凌晨发布了 Security Advisory 954462 ,还是面向IT Professional人士、关于防范SQL注入攻击的建议。这篇Blog昨天中午准备好了,不过看到SWI和诚云的Blog都提到了,就删除内容不再赘述。考虑到这是一个MS的SSIRP,因此每个Team都会发布相应信息,再加上很多网站已经深受注入挂马之扰,我这里做个体力劳动,把相关Links紧凑罗列一下,希望引起更多ASP Developer和IT人员注意做好安全防范。 IT: 检测 - 前端使用HP Scrawlr ( 下载
Read More...
攻击依然持续不断。Michael和Neil添加了关于这方面的blog,大家可以看看: Michael: How the SDL Addresses SQL injection Neil: SQL Injection Mitigation: Using Parameterized Queries 其他一些资源(Microsoft.com)供大家参考: Stop SQL Injection Attacks Before They Stop You How To - Protect from Injection
Read More...
看到有新闻猜测,最近的一次 大规模Injection(nihaorr1.com) 事件,可能是利用了 Security Advisory 951306 提到的IIS本地提权缺陷(正在验证中)进行的攻击,这里非官方的小澄清一下,目前我得到的此次攻击事件证据中,没有看到利用951306的攻击行为,并且证据表明此次攻击是 上一次大范围Injection(fu*kjp.js) 事件的延续。 正如我之前blog提到的, 利用未经安全开发、网络化却缺乏安全更新策略的第三方软件中存在的缺陷,和传统的XSS/SQL
Read More...
看到报道 腾讯网络安全技术峰会 上 TK 提到了“在中国仅此一家”的 腾讯安全中心 ,想起很久没有留意过了,于是搜索到了腾讯的安全中心页面,呵呵才注意到 luoluo , Wushi , Yunshu , Failwest 都曾经报过QQ的漏洞。尽管公告不是很详细,不过能够作为“仅此一家”,足以看出腾讯对安全的重视了。 十年前的微软安全公告 ,不也是简陋到让令人咬牙切齿吗? 《 The First Step on the Road to More Secure Software is admitting
Read More...
