QSecurity 本月安全评论 ：2012 年 2 月号

相较于去年年底的风云诡譎来说，国内安全界在过去的一个月相对过得波澜不惊。相比之下，国外的“匿名者”（Anonymous Group）组织则是新闻不断，频频出现在公众视野之中。新的一年开始，开发人员也该为自己充充电，补充补充安全知识了。本期安全评论将会重点推荐过去一个月中值得你仔细阅读的安全方面的技术文章。

首先是一个好消息，幻影旅团在几乎停顿了整整 1 年之后，竟然在这个月发布了 Webzine 第 6 期。在国内安全界，这个组织是以纯技术黑客以及共享精神著称。其发起的 Webzine 免费安全技术杂志也影响过很多安全工作者。新的一年，很高兴看到他们又回来了。本期 Webzine 包含 6 篇文章，其中 3 篇是关于 Android 应用安全的。安全界目前关注的焦点由此可见一斑。

其次带来的还是 80sec 的文章。DDoS 对很多互联网企业来说简直就是一个无底黑洞。除了拼带宽烧设备基本上很多时候都是束手无策。大的互联网企业有自己的安全团队和硬件设备来应对这种危机，但是这些技术往往都是比较保密的：共享的结果是下一次将迎来更加隐蔽难缠的攻击。剑心的这篇文章最难得的一点是“几乎”毫无保留地分享了 80sec 团队对一次 DDoS 攻击的应急响应及追踪处理全过程。功夫在诗外，其中的细节颇有可琢磨之处。

Qualys 安全实验室在 2 月 24 日发布了一篇研究成果，介绍SSL/TLS 部署时需要注意的问题并给出了一些非常有参考性的建议。这篇文章对于每个互联网企业的运维团队来说，都是一份宝贵的参考文档。

John Melton 老先生简直像吃了药一样，2012 年以来他在自己的博客上就“Java 安全编程”这一话题洋洋洒洒滔滔不绝连发9 弹。9 篇文章从Session Fixation 到Cookie 安全，然后再到CSRF 和X-Frame，含金量都没的说，的的确确是Java 开发人员的福音。

最后这篇文章推荐给白帽子或者对安全有浓厚兴趣的开发者。每年Web 安全社区都会评选出年度最牛的十大攻击技术。今年的候选名单里面，出现了很多让人觉得匪夷所思的奇思妙想。感兴趣的话，自己来看一看吧。

写在最后的几句话：正如superhei 在Webzine 第6 期卷首说的一样，一时的分享可能很轻松，但是需要坚持下来则是非常艰难的。 QSecurity 这个栏目的设立目的，是为了鼓励和支持安全工作者更好地向开发者和管理者分享安全开发知识。我们期待更多人的参与。如果你有好的稿件或者文章，请发邮件到 editors@cn.infoq.com 或者我联系。

最后是广告，请关注即将发布的 QSecurity 本期技术文章：Cookie 安全漫谈。

作者简介：殷钧钧（ Joey Yin ），Web 开发者，某外企企业架构师。业余时间，他是一名白帽子，独立安全组织 OWASP 成员。主要关注的技术领域有应用安全、分布式系统架构、以及程序员的敏捷实践。个人博客： http://unclejoey.com 。