摘要： 微软表示，获得这一待遇的安全厂商必须符合两个要求：一个是研发视窗平台的安全软件，另外一个是软件必须拥有较大的用户规模。 8月6日消息，据国外媒体报道：微软公司日前宣布，从十月份开始，将会向一些安全软件公司提前告知微软将发布的安全补丁内容。 此举是为了让安全软件厂商提前测试他们的软件，同时杜绝黑客根据新发布的漏洞补丁包发动新的攻击。 据悉在过去，微软安全补丁包发布... 阅读全文

摘要： Internet的开放性使得Web系统面临入侵攻击的威胁，而建立一个安全的Web系统一直是人们的目标。一个实用的方法是，建立比较容易实现的相对安全的系统，同时按照一定的安全策略建立相应的安全辅助系统，漏洞扫描器就是这样一类安全辅助系统。 漏洞扫描就是对计算机系统或者其他网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。作为一种保证Web信息系统和网络安全必不可少的手段，我们有必要... 阅读全文

摘要： 建议您在执行字符串时，使用 sp_executesql 存储过程而不要使用 EXECUTE 语句。由于此存储过程支持参数替换，因此 sp_executesql 比 EXECUTE 的功能更多；由于 SQL Server 2005 更可能重用 sp_executesql 生成的执行计划，因此 sp_executesql 比 EXECUTE 更有效。 自包含批处理 当 sp_executes... 阅读全文

摘要： from : http://www.siteweavercms.cn/Item/113.aspx 由于存储过程中存在用于字符串连接的 + 号连接SQL语句,这就造成SQL注入的可能性. 下面一个例子: PR_UserManage_Users_BatchMove CREATE PROCEDURE [dbo].[PR_UserManage_Users_BatchMove] ( @UserType i... 阅读全文

摘要： 安全开发手册（初稿） 目录 一、 输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式： 4 二、 输出编码 6 1. 输出的种类 6 2. 输出编码的必要性 6 3. 输出编码 6 4... 阅读全文

摘要： 在DNS（域名解析系统）缓存中毒漏洞被公开后，Dan Kaminsky 周四首度露面，他说他只希望大家知道应该马上修补系统。 在 第二届黑帽大会会前视频会议中，Kaminsky提出截至目前为止他所知道最详尽的DNS漏洞（虽然他在今年初就已经发现，但却迟至7月8日才对外公 布）。DNS会把英文网址转换成数字型的IP，是互联网的基础组件之一。他选择此时发表，是因为修补程序已经发出来了。但他还是保留许... 阅读全文

摘要： 2008年北京奥运会近在咫尺。作为举世瞩目的体育盛事，2008年北京奥运会不仅将带动金融、交通、旅游、餐饮等传统行业的大发展，也将推动以信息技术为代表的高科技产业的加速发展，社会信息化进程将进一步提高。 来自全球最大的网络安全公司Websense日前向业界发布的《2008年十大安全威胁预测报告》判断，“北京2008年奥运会吸引的不仅仅是世界上最优秀的体育人才，或许还包括技术强悍的网络犯罪分子。... 阅读全文

摘要： Blackhat：我们有足够的时间来慢慢挖一个应用或软件的漏洞。 Whitehat：我们天天在救火，偶尔闲下来也要进行战略布局。 Blackhat：我们轻易就能编译各种exploit，制造蠕虫，控制ircbot和僵尸网络 Whitehat：我们最头疼的就是怎么把有漏洞的客户端升级到最新版本。 Blackhat：我们喜欢挖漏洞，没有漏洞制造漏洞也要挖 Whitehat：我们也挖漏洞，不过我们更喜... 阅读全文

摘要： 过去的一年里，能拥有一个iphone智能手机成为人们的自豪，智能手机在近几年内得到迅猛发展；而伴随着智能手机和移动互联网的流行，手机病毒木马也开始泛滥了，iphone等智能手机先后爆出安全漏洞，手机安全革命已经拉开了大幕。 早期的手机病毒是垃圾短信，真正的手机病毒2004年6月才出现，那就是“Cabir”蠕虫病毒，这种病毒通过诺基亚60系列手机复制，然后不断寻找安装了蓝牙的手机。随后，手机... 阅读全文

摘要： 本模块内容 安全代码审查的目的是要识别出会导致安全问题和事故的不安全编码技术和漏洞。虽然可能很耗时，但代码审查必须是项目开发周期中的常规事件，这是因为在开发时修复安全缺陷会比以后在产品部署或维护修复周期中再做这项工作节省大量的成本和工作量。 本模块帮助您审查使用 Microsoft .NET Framework 建立的托管 ASP.NET Web 应用程序代码。本模块按功能区进行组织，并通过对所需... 阅读全文