QSecurity月度安全评论(2012年3月)

InfoQ原稿地址:http://www.infoq.com/cn/news/2012/04/qseurity

在开始自己回味这个月跟开发安全相关的文章之前,请各位读者先检查一下自己企业和个人Windows操作系统,有没有打上CVE-2012-0002漏洞的补丁。3月13日,微软正式发公布了MS12-020安全公告(http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020),警示所有Windows用户,Windows系统的远程桌面协议(RDP)存在着两个严重的安全漏洞:一个可以造成远程代码执行,另一个则会造成拒绝服务(DoS)。

事实上江湖上关于3389和IIS远程代码执行0day漏洞的传说流传已久,可是只是限于传说而已,谁也没有亲眼见过。见过的人,也绝不会向外界泄露半点关于这种神器的信息。如今被微软官方亲自证实3389 0day漏洞的存在,算是给江湖传说留下一个完美结局。

关于这两个漏洞的利用(exploit), DoS已经有人完成了PoC。但是远程代码执行至今笔者还没有见到可信的PoC。可以想象有多少Windows Server至今为止还没有打上补丁,这种exploit一旦流出,又不知会造成多少的血雨腥风。看来只能留待日后有机会再一探究竟了。

本月国内互联网安全界的一件大事是2012“互联网用户安全峰会”的召开。来自国内一线互联网厂商的众多安全部门负责人纷纷现身说法,贡献了一些有意义的话题。如果对互联网安全感兴趣,那么这十几场演讲是非常有参考价值的。会议组织方非常贴心的准备了全部演讲的PPT下载和在线视频,地址在这里:

http://sepblog.my.phpcloud.com/?p=92

上月评论中推荐了John Melton的博客。这是位高产的劳模博客作者,本月他又发表了4篇关于Java安全编程的文章,内容涉及Content-Type, XSS, Log Forging和框架安全。值得一读,再度推荐。

http://www.jtmelton.com

本月另外一件引起技术界关注的事件就是GitHub的被“攻击”。虽然事实证明这只是某个GitHub用户为了引起官方重视而做的一个小恶作剧,但是依然引发了关于Rails框架默认安全和程序员实现安全之间的争论。

http://shiflett.org/blog/2012/mar/hacking-rails-and-github

本期的最后,向大家郑重推荐一个非常好用的web安全训练课程:OWASP Webgoat。这是由OWASP开发的免费开源Web安全训练课程。用户可以在指导下由易至难的完成众多安全攻击任务,从而加深对Web安全的理解。可以作为企业开发人员安全培训的主要工具使用。链接地址:

https://www.owasp.org/index.php/Webgoat

相信本期的内容足够各位读者花上一段时间了,咱们下月再见。

  1. 又是这样的棒! 读unclejoey大神的文章总是有收获!

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>