- 資訊安全:
1.史上最狡猾恶意软件现身:被发现后会自爆 by 风帆
代号为Rombertik的新式恶意软件,可以拦截任何输入浏览器窗口中的纯文本,并通过垃圾邮件和钓鱼邮件传播。如果在安全检查中被发现,这种恶意软件就会“自爆”,竭力毁掉计算机。
Rombertik的首要目标是主引导记录区(MBR),即计算机开机后加载操作系统前访问硬盘时所必须要读取的首个扇区。如果未能成功进入这里,Rombertik就会通过随机使用RC4密匙加密的方法,迅速毁掉用户主文件夹中的所有文件。而一旦MBR或主文件夹被加密,计算机就会重启。MBR此后会陷入无限循环中,从而阻止计算机重新启动。
2.安全上你不该犯的错 by 黑吧安全网
(1)SQL注入:
SQL注入之所以存在,主要是因为工程师将外部的输入直接嵌入到将要执行的SQL语句中了。黑客可以利用这一点执行SQL指令来达到自己目的。
对于需要拼接SQL语句的程序来说,注意两点也可以避免此问题。第一点是如果查询的字段类型是数字等类型,在拼接SQL前先判断输入是不是一个合法的数字,不合法则终止程序即可。第二点是如果字段类型是字符串,则记得将输入里的的单引号进行转义。
(2)XSS攻击:
如果说SQL注入是直接在SQL里执行了用户输入,那XSS攻击是在HTML里代码执行了用户输入。XSS攻击可以简单分为两种,一种是上述例子中利用url引诱客户点击来实现;另一种是通过存储到数据库,在其它用户获取相关信息时来执行脚本。
防范XSS攻击需要在所有的字段都对输入的字符串进行html encode(或者在输出时进行encode)。如果需要使用富文本编辑的,可以考虑使用UBB。
(3)猜测URL攻击:
猜测URL攻击是通过已知的GET、POST参数来猜测未公开的参数并尝试进行攻击。
要避免这种问题,方案一是使用较长的无规律的数字、字符来做为ID,增大猜测难度;对于需要登录的程序,可以判断用户身份是否有对应ID数据的访问、修改权限;如果ID已经是自增类型且不需要登录,可以用过在URL里增加无规律的校验字段来避免。
3.讓DDoS攻擊無感 更為企業營運增值 by Nexusguard
當前基於頻寬的DDoS攻擊有愈演愈烈的趨勢,它不僅是一種基本的手法,更被搭配其他攻擊來使用。此外,隨著心在淌血(Heartbleed)及殼層衝擊(Shellshock)等重大零時差攻擊漏洞被駭客發現與利用,今後運用零時差漏洞以及自零時差漏洞演化來而的漏洞,將Web伺服器轉變成為DDoS殭屍電腦的攻擊勢必大幅增加。
換言之,今後的DDoS攻擊手法將會變得更加精緻、多元且複雜,不但攻擊頻度大增,並會成為特定企業的持續性威脅。
代号为Rombertik的新式恶意软件,可以拦截任何输入浏览器窗口中的纯文本,并通过垃圾邮件和钓鱼邮件传播。如果在安全检查中被发现,这种恶意软件就会“自爆”,竭力毁掉计算机。
Rombertik的首要目标是主引导记录区(MBR),即计算机开机后加载操作系统前访问硬盘时所必须要读取的首个扇区。如果未能成功进入这里,Rombertik就会通过随机使用RC4密匙加密的方法,迅速毁掉用户主文件夹中的所有文件。而一旦MBR或主文件夹被加密,计算机就会重启。MBR此后会陷入无限循环中,从而阻止计算机重新启动。
2.安全上你不该犯的错 by 黑吧安全网
(1)SQL注入:
SQL注入之所以存在,主要是因为工程师将外部的输入直接嵌入到将要执行的SQL语句中了。黑客可以利用这一点执行SQL指令来达到自己目的。
对于需要拼接SQL语句的程序来说,注意两点也可以避免此问题。第一点是如果查询的字段类型是数字等类型,在拼接SQL前先判断输入是不是一个合法的数字,不合法则终止程序即可。第二点是如果字段类型是字符串,则记得将输入里的的单引号进行转义。
(2)XSS攻击:
如果说SQL注入是直接在SQL里执行了用户输入,那XSS攻击是在HTML里代码执行了用户输入。XSS攻击可以简单分为两种,一种是上述例子中利用url引诱客户点击来实现;另一种是通过存储到数据库,在其它用户获取相关信息时来执行脚本。
防范XSS攻击需要在所有的字段都对输入的字符串进行html encode(或者在输出时进行encode)。如果需要使用富文本编辑的,可以考虑使用UBB。
(3)猜测URL攻击:
猜测URL攻击是通过已知的GET、POST参数来猜测未公开的参数并尝试进行攻击。
要避免这种问题,方案一是使用较长的无规律的数字、字符来做为ID,增大猜测难度;对于需要登录的程序,可以判断用户身份是否有对应ID数据的访问、修改权限;如果ID已经是自增类型且不需要登录,可以用过在URL里增加无规律的校验字段来避免。
3.讓DDoS攻擊無感 更為企業營運增值 by Nexusguard
當前基於頻寬的DDoS攻擊有愈演愈烈的趨勢,它不僅是一種基本的手法,更被搭配其他攻擊來使用。此外,隨著心在淌血(Heartbleed)及殼層衝擊(Shellshock)等重大零時差攻擊漏洞被駭客發現與利用,今後運用零時差漏洞以及自零時差漏洞演化來而的漏洞,將Web伺服器轉變成為DDoS殭屍電腦的攻擊勢必大幅增加。
換言之,今後的DDoS攻擊手法將會變得更加精緻、多元且複雜,不但攻擊頻度大增,並會成為特定企業的持續性威脅。
- 企業管理:
1.你的产品研发还是靠感觉吗? by Nature
(1)新产品开发是一项投资决策
(2)基于市场的开发
(3)跨部门、跨系统的协同
(4)异步开发模式,也称并行工程
(5)重用性
(6)结构化的流程
2.好经理,获得下属承诺的三个小土豆 by 郭广文
(1)共启愿景
(2)学会愉懒
(3)关心进程
3.有效聆听的五个步骤 by 章鹰
(1)做个有始有终的好听众
(2)舍弃成见,客观聆听
(3)用“YES聆听”与客户共鸣
(4)用拿手表情表明态度
(5)模仿客户,步调一致
(1)新产品开发是一项投资决策
(2)基于市场的开发
(3)跨部门、跨系统的协同
(4)异步开发模式,也称并行工程
(5)重用性
(6)结构化的流程
2.好经理,获得下属承诺的三个小土豆 by 郭广文
(1)共启愿景
(2)学会愉懒
(3)关心进程
3.有效聆听的五个步骤 by 章鹰
(1)做个有始有终的好听众
(2)舍弃成见,客观聆听
(3)用“YES聆听”与客户共鸣
(4)用拿手表情表明态度
(5)模仿客户,步调一致
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言