SSD Forums

360没有检查出来的最新浏览器漏洞

271103199 — Tue, 14 Oct 2008 18:12:49 +0800

国内首发连360没有检查出来的最新浏览器漏洞
继GDI＋图片漏洞之后，又一影响更为深远的攻击漏洞Clickjacking被揭露。通过此漏洞，黑客可以控制用户的浏览器，在用户毫不知情的情况下点击任意链接、任意按钮或者网上任意的东西。黑客可以轻易利用"clickjacki ...

PHP二分法注射猜解

admin — Thu, 09 Oct 2008 23:20:15 +0800

来源：wolvez
b.php

SOHU公司招聘安全专家

admin — Sun, 05 Oct 2008 23:10:23 +0800

2008-9-25

职位名称 WEB安全工程师
工作地点：北京
招聘人数：若干
工作部门：网络运营部

职位要求：
1、熟悉各种扫描器的使用；
2、精通SQL Injection、跨站脚本等常见WEB攻击；
3、熟悉 ...

最近正在看《ROOTKITS》，很多大牛都在研究内核吧

linxinsnow — Sat, 04 Oct 2008 16:26:03 +0800

感觉内核才是最美妙的东西啊。。。:loveliness: :loveliness:

对几次输入ssh密码错误的IP进行iptables drop

kiki — Sat, 04 Oct 2008 15:47:43 +0800

.把下面脚本放入/etc/crontab

Microsoft Windows GDI 'EMR_COLORMATCHTOTARGETW' Stack Overflow Vulnerability

admin — Sat, 04 Oct 2008 15:04:22 +0800

Proof-of-concept code for Immunity CANVAS is available for one of the vulnerabilities discussed in MS08-021. It is not clear at this time if this code is for this issue or for the one discussed in BID 28571 (Microsoft Windows GDI 'CreateDIBPatternBru ...

如何对PHP程序中的常见漏洞进行攻击

kiki — Sun, 28 Sep 2008 02:12:16 +0800

文章主要从全局变量，远程文件，文件上载，库文件，Session文件，数据类型和容易出错的函数这几个方面分析了PHP的安全性，并且对如何增强PHP的安全性提出了一些有用的建议。
好了，废话少说，我们言归正传！

”。这是PHP中一个极其重要的选项，关 ...

apache 安全设置

admin — Sun, 28 Sep 2008 01:40:23 +0800

一、确保你安装的是最新的补丁

　　如果门是敞开的话，在窗户上加锁就毫无意义。同样道理，如果你没有打补丁，继续下面的操作就没有什么必要。

　　二、隐藏Apache的版本号及其它敏感信息

　　默认情况下，很多Apache安 ...

七大步骤建立可靠的Linux操作系统

admin — Sun, 28 Sep 2008 01:39:50 +0800

许多刚接触Linux的网络管理员发现，他们很难由指向点击式的安全配置界面转换到另一种基于编辑复杂而难以捉摸的文本文件的界面。本文列出七条管理员能够也应该可以做到的步骤，从而帮助他们建立更加安全的Linux服务器，并显著降低他们所面临的风险。

　　 ...

解读Linux文件权限设置方法

admin — Sun, 28 Sep 2008 01:39:21 +0800

Windows系统其实和Linux系统有相似的地方，Windows系统文件、目录的属性有只读、隐藏，而Linux也一样。

Linux中，每一个文件都具有特定的属性。主要包括文件类型和文件权限两个方面。可以分为5种不同的类型：普通文件、目录文件、链接文件、设备文件和管 ...

喜欢技术的朋友进来看看

leo — Fri, 26 Sep 2008 23:55:13 +0800

大家好我也是网络安全爱好者
有兴趣一起交流研究的请加我QQ144755我是西安的呵呵

3个代码安全审核程序

admin — Wed, 24 Sep 2008 15:14:09 +0800

用于管理 Active Directory 的 11 个基本工具

admin — Wed, 24 Sep 2008 15:11:10 +0800

请注意，由于 oldcmp 可能会严重损坏您的目录，因此它有许多内置的安全功能。它不会删除尚未禁用的任何帐户（无需手动指定“No really, I mean it!”命令行开关）。无需指定类似的“No really, I mean it!”开关，每次修改对象不会超过 10 个，而且绝对不会对域控制器的 ...

php 源代码审计工具

admin — Wed, 24 Sep 2008 15:08:46 +0800

All packed up & ready for your enjoyment: PHP Source Auditor 4! So, if you have (most likely) never heard of it, this is the deal:

PSA4 is a Perl script that connects to your local webhost and scans all files (recursively) in the w ...

好冷清哦。。。

linxinsnow — Wed, 24 Sep 2008 12:57:44 +0800

天天上sebug，但是论坛怎么没什么人气啊。。

研究技术的氛围很重要的说。

企业实施信息安全审计的关键流程

kiki — Wed, 24 Sep 2008 10:52:15 +0800

所谓安全审计，是指评估企业安全风险以及如何应对风险措施的一个过程。这是一个人为的过程，有一群拥有相关计算机专业技能和商业知识的审计人员操作进行。作为审计的一个过程，审计人员会询问关键职员，实施漏洞评估，给现有的安全政策和控制造册，检查IT资产。很多情况 ...

浅析网络安全审计原理和技术

kiki — Wed, 24 Sep 2008 10:50:56 +0800

安全审计是几年前出现的概念，它的发展非常迅速，3年前还很少有人说起安全审计，现在却是产品满天飞。不过据我看来，对于安全审计这个概念，众多客户和厂商的理解都不同。那么到底什么是安全审计呢？

1、体系化。上面说过，目前的产品实 ...

绿盟科技黑洞抗拒绝服务系统解决方案

kiki — Tue, 23 Sep 2008 21:20:59 +0800

PHP 中执行排序与 MySQL 中排序

kiki — Sat, 20 Sep 2008 22:52:20 +0800

此文首发在 InfoQ 中文站。
作者：明灵(dragon) , Fenng .
Note：要转载的朋友请注意注明这篇文章的第一作者!

这篇文章是dragon 朋友来邮探讨后他做的一个总结。在 DB 中排序还是在应用程序中排序是个很有趣的话题，dragon 第一份邮件中 ...

FFP模型

kiki — Fri, 19 Sep 2008 21:38:44 +0800

FFP模型，就是构建完整体系的指导思想。

也就是发现问题--解决问题--监控问题的一个过程。

举例来说，在web防护中，首先需要发现问题，发现当前系统存在什么样的问题和缺陷，在发现问题的过程中，可以使用web扫描器、人工渗透、代码审计 ...

Solaris系统安全之审计

kiki — Fri, 19 Sep 2008 20:09:02 +0800

文/王宇

 Sun WBEM
Solaris内置的图形界面管理工具，也就是AdminConsole，在WBEM 2.3之后的版本支持对BSM信息的管理。可以用下面命令开启：
# /usr/sadm/bin/wbemadmin (第一次运行时会安装一系列的管理脚本)
...

PHP源代码分析

kiki — Tue, 16 Sep 2008 22:45:29 +0800

1. 目录结构
2. PHP使用Lex和Yacc对语法进行解析。
3. PHP如何使用Mysql？
4. 安全模式？
5. 那些是 PHP 的标准函数，那些是扩展函数？
6. PHP 源代码中的PHP_FUNCTION(xx) 宏。
7. 那些函数集是标准的？
8. 一些函数 ...

COBIT(Control Objectives for Information and related Technology)

kiki — Fri, 12 Sep 2008 02:49:41 +0800

COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要 ...

Lotus Domino/Notes与Exchange的比较

kiki — Fri, 12 Sep 2008 02:47:11 +0800

Lotus Domino/Notes与Microsoft Exchange是邮件市场上主要的两个产品，其竞争激烈是可以想象的，而且是对用户有益的。但实际上，从产品的功能比较，Exchange与Domino/Notes是不能等量齐观的。

　　作为Lotus/IBM Internet/Intranet完整解决方案的核心产 ...

Linux环境下邮件服务器的分析比较

kiki — Fri, 12 Sep 2008 02:46:18 +0800

几年以前，Linux环境下可以选择的可以免费邮件服务器软件只有Sendmail，但是由于Sendmail的缺陷，一些开发者先后开发了若干种其他的邮件服务器软件。当前，运行在Linux环境下免费的邮件服务器，或者称为MTA(Mail Transfer Agent)有若干种选择，比较常见的有Sendmail ...

市面上主流数据仓库解决方案比较

kiki — Fri, 12 Sep 2008 02:45:23 +0800

IBM、Oracle、Sybase、CA、NCR、Informix、Microsoft、和SAS等有实力的公司相继（通过收购或研发的途径）推出了自己的数据仓库解决方案，BO和Brio等专业软件公司也在前端在线分析处理工具市场上占有一席之地。

下面针对这些数据仓库解决方案的性能和特点 ...

构建符合萨班斯法案的IT内部控制体系的思路

kiki — Fri, 12 Sep 2008 02:44:56 +0800

面对安然、世通等财务欺诈事件，为提高上市公司（以下简称公司）治理水平，恢复投资者信心，美国总统布什于2002 年7 月30 日签发了萨班斯法案（以下简称法案）。萨班斯法案显示了美国国会强化公司责任的强硬手段，它试图恢复投资者对美国资本市场的信心。

企业内控信息系统在内控管理中的作用

kiki — Fri, 12 Sep 2008 02:41:56 +0800
企业内部控制信息系统的应用主要来自于两方面力量的推动。首先是外部需求特别是SOX法案颁布后加强企业内控对外报告需求的推动；其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管理水平需求的推动。部控制信息系统的外部需求及其作用.

根 ...

SOX法案对信息系统控制的要求

kiki — Fri, 12 Sep 2008 02:41:09 +0800
以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确要求，作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高度。

美国安然与世通事件使得上市公司财务信息披露情况的法律遵从问题备受关注，2002年美国国会 ...

屁股决定脑袋的COSO内控框架

kiki — Fri, 12 Sep 2008 02:40:42 +0800
屁股决定脑袋的COSO内控框架
屁股决定脑袋，或者换个文雅的说法，立场决定观点，乃古今不易之理也。亚当斯密在《国富论》中曾经说过：“我们的晚餐可不是得自屠夫、酿酒商或面包师傅的仁慈之心，而是因为他们对自己的利益特别关注，我们认为他们给我们供应，并非 ...

信息安全运营中心如何运用在大中型企业中

kiki — Fri, 12 Sep 2008 02:39:11 +0800
随着经济建设的持续发展和知识经济模式的到来，国内企业以一种前所未有的热情致力于企业内部管理素质与效率的提升中，通过信息化手段实现办公自动化，网络信息系统成为企业办公的基础设施之一。组织机构复杂、用户众多、流程复杂；各类应用软件系统负载大，数据量大是大 ...

cobit专用词汇

kiki — Fri, 12 Sep 2008 02:38:00 +0800
词汇(英文) 词汇(中文)

Accountability 问责机制
Acquisition and Implementation 获取与实施
Activity and task 活动和任务
Application systems 应用系统
Availability 可用性
Balanced scorecard 平衡记分卡

Cobit 4.0简介

kiki — Fri, 12 Sep 2008 02:37:06 +0800
COBIT提供了一个IT管理框架以及配套的支撑工具集，这些都是为了帮助管理者通过IT过程管理IT资源实现IT目标满足业务需求。COBIT建立了一个包含7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标的IT管理框架，通过控制度、度量、标准三个纬度来度 ...

ITIL给我们带来了什么

kiki — Fri, 12 Sep 2008 02:33:58 +0800
2007年,英国商务部正式出版ITIL V3版本的核心读物，此举标志着ITIL已经跨越了V2阶段正式步入V3时代，这将是一更加注意服务与流程管理的版本，ITIL也将在IT服务管理中发挥着更加显著的作用。

　　ITIL自从面世到步入中国，大多数CIO多从最初的不了解到目前 ...

PRINCE2项目管理初探之五：项目组织（Organisation）

kiki — Fri, 12 Sep 2008 02:33:27 +0800
组织是PRINCE2项目管理八大组件之一。
PRINCE2假定每一个项目都是在“客户
– 供应商”的环境中进行的。这意味着项目由客户来提供项目资金、由供应商组织专业技术和资源来实现客户要求的项目成果。
客户只有在确认投资的有效收益的时候（有效的商业 ...

PRINCE2项目管理初探之三：配置管理（Configuration Management）

kiki — Fri, 12 Sep 2008 02:33:03 +0800
正如一个企业在经营过程中产生的产品都是企业的资产一样，一个项目在运行中所产生的所有产品都是项目的资产。对于这些资产的保管
– 防止非授权人员对产品的不必要的接触和改动
– 对于一个项目的操作来讲是极其重要的。在PRINCE2项目管理环境中，这一点是 ...

PRINCE2项目管理初探之四：变更控制（Change Control）

kiki — Fri, 12 Sep 2008 02:32:34 +0800
变更控制是PRINCE2项目管理环境中的8个组成元素之一。
在任何一个项目中，通常是由项目客户或者项目产品的最终用户来指定项目最终交付物的，并且必须在生产任何产品之前就明确地详述出他们的要求。假如你请一个工匠来帮你建造房屋，你一定会先把房屋的建筑设计图 ...

PRINCE2项目管理初探之二：风险管理（Management of Risk）

kiki — Fri, 12 Sep 2008 02:32:09 +0800
所有项目的共同点之一就是都有影响项目成果的不确定性因素存在，这些不确定因素就是PRINCE2™定义下的风险。有时风险也被定义为“项目中当下可以识别的、将来某天需要面对的问题”。
我们常常会在一些潜在因素发生之前就对这些因素的存在进行识别和分析，这 ...

PRINCE2项目管理初探之一：商业论证（Business Case）

kiki — Fri, 12 Sep 2008 02:31:29 +0800
本系列旨在以通俗易懂的方式介绍PRINCE2项目管理方法的方方面面。商业论证是PRINCE2™方法论中的8个组成要素之一。

商业论证是对一个项目投资的有效性证明。简单来讲，在一个项目被批准之前，管理高层需要确认对这个项目的投资是有价值的、值得的。 ...

ITIL - 事件管理

kiki — Fri, 12 Sep 2008 02:29:20 +0800
事件管理－定义

事件管理（Incident Management）是IT运维中最基本的活动，可以说IT运维部门的职责就是处理各类事件(Incidents)。它是一个被动的任务，主要目标在于减少或者消除存在或可能存在于IT服务中的干扰因素给IT服务带来的影响。确保用户 ...