正在加载...
 
    视频语音聊天系统的漏洞  

    有个哥们最近在源代码漏洞发掘和黑箱测试方面有蛮大突破,下面是从他网站上转过来的,他用工具发现的视频语音聊天工具(包括碧聊等一堆的聊天网站都受影响)的漏洞。如果有企业有代码审计或黑盒测试方面的需求,不妨联系联系他 :)

    阅读全文...
    标签:技术 | 浏览数(3934) | 评论数(1) | 2007-07-31
    XCon2007 安全焦点信息安全技术峰会议题征集函  

    XCon2007 安全焦点信息安全技术峰会议题征集函

                     中国,北京,2007年8月28~29日 (http://xcon.xfocus.net)
         
          XCon 秉承一贯的严谨求实作风竭诚欢迎热爱信息安全技术的人员积极投稿,参加会议,共享精彩盛会。

    参加会议对象:
          任何热爱信息安全的人士,包括如信息安全专家,信息安全爱好者, 网络
          管理工程师,网络安全顾问, CIO,黑客技术发烧友等。

    阅读全文...
    标签:技术 | 浏览数(2120) | 评论数(2) | 2007-07-05
    安全公司和安全产品们,你们能再简单一点吗?(转载)  

    原文请参见XFOCUS链接:https://www.xfocus.net/bbs/index.php?act=ST&f=1&t=62893,作者:-jinifly-
    虽然不尽同意作者的比较“极端”的观点,但这毕竟也是我曾经考虑过,想说过的话,值得安全厂家平心静气地思考思考。

    看了zhaol's 的blog《2007年的5大安全技术》终于使我心底产生了一种要说出来的冲动。
    信息安全正在把事情弄得越来越复杂,而且不着边际。看看现在的产品种类吧:FW、IDS、SCAN、IPS、AV、UTM、ADDOS、AAA、SOC、GAP、还有上面这些五大技术...
    再看看现在的理论成果吧:框架、体系、规范、策略、方针、模型、矩阵、安全域......
    KAO!!
    IT的历史上重来就没有这么乱过!!
    信息安全厂商也正在把自己弄得糊里糊涂的,真得有那么多种产品和产品线吗?真得需要那么复杂的产品线吗?
    在把客户弄得晕头转向之前,真得需要先这么折磨自已吗?真得陷入了“头痛医头,脚痛医脚”的境地?无怪乎那么多人得从医学、生物科学、哲学、神学、框架、理论公式、幻想里去牵强地寻找解决问题的方法,这是为什么?
    真得需要那么多没有人去多看第二眼无法实施名词缩语一堆不知所云可操作性为0的所谓“安全标准”吗?
    真得需要那么多根本毫无关联和整体性可言堆切在一起却不仅不能解决问题还会影响正常业务开展的“安全产品”了吗?
    换一种思路吧,那就是----简单就好!
    简单就好!
    看看我吧,我从不装AV,也从不中病毒,我只做了3点,开系统自带的FW、IE不自动下载文件、我从不乱点乱访问乱下载。
    我只是安静地思考,就明白了以下的道理:
    1、所有的安全问题都是软件问题。
    (请不要把防火防水防雷防小偷的生产安全和007的间谍手法归为信息安全,不然,信息安全管得也太宽了,而且,警察、特工、医生们也都得下岗,顺便质疑一下CISSP的包含法律、物理安全那么些个十个并无关联的安全域)
    2、所有的安全保护都是保护数据。
    3、所有的攻击都有访问通路。
    想清楚了,就明白了,从根本上来说,只需要三种安全产品而已。与其搞一堆隔靴骚痒的东西,还不如花大力气搞那么一样东西,"搞深搞精搞出名堂"。
    另外,依赖知识库或规则库工作的AV、IDS、SCANNER、风险管理等一类产品需要一种更智能、颠覆性的技术才能突破目前“攻击快于防御”的局面,或者这一类东西干脆下课,事实证明,它们是多么的苍白无力。
    按照“谁做的事情谁负责”、“责任到户”的原则,既然安全问题都出自各系统厂商(网络、主机、数据库、存储、应用系统)自身所开发系统,”解铃还需系铃人的”,安全问题理应由他们自已来解决。试问安全厂商们,你们对系统底层的了解和实现过程是否会比厂商自己更清楚呢?显而易见,不会。如果哪一天MS真得把AV集成到windows系统里,现在的杀毒厂商恐怕也都得下课了。
    另一方面,既然各系统都自带了众多的安全功能(身份认证、访问控制、加密、日志审计、备份与恢复),那么就在需要它们的时候把它们启起来好了,又何必借助于第三方的安全厂商额外的安装一堆的agent呢?事实上如果你善于把这些功能很好的搭配利用起来,是根本不需要什么强化系统的安全产品的。您也许会说厂商的不够强,那就由厂商自己来解决好了。从这一点来看,安全厂商其实也应该下课,或换一种活法了。
    安全厂商活法就应该是不再直接面对最终用户,而是应当面对这些系统厂商,我宁愿把安全厂商理解成对系统有好处的支撑厂商或安全部件厂商,是系统的一部分, 从历年来的各系统厂商不断收购安全厂商似乎说明这一点,安全厂商所应当做的就是开发出好的软件工程工具协助厂商把好产品下线关,或协助厂商及时发现售后问题,及时报告,让系统厂商尽快打上补丁,这才是真正的安全之道,正如汽车总装与质量控制之间不过是整体和部件之间的关系一样。而不是什么发现一条漏洞高价去卖给别人,总搞得跟敲诈勒索一般,而安全厂商呢,则出高价去收购,就像是“销脏”渠道一样。
    很多人觉得TCP/IP不安全,那就让ISO去处理好了--这事归他们管!!

    标签:技术 | 浏览数(2957) | 评论数(8) | 2007-01-25
    谁控制了我们的浏览器?  

      by 2f4f587a80c2dbbd870a46481b2b1882


      本文遵从GPL协议,欢迎转载。

      1、现象是什么?

      大约从今年年初开始,很多人就发现,在浏览一些网站的时候,地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”(x为数字),并且弹出广告窗口。很多人以为这是网站自己弹出的广告,也就没有在意。

      我是属于很在意的那些人之一。

    阅读全文...
    标签:技术 | 浏览数(4432) | 评论数(0) | 2006-07-16

      Powered by Haiwit