信息安全专栏 -- 褚诚云

希望能在这里和大家交流讨论信息安全领域的技术。

用户操作
[即时聊天] [发私信] [加为好友]
褚诚云ID:chengyun_chu
104643次访问,排名862好友2人,关注者26
大家好!我目前在微软视窗安全部门担任软件安全工程师。所在的SWI(Secure Windows Initiative)专门负责微软产品安全。
chengyun_chu的文章
原创 43 篇
翻译 0 篇
转载 0 篇
评论 160 篇
褚诚云的公告
贴子以"现状"提供且没有任何担保也没有授予任何权利。言论仅代表个人,与所在公司无任何联系。 如果转载文章,请经过作者书面许可;如需录用文章,请联系chengyun.chu,邮件服务器是gmail.com
最近评论
chengyun_chu:fonix, 多谢评论。

关于XSS,的确它是目前最常见的网页安全漏洞之一。但是,最为常见的xSS是type-1型,也就是反射性的XSS漏洞。这种漏洞,和网站本身的主页被嵌入了恶意脚本是不同的。

关于3,是通过SQL注入攻击将恶意的脚本数据直接插入到DB中。注意到恶意的脚本(以及相应的INSERT语句)都是攻击者提供的SQL参数。然后,在动态产生网……
chengyun_chu:用户启动的进程的权限是用户自身的权限,Windows和Unix都是一样的。

输入法本身的特殊性在于需要在登录界面上启动。此时因为系统还没有任何一个用户登录,所以输入法只能运行在一个特殊用户的权限下。Unix下也有类似的设计问题。
fonix:windows多用户这个功能是半路加上去的,所以不彻底,很多地方概念不清楚,增加了出问题的机会。

unix的设计是,进程继承用户的权限。

如果windows也是这样做的,那么这个输入法的安全问题就不会出现了。
fonix:感觉文章里有点问题,如下

1. 导致网页挂马的主要原因是XSS,与SQL Injection的关联不大

2. 第二节讲SQL 注入攻击时,举的几个例子都没问题

3. 第三节似乎有问题,里面提到:
攻击者实施SQL注入攻击,将恶意的脚本代码插入到SQL数据库的相应数据中。插入的恶意脚本如:<script src=……
Microsoft_China_Vip:



www.soAsp.net 编程学习网 技术+ 实例应用 讲解不错。 推荐大家!

有很多 技术资料也很好!


文章分类
收藏
    相册
    Article
    GoogleIME
    SDL
    Windows Vista
    友情链接
    Enjoy IT (ITECN.NET)
    微软SWI的安全博客
    涵涛的博客
    盆盆的博客
    存档
    软件项目交易
    订阅我的博客
    XML聚合  FeedSky
    订阅到鲜果
    订阅到Google
    订阅到抓虾
    订阅到BlogLines
    订阅到Yahoo
    订阅到GouGou
    订阅到飞鸽
    订阅到Rojo
    订阅到newsgator
    订阅到netvibes
    2008年06月

    原创 CNCERT在FIRST会议关于国内PC被攻击的数据收藏

    CNCERT在第20届FIRST会议上关于国内PC被攻击的数据阅读全文>

    发表于 @ 2008年06月27日 05:52:00|评论(loading...)|收藏

    原创 阻止网页挂马的若干工具收藏

    网站被挂马的常见原因是SQL注入攻击。有若干有效的工具可以对抗SQL注入攻击:微软SQL注入攻击源码扫描器,惠普的 Scrawlr工具,微软的URLScan。阅读全文>

    发表于 @ 2008年06月25日 07:12:00|评论(loading...)|收藏

    原创 5月份的大规模SQL注入攻击收藏

    今年的五月份,国内爆发了一次大规模的网页攻击活动阅读全文>

    发表于 @ 2008年06月24日 14:28:00|评论(loading...)|收藏

    Csdn Blog version 3.1a
    Copyright © 褚诚云