XSS漏洞一般是基于WEB程序的输入输出问题，但最近80SEC开始发现了一系列以IE为内核的第三方浏览器的漏洞，在评估其中的XSS漏洞，我们发现了基于浏览器软件自身设计造成的XSS漏洞所暴发的威力有多么大！通过类似的漏洞我测试了一个功能十足的浏览器木马，这个“木马”可以控制浏览器所有的行为，甚至包括读取本地任意文件和运行本地任意可执行文件。其实这个木马的权限相当于一个本地直接打开的HTML文档的权限，在这里AJAX没有域的限制，可以对任意域发送请求，window.open弹窗不再被浏览器拦截等等~下面我就大概描叙下这类攻击的特.

安全风险管理方法概述传统上，安全风险管理的方法有两种：前瞻性方法和反应性方法，各有优点与缺点。确定某一风险的优先级也有两种不同的方法：定性安全风险管理和定量安全风险管理。风险管理的方法很多组织都被通过响应一个相对较小的安全事件引入安全风险管理。 但无论最初的事件是什么，随着越来越多与安全有关的问题出现并开始影响业务，很多组织对响应一个接一个的危机感到灰心丧气。他们需要替代方法，一种能减少 首次安全事件的方法。有效管理风险的组织发展了更为前瞻性的方法，但此方法也只是解决方案的一部分。反.

四年前，我去面试国内的一家著名的由中科院和一些风险投资公司合股成立的“网络安全整体解决方案供应商”的深圳分公司一个技术支持职位时，我被问了一个举出国内外防火墙厂家和产品的问题，依稀记得当初的回答是“天网”（天网防火墙是当时比较火的桌面防火墙软件），可见当时的信息安全知识是何等贫乏。呆在这家公司的将近一年的时间是国内信息安全的黄金年代，信息安全业可谓是红红火火，涉入较早的安全公司如果在策略、管理和运作上只要不出现大的问题基本上都取得了飞速的发展；同时由于市场繁荣，吸引了不少眼光，新的安全公.

内容：目录1 范围2 信息安全3 安全策略4 组织的安全5 资产分类和管理6 人员安全7 物理的和环境的安全8 通信和运营管理9 访问控制10 系统的开发与维护11 业务连续性管理12 符合性

1、注意内网安全与网络边界安全的不同　　内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。　　内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。2、限制VPN的访问　　虚拟.

1.IT安全策略　　管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有哪些，以及在一个共享账户下，个别用户如何执行任务等等。　　制定的策略应具有这样的目标：能够终止明显的不可防御的用户活.

有效性验证是否应用系统、补丁软件都必须通过验证后才能被安装是否能对系统已安装组件进行有效性验证数据输入、输出控制是否对数据输入、输出进行了合法性检查（特别是各种外部数据，例如系统时间、用户输入等等）系统应确保数据不输出到错误的地点，同时也不能有非法的信息流入（包括用户输入/输出和系统各个功能/模块间输入/输出）数据输入、输出抗抵赖是否能够证明接收方接收到的数据的确来自声称的发送方是否能够证明发送方发送的数据的确被接收方接受数据输入、输出完整性检查是否能够检查输入、输出数.

再次强烈推荐，文章虽长了点，看完受益；如果一个程序有错误，并且只在某些特殊的情况下面出现，它并不是什么大问题。通常，你能够避开这些特殊的情况，使得程序中的错误故障不会发生危害。你甚至可以按照你的意愿，在你的程序中加入这些小小的“臭虫”。　　但是，有时有些程序处于安全界限的边缘位置。他们从另外的程序作为输入，但不是按照程序本来的存取方法。　　我们常见的一些例子：你从的邮件阅读器读取任何人给你发的邮件，然后显示在你的显示器上，而它们本不应当这样做的。任何被接在因特网上的计算机的TCP/IP栈都从.

(1)定期扫描要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。(2)在骨干节点配置防火墙防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是lin.

您正在看的Win2003教程是:win2003详细系统安全设置。正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：1、系统盘权限设置C:分区部分：c:\administrators 全部(该文件夹，子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)system 全部(该文件夹，子文件夹及文件)IIS_WPG 创建文件/写入数据(只有该文件夹)IIS_WPG(该文件夹，子文件夹及文件)遍历文件夹/运行文件列出文件夹/读取数据读取属性创建文件夹/附加数据读取权限c:\Documents and Settingsadmi.

设置Proxy Server和SQL Server实现互联网上的数据库安全：首先，我们需要了解一下SQL Server在WinSock上定义协议的步骤：1. 在”启动”菜单上，指向”程序/Microsoft Proxy Server”，然后点击”Microsoft Management Console”。2. 展开”Internet Information Service”,再展开运行Proxy Server的服务器。3. 右击WinSock Proxy service, 再点击属性。4. 在WinSock Proxy Service Properties For computername 对话框内, 点击Protocols, 再点击Add。5. 在Protocol name 文本框内, 输入复制分发服务器所在的计算机.

1、使用复杂的密码密码穷举对于简单的长度较少的密码非常有效，但是如果网络用户把密码设的较长一些而且没有明显规律特征（如用一些特殊字符和数字字母组合），那么穷举破解工具的破解过程就变得非常困难，破解者往往会对长时间的穷举失去耐性。通常认为，密码长度应该至少大于6位，最好大于8位，密码中最好包含字母数字和符号，不要使用纯数字的密码，不要使用常用英文单词的组合，不要使用自己的姓名做密码，不要使用生日做密码。2、使用软键盘对付击键记录，目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫.

SQL注入漏洞全接触--入门篇http://blog.csdn.net/Test_sunny/archive/2008/08/03/2760396.aspxSQL注入漏洞全接触--进阶篇http://blog.csdn.net/Test_sunny/archive/2008/08/03/2760399.aspxSQL注入漏洞全接触--高级篇http://blog.csdn.net/Test_sunny/archive/2008/08/03/2760404.aspx

我整理了一份系统安全测试的文件，没细整，比较乱。请大家指点还欠缺哪些，或如何分类更合理[*]运行环境OS安全、系统补丁服务器管理漏洞（OS安全机制、管理员密码、远程访问等）病毒防护能力网络安全（网络类型、防火墙配置）机房设备的安全[*]应用系统系统登录（密码规则、复杂程度、大小写敏感、空密码检测、登录失败提示信息）授权检测（注意信息的归属关系检测）默认用户、过期用户、禁止用户、试用用户的认证和授权用户访问区域限制SQL注入XSS漏.

环境要求　　1.系统环境　　有一台Red Hat Linux 9.0自定义安装的服务器，系统安装了GCC及一些软件包，比如Apache、PHP等。安装完系统后的第一件事就是升级系统的软件包。作为Web服务器，系统接受PHP脚本的请求，PHP则使用下面将要安装的MySQL数据库作为动态发布的接触。　　分区情况的要求和一般系统差不多，惟一不同之处在于后面建立的/chroot与/tmp要求在同一个分区上。　　2.安全要求　　(1)MySQL运行在一个独立的(Chroot)环境下;　　(2)mysqld进程运行于一个独立的用户/用户组下，此用户和用户组没有根目录，.

尽管网络安全专家都在着力开发抗DoS攻击的办法，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置，并安装专门的DoS识别和预防工具，能最大限度地 减少DoS攻击造成的损失。利用三层交换建立全面的网络安全体系，其基础必须是以三层交换和路由为核心的智能型网络，有完善的三层以上的安全策略管理工具。局域网层在局域网层上，可采取很多预防措施。例如，尽管完全消除IP分组假冒现象几乎不可能，但网管可构建过滤器，如果数据带有内部网的信源地址，则通过限制数据输入流量，有效降低内部假冒IP攻击。.

在讨论UNIX帐号安全，你首先要理解UNIX密码的安全。这种理解需要检查密码文件的格式。你可以利用下面的命令来得到几种特殊密码的格式$ man 5 password　　密码文件包括几个字段，在表2-1作了详细解释　　字 段 用 处　　登陆名字　　用户登陆时所真正使用的名字　　加密后的密码　　在UNIX中，密码是用高强度的DES算法来进行加密并保存结果　　UID　　用户唯一的标识号　　GID　　用户组的标识号　　用户名　　用户真正的名字　　HOME　　默认的主目录　　SHELL　　默认的程序SHELL接口　　密码文.

在windows系统中，先实现文件系统（NTFS）,当然也可以使用FAT格式，但是并不支持文件级的权限。FAT只在那些相对来讲，对安全要求较低的情况下使用。即使NTFS也不能认为是能完全地保护文件的，这一点在稍后的实验中你将会看到。　　一旦已经实施了NTFS的文件系统格式，可通过Windows NT的资源管理器直接来管理文件的安全。使用NT资源管理器你可为设置目录或文件的权限。基于文件级的权限你可以分配下面几种：读取（R）,写入(W)，执行(X)，删除(D)，改变(P)，取得所有权(O)。详细请参照下表：　　　　NTFS权限　　基于目录　.

最近学习mysql数据库发现的一点关于MySQL可能大家都会忽略的问题：我们知道，在安装完MySQL后，它会自动创建一个root用户和一个匿名用户，其初始密码都是空，对于前者，很多参考资料上都会提醒大家要注意及时设定一个密码，而忽略了后者，大概是因为后者默认设定为只能在本机使用的缘故吧。　　但如果你的MySQL是要提供给作数据库服务的，忽略这个匿名用户的代价可能相当惨重，因为在默认设置下，这个匿名用户在localhost上几乎拥有和root一样的权限，这时候，如果你的客户拥有上传脚本文件、脚本文件可以进行MySQL数据库操作（比如.

基本安全策略：1、物理安全2、禁用guest和TsInternetUser账号，并设置复杂的密码如果TsInternetUser不存在，请创建3、去除不需要使用的账号a、去掉冗余、测试、共享、通用等不需要使用的账号b、确认使用的账号，请使用组策略分配权限，并把用户审计打开4、创建两个管理账号a、一个为普通账号，一个具有管理权限的账号，把管理工作和日常工作分开b、尽量使用"运行……"功能来进行管理5、更改administrator账号名字可以阻止一些普通骚扰者不要用administrator类.