Google launched their Google App Engine (GAE) a year ago. The free hosting in App Engine is allocated 500 MB of persistent…
Archive for 五月, 2009
来源:cnBeta
上个月,安全调查人员发现一群地下黑客在高价收购2003年生产的诺基亚1100手机,怀疑诺基亚1100上存在漏洞可以被黑客利用。诺基亚声明它并不清楚为什么犯罪分子要花数千欧元购买只要十几美元的旧手机。现在Ultrascan的调查人员重现了使用诺基亚1100手机入侵银行账户的过程,终于明白为什么黑客会对其发生兴趣:利用黑客自己编写的软件,手机可用于访问受害人的银行账户。
当手机安装了黑客重现编写程序后,使用他人的手机号码就能接受到他人短信,包括拦截欧洲银行的mTAN(移动处理验证号码,mobile transaction authentication number)。唯一能生效的手机型号只有Nokia 1100,Ultrascan 成功重编程了一个Nokia 1100手机,并拦截到了一条mTAN短信,他们使用的是从网络上找到的黑客软件。软件破译了Nokia 1100的固件,然后通过固件修改国际移动身份识别(IMEI)和国际移动用户识别码(IMSI)等信息,修改后的固件还能抹掉ROM。最终黑客能克隆出 一个用户识别模块(SIM)卡。调查人员认为Nokia 1100的固件中有漏洞。
文/solidot
下载地址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=967389d8-6ed0-4751-a8d2-9c2fad39adce&displaylang=en
南京一名退休女子接到一串电话后被骗走152万元.南京警方5月22日破获这起近年来被骗数额最大的一起电话诈骗案,3名主要嫌疑人陈某、王某、许某在福建厦门落网.
5月19日下午4时许,退休市民邓女士到南京市玄武区公安分局报案,称当日中午在家中接到一陌生女子电话,该女子冒充邮局工作人员以邓女士有一邮件未签收被退回为名,骗取邓女士的身份信息.
之后,其他几名犯罪嫌疑人又分别冒充福州市公安局、检察院工作人员打来电话,称邓女士涉嫌洗钱和诈骗犯罪,即将冻结其所有存款,待调查清楚确认与邓女士无关再将存款退还,并要求邓女士将存款转至所谓的“检察院安全账号”.
邓女士信以为真,于当日下午4时在玄武区一工商银行将152万元存款汇出,等再与对方联系时才发现上当.目前,案件正在进一步审理中.
ps:骗子的社工太牛了吧。
18日开始,著名免费dns服务提供商的6台服务器开始受到攻击.dnspod为诸多网站提供域名解析服务,其中包含暴风影音.
18日晚上20点33分59秒.在史无前例的大流量攻击下dnspod的6台解析服务器开始失效,大量网站开始间歇性无法访问,其中包括国内诸多知名网站,当然,其中也包含我的不知名网站.第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps,如下图 ,要知道,一个电信核心机房的带宽也仅仅最多只有几十G
18日当晚,由于dnspod耗尽了整个机房近乎3分之1的带宽资源,为了不影响机房其他用户,dnspod的电信主力dns服务器被迫离线
19日晚上,在另一轮高强度攻击下,dnspod服务完全中断,由于暴风影音播放器客户端无法解析出服务器的IP,开始不断向网络供应商的dns服务器发送解析请求,造成当地运营商的dns服务器堵塞.
19日晚上21点左右,浙江电信dns开始瘫痪 , 之后的两个小时内北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的dns陆续瘫痪.
在零点之前,部分地区的运营商进行了处理,将暴风影音的服务器Ip加入dns缓存或者禁止了这个域名的解析,网络开始恢复.
截至目前为止,还有很多地区的dns服务存在问题,dnspod的也仍然没有完全恢复.
后经了解,此次事故的罪魁祸首竟然仅仅是同样在使用dnspod服务的一个私服网站,这个网站的”同行”在对其web服务器攻击不成的情况下动用大量肉鸡对其dns服务商dnspod进行了丧心病狂的攻击,其规模之大真的让人胆战心惊.
据电信部门称,五月十九日二十一点零六分开始,由于暴风影音客户端软件存在缺陷,在暴风影音域名授权服务器工作异常的情况下,导致安装该软件的上网终端频繁发起域名解析请求,引发DNS拥塞,造成大量用户访问网站慢或网页打不开。据集团反馈的信息,全国范围内各运营商在此期间也发生类似故障。对于罕见的互联网络大瘫痪,许多网民称,仿佛又回到了二00六年底。当时台湾地震造成海底通信光缆发生中断,中国内地的国际互联网访问质量受到严重影响。对于软件故障引起这样全国范围的互联网瘫痪,令业内人士大吃一惊,也引起很多网民不满。有网民表示,网络运行商不能按照合约提供网络服务,将会对网络运营商进行索赔。
此次网络瘫痪事件,再次为互联网安全敲响了警钟。
现在还不能正常进行解析的朋友可以尝试opendns,将网络设置中的dns地址修改为208.67.222.222 和 208.67.220.220 即可。
来源:テレピ番組の攻擊
XCon2009 安全焦点信息安全技术峰会议题征集函
中国,北京,2009年8月18~19日 (http://xcon.xfocus.net)
XCon 秉承一贯的严谨求实作风竭诚欢迎热爱信息安全技术的人员积极投稿,参加会议,共享精彩盛会。
参加会议对象:
任何热爱信息安全的人士,包括如信息安全专家,信息安全爱好者, 网络
管理工程师,网络安全顾问, CIO,黑客技术发烧友等。
会议地点: 北京歌华开元大酒店 ( http://www.kaiyuanhotels.com/jiudian/beijing_index.asp )
征文范围 (不限于所列方向):
—新领域安全
- Vista 安全 / Windows & 安全
- Web 2.0安全技术
- 3G/4G网络,TD-SCDMA网络安
-…
以BT下载而闻名的海盗湾网站在三周之前刚刚被瑞典法院判决有罪,四名管理员将面临一年的监禁,同时需赔偿原告3千万瑞典克朗。海盗湾创始人声称他们不会交付罚款。
现在,海盗湾的创始人之一Gottfrid Svartholm提出了一个方法来对付罚款问题,他鼓励所有海盗湾的用户向唱片公司的法律代表Danowsky律师事务所支付1瑞典克朗(约合0.87 元人民币),在支付之后用户可以用“支付错误”为由让事务所退钱。这样一来该事务所将面临巨大的麻烦,他们不仅需按照规定处理小额支付,而且还拿到不到一 分钱。
海盗湾创始人将这种攻击方式称之为DDo$攻击(分布式拒绝金钱攻击),根据规定,瑞典银行账户可以免费转账1000次,超过此限额后就必须为转账支付2瑞典克朗。所以互联网用户向该律师事务所支付1000次之后,该律师事务所就需要为每次多收到的钱额外付出2瑞典克朗。
如果攻击成功,这家唱片公司的法律代表将面临时间和金钱的双重损失。
———————————-
by:Neeao
Http://www.neeao.com
2009-05-11
———————————–
关于HttpOnly对于防范XSS来获取 cookies信息的分析,请参考剑心同学写的:利用httponly提升应用程序安全性,这里仅把常用的一些Web开发语言的设置方法整理总结下,备用。
javaEE中的设置:
API中没有提供具体的操作方法或者函数属性来设置,不知道后续版本是否会提供,下面为变通设置方法:
————————————————————————————–
response.setHeader(“Set-Cookie”, “cookiename=value;
Path=/;Domain=neeao.com;Max-Age=seconds;HTTPOnly”);
————————————————————————————–
ASP.NET中的设置
.net2.0以上版本支持在Web.config文件中来配置全局的httponly,设置如下,在web.config中添加一个节点即可:
——————————————————————
<httpCookies httpOnlyCookies=”true” />
——————————————————————
.net2.0以上版本cookie对象中,直接有一个HttpOnly的参数供调用,使用方法如下:
C#代码:
…
PHP的下一个版本,V6,包含了很的新特性和语法改进,会使它在面向对象方面性更易用。
其他重要的特性:比如在核心函数中对Unicode (统一编码)的支持,这意味着 PHP 6提供了更好的更可靠国际支持。
PHP已经很流行,被无数的站点使用(编者注:包括夜郎社区在内,也是由PHP编写),被大部分因特网接入商所支持,被Yahoo这样的大网络公司 使用着。在即将来临的PHP版本中准备增加一些成功的新特性,使PHP在某些场合下更易用更安全。你准备好接受 PHP 6 了吗?如果你明天就升级了,你的程序会运行得很好吗?你该怎么办?这篇文章集合了PHP 6的改变,他们中的一些备份移植到版本的PHP v5.x,您目前的脚本可能需要进行一些调整。
如果你现在使用不是PHP,但是一直在考虑它,考虑一下它的新特性。这些特点,从Unicode的核心支持到XML支持,使它更容易为你写的功能填补PHP的应用。
PHP 6 新特性
PHP 6当前已经作为开发者快照使用,所以你可以下载和试用一下这篇文章列出很多特性,这些特性已经在当前的快照中实现了。见资源。
改进 Unicode 支持
在PHP的核心函数中,有很多对Unicode 字符串的支持的改进,这些新特性将产生巨大的影响因为它允许PHP为国际字符提供更多的支持。所以如果一个开发者或者架构师使用不同的语言,例如Java程序语言,是因为它具有超过PHP的国际化支持的话,当支持改进时他会花一点时间来考虑一下PHP。
因为今天你已经可以下载到开发者版本的 PHP V6,你将看到一些功能函数已经支持Unicode字符串。有一个函数清单已经被测试和验证了完全可以处理Unicode,参见资源。
命名空间
命名空间是一种避免因函数或者类之间的命名冲突而使你的函数和类以及方法无法读取,而不使用前缀命名惯例的一种方法。因此,通过使用命名空间,你可以命名别人可能已经使用的类名,而不用担心在运行时会出错。表一提供了一个在PHP中使用命名空间的示例。
您不用在源代码中做更新或更改,因为你写的任何PHP代码可以不包含命名空间而运行得很好。因为命名空间特性似乎会移植到PHP 5.3 X中,如果它可以使用,您可以在自己的程序中引用命名空间。
表一,命名空间示例
<?php
//…
五月 8th, 2009
Rational AppScan Enterprise Edition 7.7.654安装程序下载
3 Comments, 资源共享, by Neeao, 744 views.终于被我找到了,share下。
IBM Rational AppScan Enterprise Edition 7.7.654安装程序、破解文件及注册机可升级(已测试)分七个部分,请分别下载然后放到同一文件夹中解压
http://download.csdn.net/source/840431
http://download.csdn.net/source/840498
http://download.csdn.net/source/840544
http://download.csdn.net/source/840569
http://download.csdn.net/source/840606
http://download.csdn.net/source/840643
http://download.csdn.net/source/840657