分类： 随笔

刚刚游侠在朋友圈看到有人发宝塔面板的更新信息，紧接着自己也收到了短信： 【宝塔面板】紧急安全更新通知，Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患，其他版本无此风险。已发布紧急更新，请所有使用此版本的用户务必升级到最新版，更新方法，登录面板直接升级更新即可，如更新出现问题，请登录宝塔论坛反馈或者联系客服反馈。 在宝塔面板的论坛，也看到了此信息。确认无误。 宝塔Linux面...

今晚在朋友圈看到一张图： 我不解释了，大家都明白——勒索病毒。 简单说几句吧： 染毒的途径： 1、弱口令：包括操作系统弱口令、数据库弱口令、业务系统弱口令（比如ERP等），比如Windows的远程桌面、Linux的SSH…… 2、漏洞：包括上面说的操作系统、数据库、业务系统，都有可能被黑客攻击后利用漏洞部署勒索软件。尤其是业务系统！很多医院就是因为HIS系统里面傻子一样、不可更改的口令导致的！（开...

刚刚，在“安在”张耀疆老师的朋友圈看到两张照片，是“2018网络安全产业创新（上海）论坛”会刊，当然，还有一份重磅报告，我想大家可能还没有看到……毕竟会场的人才刚拍了发呢，对吧……hiahiahia，估计我是第一个发微信公众号的。 会刊如下： 那份重磅报告如下图，是《2018全球网络安全企业竞争力研究报告》 嗯，不太清晰啊，微信公众号发图就这样的渣画质，我也不想搞这么不清晰啊……估计回头“安在”公...

我们知道，这几天有个勒索病毒比较火的，不是因为多强悍 ，是因为这个居然用微信收款，还赤裸裸的收款“110”块钱（挑战我大中华的网警吗？）。 其实，12月1日爆出这个事情来，到今天12月5日，在微博、朋友圈，这个病毒已经火了……然后火绒实验室就直接搞定了这款勒索病毒，搞了解密工具，还——顺道黑到了病毒制造者的服务器。 然而：病毒制造者可能真的是不玩微博，也不太看朋友圈啊，都有人找上门来了，他居然说：...

下午游侠从朋友圈看到一张图： 恩，让我们放大了看看： 其实此前“游侠安全网”也发过几个这样的例子，见： 河南一图书馆网站被黑 因未履行网络安全保护获罚 https://www.youxia.org/2018/02/36591.html 建网站不维护遭黑客攻击 哈尔滨某开办单位被罚20000元 https://www.youxia.org/2017/09/32764.html 宜宾某单位未落实等级保...

随着国家主管机关对网络安全推动力度的加大，以及黑客们日益频繁的网络攻击，更重要的是2017年6月1日《网络安全法》的正式实施，市面上“等级保护”的合规需求日益增强。 但，其实相当多一部分客户并不是学网络安全的，甚至也不是计算机专业毕业的，在这种情况下，单位的等级保护工作怎么做？ 于是，从前年底（没记错的话），市面上出现了多个版本的“等级保护套餐”，对于不少客户而言，这的确是一股东风！解决了很多客户...

版权申明：您可以转发、转载本文，但请注明来自“游侠安全网”。否则——明犯版权者，虽远必骂！（照着Google Translate翻译的，不容易……请谅解） 此前，“游侠安全网”曾连续关注过CyberSecurity Ventures TOP 500，这几天该机构又发布了2017Q2版，这次，中国有9家公司上榜。与上次相比 ，NSFOCUS（绿盟科技）最新上榜。 这9家公司是： Nexusguard...

今天下午下班后，游侠看到网上爆出了Struts 2的最新漏洞——S2-048。描述：Showcase插件ActionMessage类中，通过构建不可信的输入实现远程命令攻击，存在安全风险。 然后……微博、微信朋友圈，就被刷屏了……我们来仔细看看，利用条件： 1、Struts版本：Struts 2.3.x 2、有Struts 1的Showcase 相信经过了前一段各种漏洞的“洗礼”，如S2-045等...

自从Nessus不开源了之后，好多“自主开发的国产”漏洞扫描器也都不太更新了……很多朋友还是偏爱开源软件，所以今天就给大家带来一款全新的、开源的漏洞评估系统：OpenVAS。 几年前就注意到了OpenVAS，但说实话：OpenVAS配置还是比较麻烦的，远不如Nessus人性化……不过前几天游侠在群里面提到OpenVAS没有虚拟机方便测试的时候，有朋友说：现在有了啊！OK，那就省事多了！ 虚拟机版本...

朋友：有什么的免费的网站安全解决方案，或者说产品么？

游侠：当然有啊！不但免费，还很好用呢！

朋友：那还不赶紧和我说说？我小网站买不起WAF，免费的好用的话我就用下啊！

游侠：那等下，问的人多了……我写个PPT吧……

今天早上，游侠的同事到办公室后问我：昨天收到一条短信，里面有个链接，写的是我们的影集，里面还写了我的名字，我没敢点……这个敢不敢点？我还是看看吧！

此前“游侠安全网”曾经报道过美国第三方调研机构CyberSecurity Ventures的Top 500排行榜，今天，游侠看到Cybersecurity 500更新了，最新的已经是2016Q2的版本，所以游侠继续带大家分析下这个榜单。

这几天某白帽子“友情测试”世纪佳缘被抓的事情闹的沸沸扬扬，每天打开朋友圈都至少看到几篇写这事情的文章。既然大家都在说，那游侠我也说说找我的观点。

这两天，Struts 2又爆出了新漏洞，相信各位安全圈同仁、各位关注安全圈的朋友，都已经知道了——S2-032这个大杀器！那么，这个漏洞到底有多厉害呢？来个乌云漏洞平台的图看看吧！

游侠公司的同事们搞了个牛逼的Struts 2漏洞——S2-032。当然，这个漏洞出来之后就直接报给了Struts2官方。然后做了个测试，测试的时候是有个计算器弹出来的，就是现在大家在网上到处都能看到的这个。