InfoQ Geekathon 大模型技术应用创新大赛 了解详情
写点什么

QSecurity 本月安全评论 :2012 年 1 月号

  • 2012-02-05
  • 本文字数:1166 字

    阅读完需:约 4 分钟

编者按:2011 年底,国内一系列网站发生用户信息泄露事件,其波及面之广,影响和严重程度之深,如果将其称为中国互联网有史以来最大的一场灾难,恐不为过。安全问题,成为很多互联网企业必须要考虑的首要问题。

在此背景之下,InfoQ 中文站开辟“QSecurity”专栏,一方面定期介绍安全方面的动态,另一方面,也希望将一些安全方面的知识和理念传递给我们的读者,成为大家了解安全领域的桥梁。


重点安全事件回顾

80sec 感恩节事件分析

80sec 是国内著名的一个民间安全组织。2011 年感恩节的晚上,80sec 的网站遭遇了攻击,首页被入侵者成功篡改。80sec 在事后对本次攻击的应急处理以及事后响应做了一个完整的复盘,依靠入侵者留下的蛛丝马迹,基本还原了本次攻击的原貌。 这个复盘的结论事实上已经预言了现有互联网认证体系的崩溃。文章发表后不久,国内一系列社工库被公开,引发了大规模的互联网安全危机。对技术人员来说,领会一下 80sec 在这篇文章中所阐述的思路和结论,将会帮助你更加深刻地理解去年年底中国互联网界发生的那一系列密码泄露事件。

小米科技内网被成功渗透事件

2012 年 1 月 27 日,乌云漏洞平台公布了白帽子 Jannock 于 2011 年年底成功进入小米科技内网的渗透报告。这次渗透以一个已知的“不严重”,“可忽略”漏洞为起点,逐步深入。利用百折不挠的信心,机敏的社会工程学应用,一点点运气,再加上白帽子对自身的道德约束,使得这次渗透成为一个可以载入教科书的经典案例。

通过这个案例,你可以了解到黑客的思维方式是怎样的。

中文版 Putty 后门事件

知道创宇安全研究小组的分析报告已发布,推荐所有的技术团队管理者都来认真了解一下事情的来龙去脉。攻击者使用了非常原始但是极其有效的办法,在几个通用的管理工具中植入后门,并通过搜索引擎付费推广进行传播。最终获取到了大量的 服务器管理账户。这一事件值得所有的技术团队管理者以及企业内控部门予以高度重视。

本月重点安全漏洞

Linux 内核版本 2.6.x 本地提权漏洞

1 月 17 日,Linus Torvalds 亲自提交了一个 Patch 去修复这个漏洞。查看代码请猛击此处

哈希冲突引发的拒绝服务攻击漏洞

具体详情在本期专栏的《哈希表之殇》文章中有详细描述。

本月安全技术更新

Apache Shiro 1.2.0 版本于 1 月 24 日正式发布。Apache Shiro 是一个号称“强大而且超级好用”的 Java 安全框架。其提供了包括 认证、授权、加密,以及会话管理在内的诸多安全功能。本月发布的 1.2.0 版本修 复了之前的一些 bug 并做了一些功能提升,应该说已经比较稳定了,推荐感兴趣 的朋友尝试一下。InfoQ 英文站也有一篇专门介绍Shiro 的文章


作者简介:殷钧钧( Joey Yin ),Web 开发者,某外企企业架构师。业余时间,他是一名白帽子,独立安全组织 OWASP 成员。主要关注的技术领域有应用安全、分布式系统架构、以及程序员的敏捷实践。个人博客: http://unclejoey.com

活动推荐:

2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。

2012-02-05 20:432090

评论

发布
暂无评论
发现更多内容

操作系统迁移实战之Apache 2.4.39 移植

openEuler

Apache 鲲鹏920 操作系统 openEuler CentOS 迁移最佳选择

Android进阶(十七)Android 布局

No Silver Bullet

android android布局 8月月更

ARMS助力羽如贸易打造全链路可观测最佳实践

阿里巴巴中间件

阿里云 云原生 可观测 Arms 客户案例

技术分享| 应急指挥调度平台需要这些技术支撑

anyRTC开发者

音视频 快对讲 语音对讲 调度系统 视频对讲

一加是oppo旗下的品牌吗?

Geek_8a195c

数据构造那些事儿

转转技术团队

测试左移 测试数据构造 测试提效

面试官问:如何优化高并发相关的业务,你能回答的上来吗?

CRMEB

跟我学Python图像处理丨基于灰度三维图的图像顶帽运算和黑帽运算

华为云开发者联盟

人工智能 图像处理 图像 三维

SpringBoot进阶(叁):Spring Boot启动过程分析

No Silver Bullet

spring-boot 8月月更

React Native框架与小程序混编的方案

Geek_99967b

小程序

ITIL4实用指南 | ITSM的未来属于敏捷

龙智—DevSecOps解决方案

ITSM ITSM解决方案

数字人民币如何影响传统支付?支付厂商数字人民币应用案例征集

易观分析

金融 数字人民币 传统支付

传媒数字化转型思考:小程序是音视频内容的更优载体技术

Speedoooo

小程序 数字化转型 小程序生态 传媒

干净代码(Clean Code)实践如何帮助您留住开发人才

龙智—DevSecOps解决方案

代码质量 代码安全

程序员常用的IDE工具,你了解哪些?

Speedoooo

小程序 ide 开发者工具 前端开发工具

一文读懂Web3 结算协议 Zebec Protocol 的商业模式与发展前景

西柚子

浏览器、负载均衡 、进程内部层...那些你需要掌握的多级缓存

华为云开发者联盟

缓存 前端 浏览器

汉诺塔(递归+ 非递归版)

Five

算法题 8月月更

转转风控「违禁物品识别」 背后的那些事儿

转转技术团队

人工智能’

用小程序打造超级App,助力社交电商扩大“留量池”

Speedoooo

小程序 社交电商 超级app 用户留存

龟兔赛跑:如何使用TortoiseSVN客户端和P4EXP

龙智—DevSecOps解决方案

git svn Subversion

教你如何轻松实现多队伍排队管理【必看】

天天预约

微信小程序 排队 排队工具 #SaaS应用

HashMap为什么线程不安全?

Java面试那些事儿

Java jdk java程序员 java面试 hash map

Seata-php 半年规划

SOFAStack

php 开源 分布式 框架 seata

会场及展位变更通知 | GOPS全球运维大会地址更改,龙智展位更换至#106

龙智—DevSecOps解决方案

gops GOPS全球运维大会

惊呆了!有了这份MySQL笔记手册,胜过看10本书

冉然学Java

MySQL 编程 程序员 分布式 构架

买家手册:企业在选择 SBOM 供应商时需要注意什么?

SEAL安全

DevSecOps 开源软件供应链 软件物料清单 SBOM 软件供应链安全

张宏江谈AI创业:人工智能亟需工程化,创业者大有可为

硬科技星球

秒验丨使用简介与应用创建

MobTech袤博科技

android iOS SDK 秒验

云原生(十九) | Kubernetes篇之Kubernetes(k8s)网络

Lansonli

云原生 k8s 8月月更

今天4点,开发者关心的SysOM 操作系统运维系列直播又来了!| 第 42 期

OpenAnolis小助手

操作系统 系统运维 sig 龙蜥大讲堂 SysOM

  • 扫码添加小助手
    领取最新资料包
QSecurity本月安全评论 :2012 年1月号_安全_殷钧钧_InfoQ精选文章