分类： 随笔

　　龙年到了，送大家一组西安图片，祝大家春节快乐，万事如意！

本想写下怎么让网站管理员自查有无此类问题的，不过想到同时也是教别人为非作歹的方法，算了，不写了……你知道这样配置不安全就是了。只告诉你结果，过程麽——管理员自己去看配置吧，配置下也就分钟的事情。

网站没有配置默认文档……一般默认是index.html、default.html、index.php、default.php之类的，不过快乐E购显然没有配置……并且没有禁止目录浏览，所以目录内的文档尽收眼底……

此前游侠曾经在博客上给大家介绍过Windows平台下的日志转换为syslog的工具，工具总是很多的，今天再给大家推荐一款——nxlog。安装，因为是msi格式的，因此不说了。需要很简单的配置。

随着信息技术的高速发展，网络中的设备越来越多，渐渐的我们发现依赖传统手段去一台台分析设备的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障，是时候对运维日志进行集中管理了。

　　CSDN、天涯、当当等网站用户名、密码泄露的事件的硝烟还没有散尽，安全公司Symantec这次又来抢风头了——难道赶着给我们的春节送贺岁片？

　　如果您还没有了解此次事件，请先阅读这篇文章：[黑客已盗取Symantec两款企业反病毒软件源码]

　　按照Symantec公司的说明，数据是被合作公司泄露的。虽然赛门铁克作为数据泄漏防护领域的全球领导者，但是也无法避免在繁杂的业务交流中核

　　昨晚游侠安全网（www.youxia.org）发布了一篇文章 [2012年新浪微博用户密码泄露漏洞（图片解析）] 然后发现被魔术师刘谦先生发到了微博，然后……然后小站就几乎被挤爆了。

　　今天一天在外，回来之后发现文章作者 峙酿君edwardz 在新浪微博就本事件发了个声明：

　　其实，我们现在

　　经过一段时间的努力，游侠安全网（www.youxia.org）在百度、Google的圈中有所提升。此前曾经有一段时间好几天才更新一次，目前还好，发现添加文章最快几分钟即可收录。

　　不过，速度还是个问题啊……

　　我们知道Acunetix WVS可以对网站进行安全性评估，那么怎么能批量扫描呢？游侠（www.youxia.org）在测试WVS 8 BETA2的时候发现WVS居然支持WEB管理，还是很方便的。
　　打开Acunetix WVS，点New Scan，在弹出来的界面可以看到有三个选项：

　　最下

用作渗透测试平台的系统已经很久没有升级了，刚给Nessus升级了下规则库。速度一如既往的慢……不过还好，没有提示“could not verify the signature of all-2.0.tar.gz”错误，就是万幸啊！ 新版本内置了几个规则，不过看了下配置，貌似各个规则之间没什么区别，按说局域网扫描、互联网扫描、WEB应用扫描规则应该是不一样的啊——还是，游侠我没搞明白？ 然后发现Ac...

　　此前游侠曾经写过在Windows下面安装Nessus的文章，然后就有朋友问我，在Linux下面怎么安装？今天游侠以CentOS 6为例，讲解如何安装Nessus 4.4.1 。

　　操作系统游侠推荐用wdlinux——一个精简的CentOS，删除了一些无用的程序，速度飞快。下载地址为：http://www.wdlinux.cn/download_center 选择 基于 CentOS 6.0的精简版，游侠这里用的是64位版本。

这两天关于CSDN等一批网站的密码被公布的新闻散布在网络上，无论是科技类、安全类、黑客类的网站，还是博客、微博，都讨论得如火如荼。游侠发现一些人认为密码经过MD5处理之后，就安全了，就万无一失了，但是，真是吗？

　　收到一封邮件……又是欺诈！

　　钓鱼攻击越来越频繁了。一定要小心。

　　游侠的博文 [关于安全这个圈子……有话说] 今日获得51CTO社区周刊（第135期）头条推荐。

　　原文阅读：[关于安全这个圈子……有话说]

　　游侠安全网（www.youxia.org）也欢迎各位网友投稿，文章请发至：55984512@QQ.COM

　　以前游侠曾经写过一篇 [一次利用社会工程学的简单入侵] ，今天看到另一篇文章 [反社会工程学培训：人为错误的第一道防线] 于是就有了本文的诞生……当然，在此之前，游侠也推荐您读一下这一篇 [2011年已知的第一起经典社会工程学入侵] ，相信您会对社会工程学入侵产生一定的兴趣。

　　其实，社会工程学入侵并不是新花样，但是在目前各种安全防护措施日渐繁多的情况下，越来越凸显出其重要性。因为