Hack Eye!

漏洞介绍：IIS是微软推出的一款webserver，使用较为广泛，在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题，在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码，也可能错误的将任何类型的文件以PHP的方式进行解析，使得恶意的攻击者可能攻陷支持PHP的IIS服务器，特别是虚拟主机用户可能受的影响较大。

昨日，80Sec 爆出Nginx具有严重的0day漏洞，详见《Nginx文件类型错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器，就有被入侵的可能。

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

大学研究人员认真研究了用于管理当前的汽车的计算机系统并且发现了新的破解这个系统的方法。有时候，这种黑客攻击会产生可怕的结 果。安全研究人员在计划在下个星期在加州奥克兰举行的一个安全会议上发表的一篇论文中说，通过连接到新型汽车中的一个标准的诊断系统， 他们能够做一些肮 脏的事情，如关闭刹车、改变速度表的读数、吹热气或者播放收音机中的音乐和把乘客锁在汽车里。

【TechTarget中国原创】恭喜你成为新的安全经理。也许你是因为打赌输了或者是抽签中了(才摊上这差事)。也可 能你就喜欢这种挑战带来的刺激。
不管怎样，蜜月期都是短暂的，所以一定要想方设法干好最初的100天。这会给你今后在公司的这个职位上定下一个基调，所以千万别把时间浪费在思 考要做些什么和构思如何具体去做上面。这一般来说都意味着要查明和弥补一些大的缺陷，对整个机构或规定程序作修改（向更好的方向），并且最后还要确定业绩 目标。

[CAL-20100204-3]Adobe Shockwave Player Director文件分析RCSL指针覆盖漏洞

CAL-20100204-2]Adobe Shockwave Player Director文件分析整型溢出漏洞

CAL-20100204-1]Adobe Shockwave Player Director文件分析ATOM size无限循环漏洞

# Title: BaoFeng Storm M3U File Processing Buffer Overflow Exploit
# EDB-ID: 12516
# CVE-ID: ()
# OSVDB-ID: ()
# Author: Lufeng Li…

最近各大牛曝光baidu的xss漏洞：
http://hi.baidu.com/rayh4c/blog/item/8fde4b23ffa2045e9822edb9.html
http://hi.baidu.com/p%5F%5Fz/blog/item/fc8183ddcb121e1f622798df.html
以及上次一个blog里提到的bug http://hi.baidu.com/hi%5Fheige/blog/item/1c7aa334e99eaf87a61e12d2.html
都利用了百度flashWhiteList来绕过防御….
这个年头白名单都靠不住!!