2011年12月28日,由Google赞助成立的安全漏洞研究组织oCERT(Open source Computer Emergency Response Team — 开源软件应急响应团队)公开了一份安全漏洞报告,其核心内容是:目前绝大多数的web应用,都存在着一个叫做哈希碰撞式拒绝服务攻击的漏洞(Hash Collision DoS)。这份报告的公布,使得2011年剩下的几天里,各互联网公司的技术团队集体忙于对网站进行针对此漏洞的防护工作。硝烟散尽之后,让我们一起从攻击者的角度重新审视一下这个漏洞及其利用手法。
GitHub最近遭遇了一场Ruby on Rails漏洞攻击,该漏洞被称为mass assignment。此漏洞被认为不仅影响了大量基于Ruby的网站,还对使用ASP.NET MVC和其他ORM Web框架的网站造成了破坏。
在2011年底国内发生一系列灾难性安全事件的大背景下,InfoQ中文站开辟“QSecurity”专栏,一方面定期介绍安全方面的动态,另一方面,也希望将一些安全方面的知识和理念传递给我们的读者,成为大家了解安全领域的桥梁。
安全研究员Alexander Klink和Julian Walde发现了一个严重的漏洞,这个漏洞影响到大多数网络服务器。针对这个漏洞的攻击只需要一个HTTP请求,这个特殊设定的请求在POST表单数据时造成哈希碰撞。当首次发现时,这个攻击影响到Python、Ruby、PHP、Java和ASP.NET,目前厂商正在和研究人员合作发布补丁。
裔云天先生曾为加拿大5大商业银行提供IT基础设施设计,实施安全入侵检测,目前作为微软大中华区的战略安全官负责公司安全战略。针对近期频繁发生的互联网公司用户信息泄露事件,InfoQ中文站对他进行了专访。
来自Web服务器的每一个文件都有对应的MIME类型(也称为content-type),描述文件内容的属性,比如图片、文件、应用等。最近,IE开发经理Eric Lawrence在IE官方博客中就MIME处理方式的变化和安全性做了详细解释。
这篇文章来自Intel公司,主要讨论了主机代理(host agents)所面临的前所未有的严重威胁,简要描述了一种通用架构,其基于云计算,用以检测恶意软件,并说明了如何使用Intel平台技术来增强计算解决方案,最后用上面提到的方法分析了相关威胁。本文的重点讨论的是那些能骗过传统安全代理(security agents)的恶意软件。
本次演讲将结合几个实际案例与大家分享淘宝在使用和改进JVM之路上的经验。淘宝高度重视Java平台的健康发展,组建了一个团队专注于Java平台的底层部分的性能、功能与稳定性改进;工作主要基于OpenJDK中的HotSpot VM开展,其中一些通用的功能随后也会逐渐反馈给OpenJDK社区。希望能与使用Java平台开发应用的大家交流经验。
如果您观看本视频不流畅,请移步优酷版本(无Slides同步播放)
互联网公司大量web业务的发展带来了新的挑战与防护,传统的针对单一服务单一应用的安全防护已经无法满足安全需求,本演讲将以黑客的角度来描述如何应对这一挑战的一些思路,以及百度在这一思路下所做的一些应用实践。
本采访是淘宝双十一事件深度报道的一部分,被采访者是淘宝研发中心的康伯,淘宝CDN团队的负责人。围绕淘宝双十一事件他向我们介绍了淘宝CDN团队在事发前后采取了什么样的措施来预警,和解决突如其来的双十一访问高峰带来的压力。
