信息安全专栏 -- 褚诚云
希望能在这里和大家交流讨论信息安全领域的技术。
登录
注册
全站
当前博客
空间
博客
好友
相册
留言
用户操作
[即时聊天]
[发私信]
[加为好友]
褚诚云
ID:chengyun_chu
共
105200
次访问,排名
861
好友
2
人,关注者
27
人
大家好!我目前在微软视窗安全部门担任软件安全工程师。所在的SWI(Secure Windows Initiative)专门负责微软产品安全。
chengyun_chu的文章
原创 43 篇
翻译 0 篇
转载 0 篇
评论 160 篇
褚诚云的公告
贴子以"现状"提供且没有任何担保也没有授予任何权利。言论仅代表个人,与所在公司无任何联系。 如果转载文章,请经过作者书面许可;如需录用文章,请联系chengyun.chu,邮件服务器是gmail.com
最近评论
chengyun_chu:
fonix, 多谢评论。
关于XSS,的确它是目前最常见的网页安全漏洞之一。但是,最为常见的xSS是type-1型,也就是反射性的XSS漏洞。这种漏洞,和网站本身的主页被嵌入了恶意脚本是不同的。
关于3,是通过SQL注入攻击将恶意的脚本数据直接插入到DB中。注意到恶意的脚本(以及相应的INSERT语句)都是攻击者提供的SQL参数。然后,在动态产生网……
chengyun_chu:
用户启动的进程的权限是用户自身的权限,Windows和Unix都是一样的。
输入法本身的特殊性在于需要在登录界面上启动。此时因为系统还没有任何一个用户登录,所以输入法只能运行在一个特殊用户的权限下。Unix下也有类似的设计问题。
fonix:
windows多用户这个功能是半路加上去的,所以不彻底,很多地方概念不清楚,增加了出问题的机会。
unix的设计是,进程继承用户的权限。
如果windows也是这样做的,那么这个输入法的安全问题就不会出现了。
fonix:
感觉文章里有点问题,如下
1. 导致网页挂马的主要原因是XSS,与SQL Injection的关联不大
2. 第二节讲SQL 注入攻击时,举的几个例子都没问题
3. 第三节似乎有问题,里面提到:
攻击者实施SQL注入攻击,将恶意的脚本代码插入到SQL数据库的相应数据中。插入的恶意脚本如:<script src=……
Microsoft_China_Vip:
www.soAsp.net 编程学习网 技术+ 实例应用 讲解不错。 推荐大家!
有很多 技术资料也很好!
文章分类
安全软件开发
(RSS)
病毒,间谍软件
(RSS)
产品安全
(RSS)
杂谈
(RSS)
收藏
相册
Article
GoogleIME
SDL
Windows Vista
友情链接
Enjoy IT (ITECN.NET)
微软SWI的安全博客
涵涛的博客
盆盆的博客
存档
2008年09月(2)
2008年08月(2)
2008年07月(1)
2008年06月(3)
2008年05月(1)
2008年04月(2)
2008年03月(1)
2008年02月(3)
2008年01月(2)
2007年12月(1)
2007年11月(3)
2007年10月(2)
2007年09月(2)
2007年08月(2)
2007年07月(1)
2007年06月(3)
2007年05月(4)
2007年04月(5)
2007年03月(3)
软件项目交易
订阅我的博客
Windows Server 2008 安全指南
收藏
新一篇: 2008腾讯安全峰会有感
|
旧一篇: 冷空气和硬盘加密
对IT安全有兴趣的同事可不要错过。
http://www.microsoft.com/technet/security/prodtech/windowsserver2008/default.mspx
其中,我觉得最值得关注的功能是:
Server Core。极小化的服务器版本。可以有效提高管理,并减少攻击页面。
Read-Only Domain Controller (RODC)
。专门针对分支机构(
branch office
)的域名服务器
争取以后有机会给大家多介绍一点详细资料。
发表于 @
2008年03月08日 09:24:00
|
评论(
loading...
)
|
编辑
新一篇: 2008腾讯安全峰会有感
|
旧一篇: 冷空气和硬盘加密
评论:没有评论。
发表评论
姓 名:
主 页:
校验码:
看不清,换一张
当前用户设置只有注册用户才能发表评论。如果你没有登录,请点击
登录