”，我们看看正文：
　　星期日指的是星期六之后、下一个星期一之前的那一天。星期日的拉丁语名字是dies solis，意思是太阳日；法语是di

在CnBeta的评论看到说在百度、Google搜这个关键词没有结果
还真是……

为什么呢？这到底是为什么呢？——不要问我，也请不要评论。
多说一句：
我对网站Bei'An制度也是深恶痛绝的……劳民伤财
最关键的，Bei'An的网站最近几乎打不开，如何备？
看看Bei'An的超低效率吧……
还有人专门借这个敛钱——不让别人活，别人让你活？
在经济危机的时候，GX部就是这样鼓励大学生创业的吗？
——河蟹你MLGB！
胡哥哥看到你们花大钱干这些烂事还不修理你们！
详情：http://bbs.sogou.com/519477/ifRb0h1MSDaJBAAAA.html
人民赋予你们权利，是要你们给人民创造福利，而不是添乱。

下午的时候在博客增加了一篇文章，貌似网上流传的也就我博客这个：[ 人民网“微博”频道上线首日即出现严重安全问题 ]后来发现这个地址：http://msn.yesky.com/a/50054124.shtml 完全复制了我博客的内容……并且很让游侠郁闷的抹去了我在每个图片右上角的水印…… 不写出处也不要紧，你水印给我留着也那么难？ 小妖同学，王双双编辑，下次注意点行不？如果继续这样，难道我以后水印要...

游侠提醒大家注意哦，有中信信用卡的朋友们一定要注意看看自己帐号！当心中信银行信用卡部忽悠你的钱！