BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

QSecurity本月安全评论 :2012 年1月号

| 作者 殷钧钧 关注 0 他的粉丝 发布于 2012年2月6日. 估计阅读时间: 3 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

编者按:2011年底,国内一系列网站发生用户信息泄露事件,其波及面之广,影响和严重程度之深,如果将其称为中国互联网有史以来最大的一场灾难,恐不为过。安全问题,成为很多互联网企业必须要考虑的首要问题。

在此背景之下,InfoQ中文站开辟“QSecurity”专栏,一方面定期介绍安全方面的动态,另一方面,也希望将一些安全方面的知识和理念传递给我们的读者,成为大家了解安全领域的桥梁。


重点安全事件回顾

80sec 感恩节事件分析

80sec是国内著名的一个民间安全组织。2011年感恩节的晚上,80sec的网站遭遇了攻击,首页被入侵者成功篡改。80sec在事后对本次攻击的应急处理以及事后响应做了一个完整的复盘,依靠入侵者留下的蛛丝马迹,基本还原了本次攻击的原貌。 这个复盘的结论事实上已经预言了现有互联网认证体系的崩溃。文章发表后不久,国内一系列社工库被公开,引发了大规模的互联网安全危机。对技术人员来说,领会一下 80sec在这篇文章中所阐述的思路和结论,将会帮助你更加深刻地理解去年年底中国互联网界发生的那一系列密码泄露事件。

小米科技内网被成功渗透事件

2012 年 1 月 27 日,乌云漏洞平台公布了白帽子Jannock于 2011年年底成功进入小米科技内网的渗透报告。这次渗透以一个已知的“不严重”,“可忽略”漏洞为起点,逐步深入。利用百折不挠的信心,机敏的社会工程学应用,一点点运气,再加上白帽子对自身的道德约束,使得这次渗透成为一个可以载入教科书的经典案例。

通过这个案例,你可以了解到黑客的思维方式是怎样的。

中文版 Putty 后门事件

知道创宇安全研究小组的分析报告已发布,推荐所有的技术团队管理者都来认真了解一下事情的来龙去脉。攻击者使用了非常原始但是极其有效的办法,在几个通用的管理工具中植入后门,并通过搜索引擎付费推广进行传播。最终获取到了大量的 服务器管理账户。这一事件值得所有的技术团队管理者以及企业内控部门予以高度重视。

本月重点安全漏洞

Linux 内核版本 2.6.x 本地提权漏洞

1月17日,Linus Torvalds亲自提交了一个 Patch去修复这个漏洞。查看代码请猛击此处

哈希冲突引发的拒绝服务攻击漏洞

具体详情在本期专栏的《哈希表之殇》文章中有详细描述。

本月安全技术更新

Apache Shiro 1.2.0 版本于 1 月 24 日正式发布。Apache Shiro 是一个号称“强大而且超级好用”的 Java 安全框架。其提供了包括 认证、授权、加密,以及会话管理在内的诸多安全功能。本月发布的 1.2.0 版本修 复了之前的一些 bug 并做了一些功能提升,应该说已经比较稳定了,推荐感兴趣 的朋友尝试一下。InfoQ 英文站也有一篇专门介绍Shiro的文章


作者简介:殷钧钧(Joey Yin),Web开发者,某外企企业架构师。业余时间,他是一名白帽子,独立安全组织OWASP成员。主要关注的技术领域有应用安全、分布式系统架构、以及程序员的敏捷实践。个人博客:http://unclejoey.com

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT