高级安全研究员
工作职责:
1. 深入分析和研究web应用系统和数据库系统漏洞。
2. 跟踪国内外的安全动态,对严重安全事件进行快速响应;
3. 安全攻防技术研究以及安全漏洞分析。
岗位要求:
1.专科以上学历,有较强的逆向工程能力。
2.熟练web相关程序和软件工作原理;
3.精通各类操作系统、web应用服务、数据库系统;
4.熟悉各种攻防技术以及安全漏洞原理,有过独立分析漏洞的经验;
5.对国内外安全业界有较清楚的了解,知道如何获取行业信息;
6.具备一定的英文读写能力,能熟练阅读英文技术文档;
7.良好的文字表达能力,较强的独立工作能力,做事认真细致,有钻研精神;
招聘公司:杭州安恒信息技术有限公司,第一个登上全球顶级安全大会BLACKHAT(黑帽子)大会进行演讲的中国、著名Web安全组织OWASP中国分会副会长Frank所开公司。
公司介绍:http://www.dbappsecurity.com.cn/about_us.html
招聘人数:3人
工作地点:杭州
待遇:4K以上,有行业经验者优先考虑
联系方式:QQ:19833355
Archive for 六月, 2009
《程序员》文章。申明。文章仅代表个人观点,与所在公司无任何联系。
1.概述
跨站脚本Cross-Site Scripting(XSS)是最为流行的Web安全漏洞之一。据统计,2007年,跨站脚本类的安全漏洞的数目已经远远超出传统类型的安全漏洞【1】。那么,什么是跨站脚本?它的危害性是什么?Web开发人员如何在开发过程中避免这类的安全漏洞?就是我们这篇文章要讨论的内容。
2.什么是跨站脚本
2.1 跨站脚本介绍
跨站脚本,就是攻击者可以将恶意的脚本代码注入到用户浏览的其它网页上。它有好几种类型。其中最为普遍的类型称为反射类(Reflection)的跨站脚本。让我们来看下面这个例子来具体说明XSS的机理。
以一个简单的ASP网页举例。这个ASP网页的目的很简单:用户输入自身名字,ASP动态产生一个“hello world”的网页。
testXSS.html
<html>
<head> <title>XSS Test Page</title> </head>
<body>
<form action=”testXSS.asp” method=”GET”>
XSS-test page. <br>
Please enter your name:
<input type=”text” name=”txtName” value=””></input>
<input type=”submit”…
Apache中的一个严重漏洞将使得拒绝服务攻击(DoS)变得异乎简单。
Apache 1.x,2.x,dhttpd,GoAhead WebServer和Squid确认都受到影响;IIS6.0,IIS7.0和lighttpd未被波及。Apache基金会目前还没有发布补丁。 ha.ckers公开的Slowloris代码允许对一台特定的服务器发动缓慢的拒绝访问攻击,而不是用堵塞整个网络,它能让一台机器攻陷了另一台机器的 web server,只需使用极少的带宽,对不相关的服务和端口的副效应降到最低。拒绝服务的理想攻击情况是除了webserver不可访问之外,其它服务都完 整无缺。Slowloris便源自这个理念,相比大多数攻击方法它更隐蔽。Slowloris首先发送一个不完整的HTTP请求,打开连接,然后每隔一段 时间发送剩余的header,以保证通讯端不被关闭,于是webserver的一个线程便被占用了。由于webserver允许的线程数量是有限制的,因 此Slowloris会缓慢的消耗掉所有的通讯端口。Slowloris是一个Perl程序,需要Perl解释器才能运行。
private void button1_Click(object sender, EventArgs e)
…
网易科技讯 6月15日消息,千橡公司旗下的SNS社交网站“校内网”近日遭到黑客挂马,许多用户的日志遭篡改并添加不明连接,校内网方面今日向网易科技证实了这一情况。
据多位用户反映,其在校内网的日志模块近日被篡改并插上了恶意代码。据了解,该代码会自动修改用户日志,并在文章末尾加入一个名为“QQ千里眼”的恶意软件下载链接。此外,遭挂马的用户页面还会弹出一个不良页面,并以框架访问其他恶意网站。
校内网相关负责人向网易科技证实,校内网遭到了黑客的入侵,目前相关数据正在恢复之中。至于受影响的用户规模和危害程度,该负责人称尚未统计。
校内网是国内著名的SNS社交网站,以实名制为基础。据其官方网站介绍,目前校内已经拥有真实注册用户超过4000万、PV4亿、日登陆2200万人次。
安全专家们发现,从2007年起,就有人将盗取用户账号的木马植入了东欧部分ATM取款机中。这款木马软件能在植入的ATM机上记录取款者银行卡磁条上记录的数据和个人密码!而且软件更新的速度很快,还可以在多种品牌的ATM取款机上使用。
根据安全公司Trustwave技术人员的说法,这种木马软件能自动记录用户磁卡上的数据和个人密码,并使用ATM机的收条打印功能将这些信息打印出来。从2007年晚些时候开始,这款木马的版本已经更新了至少16次之多,显然木马开发者们正在努力改进这款木马工具。
“他们的更新速度很快!”Trustwave的技术高管Nicholas Percoco说,“他们总在推出最新的木马版本。”
技术人员对最近几种版本的木马分析后的结果显示,这些木马安装到ATM机中后,会开始监视ATM机的内部数据,检查是否有用户的银行卡信息。如果数据中包含用户的银行卡信息,那么就把这些信息连同用户输入的密码一起记录下来。
需要取出数据时,攻击者可以向ATM机中插入控制卡,控制ATM机显示出10个命令选项,攻击者可以按下ATM的数字键来选择需要执行的命令,这些命令包 括打印搜集到的数据,将ATM机的log文件重置为安装木马前的状态,卸载木马软件等等。攻击者甚至还可以控制ATM机把所有内含的钱全部吐出。
另外,这款木马程序还具备将用户数据导入控制卡的功能,不过这项功能似乎并不能正常工作。这种控制卡还分为两种等级,管理等级的控制卡应该是专门提供给组织中的管理人物使用,而低级卡则由一般的小喽罗使用。
今年三月份,Sophos曾发现一批专门针对Diebold生产的ATM机的木马软件,根据这个线索,Trustwave的技术人员顺藤摸瓜对这种木马进行了深入的分析。而据Diebold表示,他们已经锁定了几名可能与此有染的嫌犯。
不过,这种木马软件只有有权打开ATM机内部的人员才可以进行安装,因此很可能是“内鬼”所为。而且根据Trustwave技术人员的说法,这种木马并不 仅仅面向Diebold生产的ATM机,而且还可以在其它品牌的ATM机上使用,不过他们拒绝透露有关品牌的具体名称,只称这些ATM机使用的是 Windows XP操作系统。
更多详细信息,可以点击这个链接了解。
CNBeta编译
原文:theregister
北京时间6月4日下午消息,据国外媒体报道,黑莓机制造商RIM针对某安全漏洞发布了一个安全补丁,并警告称未打补丁的黑莓容易遭受黑客袭击。 RIM上周于其官网公告栏发布了这一安全警告。安全专家称,如果不安装补丁,黑莓用户就有被黑客攻击的风险,虽然这样的事情还未发生。
受安全问题困扰的不仅仅是RIM一家,很多技术公司都需要不断同技巧日益高超的黑客“战斗”。某硬件弱点一经发现,就有被黑客利用的可能。
“这是一个很严重的问题,在遭受黑客攻击前,用户有必要阅读说明,并安装修复软件,”杀毒软件公司Sophos高层研究员Graham Cluley说。
每当有安全漏洞被公布,黑客都会急速行动,因用户从了解漏洞到学会如何保护需要数周甚至数月时间。
商业公司亦不会贸然安装补丁程序,他们首先要测试补丁能否与其他软件兼容,确认无干扰后才会安装。
电脑安全研究人员介绍称,黑客可以利用黑莓的这一安全漏洞向其用户发送含有恶意PDF附件的邮件,用户打开该附件後,将在数据中心的服务器上安装恶意软件,安装後黑客就可以向用户发送垃圾邮件或窃取公司数据。
文/新浪科技
本月的第二个周二,也就是9日,微软将发布2008年以来最大的一次更新.
本次更新将带来10个安全性更新,其中6个被评级为“危急”,也就是微软最高的危险性评级,而一个为“重要”,三个是一般等级,安全公告中包含IE8的安全问题,以下系统,包括32和64位都将会受到影响:
Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional Service Pack 2 x64
Windows Server…
DirectShow 0day是一个中率极高的0day漏洞,目前已经开始在网上爆发,其攻击形势不亚于去年的IE7 0day以及往年的ANI 0day。
攻击特性如下:
1.使用了.NET SHELLCODE技术,机器上装有.net framework就会中招。
2.利用XP自带的Windows Media Player播放漏洞媒体文件触发。
3.IE和FF 通杀,所谓的微软的killbit临时解决方案也无法防住。
解决方案:
目前微软没有补丁,所有安全厂商中只有360安全卫士独家提供了完美且有效的解决方案,为了防止0DAY攻击,推荐安全圈人士也使用360的独家补丁 http://dl.360safe.com/360safefixavi.exe
From:http://hi.baidu.com/80sec/blog/item/db7bb544ad956a2ecefca362.html
云计算是当前最热的IT词汇之一,狂热支持者有之,大力推行者有之,冷静观望者有之,以其“引起歧义”号召消灭它的亦有之。不管怎样,业界的大腕们 已经下场了,IBM, Google, Microsoft, Amazon, 等等。CSA (Cloud Security Alliance)列出的IAAS, PAAS, SAAS三层云计算提供商名单已是林林总总。或许是限于国际市场交流,上面还没有中国厂商的身影。实际上,已经有几家先行者了。
云计算的安全有两种方向。其一是借用云计算这种形式,来改造、演化相对传统的互联网安全服务,安全大师Bruce早在2006年就对此有过精彩的评 论(http://www.schneier.com/blog/archives/2006/02/security_in_the.html)。当前 市场上声音比较大的就像Trend Micro, 国内的瑞星, 还有一些网络扫描漏洞管理厂商,这是比较直观的一个安全拥抱云计算的途径(我“云”了,你“晕”了没有,呵呵)。我在很多年前写过一个帖子叫“安全自动化 杂谈”(http://sbin.cn/blog/2000/08/29/security-automation/), 其中的概念已是“云”化的安全了, 呵呵
其二呢,是开发云计算体系中的安全环节,例如RSA在其云计算安全白皮书中,列举了在供应商管理、技术标准、数据可迁移性、数据机密和隐私、访问控制、符 合性、以及安全服务水平等方面的安全考量点。记住这里面每个词汇都包括很多很让人充满想像空间的技术要点。白皮书总结了三大类云计算安全要素:身份…