您现在的位置：天下网吧 >> 网吧天地 >> 网吧技术 >> 网络安全

鲜果网某处CSRF漏洞可蔓延蠕虫: 鲜果网某处CSRF漏洞，可能导致蠕虫蔓延，在未经用户同意的情况下发布文字、加关注等等!　　详细说明：在接受POST和GET的信息的时候，未对POST来路(Referer)进行验证，同时也没有在POST的信息中加token验证信息的正确性，导致漏洞产生。　　演示地址：http://in.imlonghao.com/WooYun-XXXXX/ (用户名/密码：i…; (更新时间:2012-11-12)[查看全文]
安恒信息专家：多家大型互联网企业被爆跨站漏洞: 近日，安恒信息安全研究院在研究过程中发现百度、腾讯、新浪等多家互联网公司的WEB应用产品存在存储型跨站漏洞，影响和危害十分严重，可能直接影响中国互联网数以亿记的广大网民的信息安全。安恒信息安全研究院本着对互联网的“协作”精神及安全研究团队的责任感，在发现漏洞后立即与百度等公司安全部门取得联系并提交所发现的漏洞，并协助其修复漏洞。　　危害　　互联网高速发展的这…; (更新时间:2012-11-12)[查看全文]
互联网最大规模帐号劫持漏洞即将引爆: 笔者与近日从互联网应用安全提供商知道创宇安全研究团队处得悉，目前有一项严重危害用户隐私的漏洞刚刚被发现，包括旅游，招聘，娱乐，SNS交友，各大电商等各类网站均会被影响。经知道创宇安全研究团队测试，该安全漏洞在国内使用第三方登录机制的网站中普遍存在,甚至知名的安全厂商360的网站平台以及360浏览器也存在这个问题。由于此类攻击不受同源策略等浏览器的安全限制，且…; (更新时间:2012-11-12)[查看全文]
如何防范最新的Java平台漏洞？: 你的企业在使用Java平台吗？你可知道，Java平台很有可能会为病毒、木马大开方便之门。就如何防范最新的Java平台漏洞这一话题，本文为读者提供了一些参考方案。　　作为一种得到广泛应用的编程语言，针对Java平台的攻击呈现出逐渐抬头的迹象。很多安全研究人员就此提出了自己的方法，以便用户保护自己的计算机，以防范针对Java平台的攻击。安全研究人员希望在甲骨文没…; (更新时间:2012-11-12)[查看全文]
双十一将至垃圾短信泛滥网友用360将其微博曝光: 不管11月11日是不是真正意义上的光棍节，垃圾短信随着不同商家的打折促销已经铺天盖地而来。不少网友开始抱怨，促销短信近半个月来不分时段狂轰滥炸，其中绝大多数没有价值，却还要忍受骚扰之苦。不过也有网友建议，对于不想看到的促销短信，其实可通过360手机卫士进行拦截，同时又不妨碍收到短信。　　短信群发是商家宣传自身产品的主要营销手段之一，但铺天盖地的促销短信却没有…; (更新时间:2012-11-12)[查看全文]
企业移动安全策略如何制定: 为了解决移动办公人员在工作中存在的安全风险，相关机构总结了以下几个需要重点关注的领域，以此来改善员工的办公风险问题。以下几个例子是研究数据风险的访谈中总结出来的。　　开发企业的移动安全策略　　研究表明，由于手机安全带来了新的挑战，所以IT安全从业人员需要一个整体的战略方针，以管理风险，威胁和漏洞。在用户生产力和成本不受影响的情况下，解决的办法是不限制使用这些…; (更新时间:2012-11-12)[查看全文]
手机安全威胁呈复杂态势用户安全意识欠缺: 近年来以移动互联网、智能终端、应用平台为核心的新型移动互联产业快速发展，在促进了产业发展转型的同时，也带来日益突出的移动安全问题。这些问题的解决仅仅依靠运营商还不够，还需要产业链各方协同合作。对于近期移动互联网安全发展形势以及集约化安全运营思路的优势，《通信世界周刊》采访了来自安全企业明朝万达和McAfee的专家。　　手机安全威胁更加复杂　　《通信世界周刊》…; (更新时间:2012-11-12)[查看全文]
360发现Android系统存在彩信调用BUG: 市场占有率最高的Android系统最近麻烦缠身。继日前发现存在短信欺诈高危漏洞后，近日又被发现存在一个彩信缺陷(BUG),可导致Android开发者在调用安卓手机彩信查询接口时，得到错误结果。独家发现此BUG的360安全工程师表示，该BUG存在于所有安卓版本的系统源码中，同时已将代码补丁提交至谷歌开源社区。谷歌安卓研发团队对此已表示将在安卓系统后续版本中予以…; (更新时间:2012-11-12)[查看全文]
30万台手机变“短信群发机” 狂发垃圾短信: 垃圾短信一般都是由一种叫做“短信群发机”的专业设备或系统发送。但近日，360安全中心截获两款可以传播垃圾短信的手机木马，手机中招后会在后台偷偷群发垃圾短信，中招手机因此变成“短信群发机”。不仅如此，有的甚至还会屏蔽回馈短信，用户很难察觉直至话费被耗尽。据360安全中心统计显示，目前木马感染量已超过30万人次。值得庆幸的是，360手机卫士已可彻底查杀此木马。　…; (更新时间:2012-11-12)[查看全文]
网络攻击的发展趋势全面解析: 目前，Internet 已经成为全球信息基础设施的骨干网络，Internet 的开放性和共享性使得网络安全问题日益突出，网络攻击的方法已由最初的零散知识点发展为一门完整系统的科学。与此相反的是，成为一名攻击者越来越容易，需要掌握的技术越来越少，网络上随手可得的攻击实例视频和黑客工具，使得任何人都可以轻松地发动攻击。网络攻击技术和攻击工具正在以下几个方面快速发…; (更新时间:2012-11-12)[查看全文]
双11或引黑客钓鱼潮隐私安全谁来保证: 随着“双十一”的临近，各大电商也再次打响了价格促销战，相关广告铺天盖地而来。然而，黑客也非常喜欢利用这些促销的机会制造出各种钓鱼网站和盗号病毒，借此来牟取暴利。据瑞星“云安全”系统监测的结果显示：针对网购和网银类的钓鱼网站近期呈明显上升趋势，目前，瑞星恶意网站监测网已将安全级别上升至“高危”级别。瑞星安全专家提示广大用户，在网购时应注意以下情况。　　电脑网购…; (更新时间:2012-11-12)[查看全文]
越来越模糊内外部攻击界线: 内部攻击再次来袭，但这次不是恶意的内部攻击，而是内部人士有针对性的访问企业内部数据，再转而销售给网络犯罪的地下黑市。　　安全专家说了很多年，尽管技术是保护企业网络免受网络攻击的关键元素之一，但是企业内部员工在操作上的粗心，或者对数据访问的不规范操作，可能比技术问题带来的负面影响更大。　　最近几个月最严重的一起事故就在今年八月份，Shamoon病毒将沙特阿拉伯…; (更新时间:2012-11-12)[查看全文]
卡巴斯基实验室：微软的软件产品比过去更安全了: 对于使用微软软件产品或是正在使用Windows PC的用户，大概时常需要为软件和系统极易遭到黑客和病毒袭击而烦恼。不过最近一项来自系统安全企业卡巴斯基实验室的最新报告却显示，微软已经对其软件产品进行了改进，安全指数得到极大提升。　　卡巴斯基今年最后一季的IT威胁近况(IT Threat Evolution)列表中列出了10款最容易受到攻击的PC应用程序，在此…; (更新时间:2012-11-12)[查看全文]
无线局域网下DDoS攻击的概述: 如果你的服务器主机中运行了DNS服务，那么一定要小心DdoS这个很现实的攻击行为。而如果你的DNS服务遭受到了DdoS攻击，那么可以想象，最低的损失也是丢失电子邮件和暂停Web服务。　　而如果你的DNS服务主机位于企业内部，并且与企业用户的网络浏览等服务共用网络连接，那么一旦遭受DdoS攻击，就意味着整个企业的网络服务暂停了。就算你的DNS服务只是用于测试或…; (更新时间:2012-11-12)[查看全文]
解决IaaS安全风险的六项建议: IaaS为用户提供计算、存储、网络和其它基础计算资源，用户可以在上面部署和运行任意的软件，包括操作系统和应用程序，用户不用管理和控制底层基础设施，但要控制操作系统、存储、部署应用程序和具有对网络组件(如主机防火墙)具有有限的控制权限的能力。　　1、客户数据可控以及数据隔离。　　对于数据泄漏风险而言，解决此类风险主要通过数据隔离。可以通过三类途径来实现数据隔离…; (更新时间:2012-11-12)[查看全文]
网站安全实践：对预防SQL注入的几点建议: 当你打开百度新闻搜索“黑客”关键字时能看到什么?没错，有太多知名的网站被黑客攻破，有太多牛X的IT系统对黑客来说如入无人之境……　　进入WEB2.0时代，我们的IT当真变得如此脆弱了吗?记得在一次有关安全的研讨会上，有专家谈到了这样的观点：互联网在设计之初，也没能预想到互联网会发展成现在的庞大规模，如果互联网依然只应用于教育网、科研网，就不会有这么多的问题，…; (更新时间:2012-11-12)[查看全文]
如何解决虚拟化的安全问题: 将计算作为一种服务，这也就是为什么云计算火热的原因所在，所有用户关心的重点是如何享有更多的是服务。　　近年来，云计算受到了学术界和产业界的一致关注。随着云计算应用的日益复杂，其安全性要求也越来越高。传统的IT系统是封闭的，存在于企业内部，对外暴露的只是网页服务器、邮件服务器等少数接口，因此只需要在出口设置防火墙、访问控制等安全措施，就可以解决大部分安全问题。…; (更新时间:2012-11-12)[查看全文]
进攻即防守：利用开源信息抵御网络攻击: 目前IT面临的主要困境是：安全工具就像一个黑洞，吸走企业的时间和金钱，以及企业应该如何适当地保护企业的信息系统和资产。强大的防御并不一定意味着高成本，企业应该从评估公开信息开始，并想办法保护这些公开信息免受攻击。　　关于谁正在攻击企业以及为什么发动攻击，企业很容易被各种炒作新闻左右，从而产生了对有效安全相关的要求和成本的误解。企业需要从根本上和战略上选择安全…; (更新时间:2012-11-12)[查看全文]
采取行动应对网络战争的升级: 同传统武器不同，发动网络战争的工具非常容易被克隆，敌人也很容易对其进行重新“包装”。要想在网络战争环境中幸存，最重要的措施是开发和部署一种全新的高级安全规范，对最重要的关键基础设施进行保护。　　近日，卡巴斯基实验室联合创始人兼CEO尤金卡巴斯基在ITU Telecom World 2012(2012世界电信展)上进行的主题演讲中，强调了网络武器军备竞赛所带…; (更新时间:2012-11-12)[查看全文]
安恒信息专家浅析WEB应用防火墙绕过测试技术: 伴随大量数据泄漏事件的发生，业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全，以成为掌握核心数据用户的首要关注点!这就是OWASP 2012中国峰会上，安恒信息总裁范渊先生对于现在国内整体WEB应用安全现状的点评，“现在我们所面临的是一个岌岌可危的网络安全环境，整个网络就好比《皇帝的新装》中的帝王毫无隐私!”　　OWASP中国区副…; (更新时间:2012-11-12)[查看全文]
面向服务架构下的信息安全应用研究: 一引言　　在最近一些年以来，因为没有对信息化建设进行统一的规划和管理，从而导致信息孤岛成为企业信息化建设的瓶颈。为了实现信息孤岛问题的有效解决，应用集成的研究随之出现。然而，传统的应用集成解决方案具有非常大的实施难度，并且仅仅能发挥非常有限的作用。后来，出现了面向服务的架构(SOA，Service Oriented Architecture)，这种崭新的体…; (更新时间:2012-11-12)[查看全文]
BYOD应用中的识别技术推动网络业务更为丰富: 只有解决了网络安全问题，企业才能够放心去拥抱BYOD。IT部门希望能够对接入网络的每个元素都能“洞察秋毫”，做到这点的前提就是对各种设备和应用的识别。　　一、 BYOD的产生和安全　　BYOD不是简单意义上员工可以携带自己的设备在企业网络环境中使用，其核心应该是员工可以随时随地使用任何设备，不论是自己的还是企业提供的设备接入企业网络。这必将带给企业网络“四多…; (更新时间:2012-11-12)[查看全文]
安全需要的不仅仅是新技术: 在FOCUS12大会上，笔者现场采访了迈克菲亚太区首席技术官(APAC CTO)Michael Sentonas先生。Michael认为安全不仅需要新的防御技术，同时应该挖掘现有安全技术、安全防御体系的潜力。　　Michael Sentonas 迈克菲亚太区首席技术官(APAC CTO)　　丰富的BYOD安全解决方案　　BYOD是现今最流行的安全话题，BYO…; (更新时间:2012-11-12)[查看全文]
系统安全的关键安全技术 Android中的沙箱模型: 沙箱模型是业界保证系统安全的关键安全技术，已经在浏览器等领域得到了成功应用。作为优秀的开源移动平台操作系统，Android也有相应的沙箱模型，本文将对其进行介绍。　　一、沙箱模型原理简介　　现实中的沙箱(SandBox)，是一种儿童玩具，类如KFC中一个装满小球的容器，儿童可以在其中随意玩耍，起到保护儿童的作用。(也可以理解为一种安全环境。)　　近年来，随着…; (更新时间:2012-11-12)[查看全文]
关注BYOD安全,Websense给IT人员的战略建议: 现在，大屏智能手机、平板电脑，以及逐渐热卖的超级本等移动类IT产品，在中国消费者中的普及度越来越高。随着移动设备性能的不断提升和其自身优良的便携特性，消费者对它们的依赖也从纯粹的娱乐、影音和游戏等自用范围扩展到了日常的办公生活中。　　全球范围内，BYOD( Bring Your Own Device )也已成为大势所趋，越来越多的员工希望使用自己的设备在任何…; (更新时间:2012-11-12)[查看全文]
透明加密软件进入3.0多模加密技术时代: 作为加密技术3.0多模加密杰出代表的山丽网安举办的“数据防泄漏软件‘双核双升’”2013大型市场活动将于2012年11月在中国的开放窗口深圳市拉开序幕!活动主要以安全技术的探讨和分享为主，该活动将会是国内信息安全行业数据防泄漏技术开发者顶级盛会!　　在透明加密软件的历史发展中，到目前为止经历了三个发展阶段，从最初的加密1.0环境加密(引导区加密)到加密2.0…; (更新时间:2012-11-12)[查看全文]