写点什么

QSecurity 月度安全评论(2012 年 3 月):传说中的 0day 漏洞

  • 2012-04-08
  • 本文字数:1074 字

    阅读完需:约 4 分钟

在开始自己回味这个月跟开发安全相关的文章之前,请各位读者先检查一下自己企业和个人 Windows 操作系统,有没有打上 CVE-2012-0002 漏洞的补丁。3 月 13 日,微软正式发公布了 MS12-020 安全公告( http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020 ),警示所有 Windows 用户,Windows 系统的远程桌面协议(RDP)存在着两个严重的安全漏洞:一个可以造成远程代码执行,另一个则会造成拒绝服务(DoS)。

事实上江湖上关于 3389 和 IIS 远程代码执行 0day 漏洞的传说流传已久,可是只是限于传说而已,谁也没有亲眼见过。见过的人,也绝不会向外界泄露半点关于这种神器的信息。如今被微软官方亲自证实 3389 0day 漏洞的存在,算是给江湖传说留下一个完美结局。

关于这两个漏洞的利用(exploit), DoS 已经有人完成了 PoC。但是远程代码执行至今笔者还没有见到可信的 PoC。可以想象有多少 Windows Server 至今为止还没有打上补丁,这种 exploit 一旦流出,又不知会造成多少的血雨腥风。看来只能留待日后有机会再一探究竟了。

本月国内互联网安全界的一件大事是 2012“互联网用户安全峰会”的召开。来自国内一线互联网厂商的众多安全部门负责人纷纷现身说法,贡献了一些有意义的话题。如果对互联网安全感兴趣,那么这十几场演讲是非常有参考价值的。会议组织方非常贴心的准备了全部演讲的 PPT 下载和在线视频,地址在这里:

http://sepblog.my.phpcloud.com/?p=92

上月评论中推荐了 John Melton 的博客。这是位高产的劳模博客作者,本月他又发表了 4 篇关于 Java 安全编程的文章,内容涉及 Content-Type, XSS, Log Forging 和框架安全。值得一读,再度推荐。

http://www.jtmelton.com

本月另外一件引起技术界关注的事件就是 GitHub 的被“攻击”。虽然事实证明这只是某个 GitHub 用户为了引起官方重视而做的一个小恶作剧,但是依然引发了关于 Rails 框架默认安全和程序员实现安全之间的争论。

http://shiflett.org/blog/2012/mar/hacking-rails-and-github

本期的最后,向大家郑重推荐一个非常好用的 web 安全训练课程:OWASP Webgoat。这是由 OWASP 开发的免费开源 Web 安全训练课程。用户可以在指导下由易至难的完成众多安全攻击任务,从而加深对 Web 安全的理解。可以作为企业开发人员安全培训的主要工具使用。链接地址:

https://www.owasp.org/index.php/Webgoat

相信本期的内容足够各位读者花上一段时间了,咱们下月再见。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-04-08 22:402002

评论

发布
暂无评论
发现更多内容

实践分享丨物联网操作系统中的任务管理

华为云开发者联盟

华为 数据 物联网 进程

戴尔G系列游戏本助玩家激战英特尔大师挑战赛

E科讯

世界的下一个主宰——人工智能

CECBC

人工智能 智能时代

初学源码之——银行案例手写IOC和AOP

Java架构师迁哥

三年筑一“用”:长跑中的智能IP网络

脑极体

大学四年我是怎么写操作系统和计算机网络的?掏心掏肺的分享!

小林coding

学习 程序员 计算机网络 操作系统 计算机基础

融云技术分享:基于WebRTC的实时音视频首帧显示时间优化实践

JackJiang

音视频 即时通讯 实时通信

奈学开发者社区分享:Java - 设计模式的7个设计原则

奈学教育

Java 设计模式 设计原则

数字货币是大势所趋,新冠疫情后必须率先发展DCEP

CECBC

数字货币 银行

公有云厂商哪家强?本月UCloud、百度云、阿里云位居三甲——2020年8月云主机性能评测排名

博睿数据

一文纵览向量检索

华为云开发者联盟

数据 搜索 检索 检查

关于深浅拷贝

西贝

Java 大前端 基础

Electron 快速入门及最新安装教程

程序员学院

Java html 大前端 Electron node,js

中国Prime会员独享巅峰64小时超长跨境网购时间

爱极客侠

Binder那么弱怎么面大厂?

博文视点Broadview

Java android 通信 移动开发 Android进阶

奈学开发者社区分享:Java - 设计模式的7个设计原则

古月木易

Java 设计模式

bug 回忆录(一)

志学Python

一个草根的日常杂碎(9月27日)

刘新吾

随笔杂谈 生活记录 社会百态

牛皮!应届生面试阿里Java岗,七轮过后定级P6,薪资44.8W

面试 计算机基础 编程开发 架构师技能

架构1期第三周作业一

道长

极客大学架构师训练营

查看mac电脑的温度信息, 并且给mac电脑降温

lmymirror

macos Mac terminal

一文领略 HTTP 的前世今生

yes

互联网 网络 HTTP 阿帕网

H5选图预览到上传最佳实践

阿里云金融线TAM SRE专家服务团队

android H5

for-range造就循环永动机?快来看看go中for-range的那些事!

Gopher指北

后端 for Go 语言

区块链会替代大数据吗?

CECBC

区块链 大数据

第 0 次面试

escray

程序员 面试 面经

深入理解MySQL中事务隔离级别的实现原理

X先生

MySQL 数据库 后端 事务

华为全联接2020:环信AI领跑,输出5大行业最佳实践

DT极客

PPT画成这样,述职答辩还能过吗?

小傅哥

Java 小傅哥 流程图 架构师 PPT

关于互联网留存和收益你知道多少—带你走近用户成长体系

滴滴普惠出行

一个草根的日常杂碎(9月28日)

刘新吾

随笔杂谈 生活记录 社会百态

QSecurity月度安全评论(2012年3月):传说中的0day漏洞_语言 & 开发_殷钧钧_InfoQ精选文章