2011年1月26日星期三

2010年扬名的十大WEB黑客技术

2010年扬名的十大WEB黑客技术

在由一个专家小组公开投票选出的2010年网络黑客技术名单中,在线网上银行交易威胁成为黑客技术中的年度头号杀手。该技术被称之为Padding Oracle加密技术,黑客则是利用了微软的网络架构ASP.NET保护AES加密cookie的原理。



如果在cookie中的加密数据已经被改变,那么ASP.NET处理它的方式就会导致应用程序留下一些关于解密信息的蛛丝马迹。这样一来,黑客们就可以推断出从加密密钥中被淘汰出来的可能的字节,从而减少了未知字节,让解密范围缩小到足够可以被猜测出来。

黑客的开发商――Juliano Rizzo和Thai Duong已经开发了一种执行该袭击的黑客工具

Padding Oracle在投票过程中被评为第一。参与该投票的评审团成员包括InGuardians的创始人Ed Skoudis,NoScript的作者Girogio Maone ,Armorize的总裁Celeb Sima,Veracode的首席技术官Chris Wysopal,OWASP的董事长兼总裁Jeff Williams,独立安全评估公司的安全顾问Charlie Miller,Mitre的Steven Christey和White Hat Security副总裁Arian Evans。

该排名由Black Hat、OWASP和White Hat Security联合发起,有关黑客的细节将在下个月于德国举行的2011年IT安全主题展示大会上逐一透露。

以下列出位于前十位的其它Web黑客技术:

详细:http://v.securepub.com/read-htm-tid-949.html
发帖者 时间: 没有评论:

2011年1月25日星期二

预计前往RSA2011美国大会的中国厂商名单


飞天诚信
天融信
启明星辰
山石网科
华为赛门铁克
绿盟科技
安氏领信
中关村管委会
(如有遗漏欢迎补完)

发帖者 时间: 没有评论:
标签: , , ,

2011年1月10日星期一

主动出击 企业级Web安全不能够被动防御

主动出击 企业级Web安全不能够被动防御

Web服务器现在已经成为了病毒、木马的重灾区。不但企业的门户网站被篡改、资料被窃取,而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措 施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作肉鸡,来传播病毒、恶意插件、木马等等。笔者认为,这很大一部分原因是管理员在 Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。具体的来说,需要做到如下几点。

主动出击 企业级Web安全不能够被动防御

  一、在代码编写时就要进行漏洞测试

   现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的,是通过代码堆积起来的。如果这个代码只供企业内部使用,那么不会带来多大的安 全隐患。但是如果放在互联网上使用的话,则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻 击者就可以利用这些SQL代码来发动攻击,来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时,其实 就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。

  为此在为网站某个特定功能编写代码时,就要主动出击。从编码的设计 到编写、到测试,都需要认识到是否存在着安全的漏洞。笔者在日常过程中,在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现 在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关,就可以提高代码编写的安全性。

  二、对Web服务器进行持续的监控

   冰冻三尺、非一日之寒。这就好像人生病一样,都有一个过程。病毒、木马等等在攻击Web服务器时,也需要一个过程。或者说,在攻击取得成功之前,他们会 有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器,从攻击开始到取得成果,至少要有半天的时间。如果Web管理员对服务器进行了全天候的 监控。在发现有异常行为时,及早的采取措施,将病毒与木马阻挡在门户之外。这种主动出击的方式,就可以大大的提高Web服务器的安全性。

   笔者现在维护的Web服务器有好几十个。现在专门有一个小组,来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以 上的攻击行为,由于服务器已经采取了对应的安全措施,都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞,或者采取了新的攻击 方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为,那么他们就很有可能最终实现他们的非法目的。相反,现在及早的发现了他们的攻 击手段,那么我们就可以在他们采取进一步行动之前,就在服务器上关掉这扇门,补上这个漏洞。

  笔者在这里也建议,企业用户在选择互联网Web服务器提供商的时候,除了考虑性能等因素之外,还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击,及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前,就他们消除在萌芽状态。

详细链接请访问:http://v.securepub.com/read-htm-tid-817-page-e.html#a
发帖者 时间: 没有评论:
标签: ,

腾讯、百度、金山共建最大反欺诈网址库

腾讯、百度、金山共建最大反欺诈网址库

1月10日,面对日益严峻的网购安全威胁,腾讯、百度、金山联合宣布将共建中国最大的反欺诈网址库,建立打击虚假网购信息的联动机制,为广大网民提供及时、快速的网购安全解决方案。

据金山网络刚刚发布的《2010年网购安全报告》显示,在2010年有超过1亿用户曾遭遇过至少一种针对网络购物的安全威胁,带来直接经济损失将突破150亿元, 网购用户的人均经济损失也由2009年的80元上升至150元左右,网购安全刻不容缓。

对 于反欺诈网址库的运行机制,金山网络副总裁陈勇表示,反欺诈网址库对恶意欺诈网址的处理流程大体分为三步:首先,百度、腾讯将收集的可疑网址提交给金山; 然后,由金山的云安全服务中心对这些网址进行分析鉴定,并将鉴定后的结果输入到反欺诈网址库中;最后百度、腾讯通过使用金山云安全接口,共享反欺诈网址 库,将结果应用到各自的产品中。

详细链接:http://v.securepub.com/read-htm-tid-812.html
发帖者 时间: 没有评论:

2011年1月4日星期二

启明星辰正式发布公告收购联想网御

启明星辰正式发布公告收购联想网御

 北京启明星辰信息技术股份有限公司第一届董事会第十四次会议决议公告

  本公司及董事会全体成员保证公告内容真实、准确和完整,并对公告中的虚假记载、误导性陈述或重大遗漏承担责任。

  北京启明星辰信息技术股份有限公司(以下简称"公司")第一届董事会第十四次会议于2011年1月4日以通讯表决方式召开。本次会议的通知及会议资料已于2010年12月29日以电子邮件及传真形式通知了全体董事。本次董事会会议的应表 决董事11人,实际参与表决董事11人。会议的通知、召开以及参与表决董事人数 均符合相关法律、法规、规则及《公司章程》的有关规定。经董事表决,形成决 议如下:

  一、会议以11票同意,0票反对,0票弃权,审议通过了《关于筹划非公开发 行股份购买资产的议案》

  董事会同意公司筹划以非公开发行股份及以现金购买联想网御科技(北京) 有限公司(该公司近日将更名为北京网御星云信息技术有限公司)资产的事项。 根据《上市公司重大资产重组管理办法》(证监会令第53号)的相关规定,公司 将聘请中介机构对相关资产进行初步审计、评估,待确定具体方案后,将召开董 事会审议并公告根据《公开发行证券的公司信息披露内容与格式准则第26号-上 市公司重大资产重组申请文件》的要求编制的发行股份购买资产预案、发行股份 购买资产报告书及相关议案。

  公司股票继续停牌,公司将每周发布一次非公开发行股份购买资产进展情况 公告。

  特此公告。

  北京启明星辰信息技术股份有限公司董事会

  2011年1月4日



详细链接:http://v.securepub.com/read-htm-tid-775-page-e.html#a
发帖者 时间: 没有评论:
订阅: 博文 (Atom)