实验楼翻译制作的SEED系列信息安全实验课永久免费并开源。 计算机教育中实践练习是必不可少的环节。为了向学生提供信息安全教育实践,美国雪城大学杜文亮教授于2002年创立了SEED项目组,目前已开发了30个安全实验,涵盖软件安全、网络安全、Web安全、系统安全、密码学技术领域,本套实验也已被全世界数百所大学做教学使用。
2015-04-08 12:38
虚拟私有服务器 (VPS)上启用 SSH 服务使得该服务器暴露到互联网中,为黑客攻击提供了机会,尤其是当 VPS 还允许root 直接访问时。VPS 应该为每次 SSH 登录成功尝试配置一个自动的 email 警告。 VPS 服务器的所有者会得到各种 SSH 服务器访问日志的通知,例如登录者、登录时间以及来源 IP 地址等信息。这是一个对于服务器拥有者来说,保护服务器避免未知登录尝试的重要安全关注点。这是因为如果黑客使用暴力破解方式通过 SSH 来登录到你的 VPS 的话,后果很严重。在本文中,我会解释如何在 CentOS 6、 CentOS 7、 RHEL 6 和 RHEL 7上为所
2015-04-26 11:01 skytech, theo-l
相信很多开发者都默认Docker这样的容器是一种沙盒(sandbox)应用,也就是说他们可以用root权限在Docker中运行随便什么应用,而Docker有安全机制能保护宿主系统。比如,有些人觉得Docker容器里面的进程跟虚拟机里面的进程一样安全;还有的人随便找个源就下载没有验证过的Docker镜像,看都不看内容就在宿主机器上尝试、学习和研究;还有一些提供PaaS服务的公司竟然允许用户向多租户系统中提交自己定制的Docker镜像。请注意,上述行为均是不安全的。 本文将介绍Docker的隔离性和安全性,以及为什么它在隔离和安全性上不如传统的虚拟机。
2015-05-29 09:46 Roger W.
本期为大家准备了一些安全方面的书籍,无论你的安全设备有多么坚不可摧,防御流程有多么高效严密,都应当拥有一本安全方面的“武林秘籍”,知己知彼,才能百战不殆。
2015-03-24 17:58
今年 3 月,有人在对网站进行加密保护的程序中发现了一个大漏洞 FREAK,而密歇根大学研究员 Zakir Durumeric是第一个知道这一漏洞有多严重的人。通过扫描互联网上的所有设备,他甚至要比最先发现这一漏洞的人更早知道这一漏洞的全部威力。 扫描显示,有超过 500 万个网站受 FREAK 的影响,包括 FBI、谷歌和苹果运营的网站。出现在许多流行网站上的Facebook赞按钮也受到了影响。这就需要在问题公开曝光之前,紧急通知关键公司和组织,还要小心泄密。 FREAK 漏洞可以让攻击者破坏网络浏览器与受影响网站之间的安全连接,访问两者之间传输的
2015-04-01 13:29 Tom Simonite, 不知
SuSE的安全研究人员Sebastian Krahmer成功的绕过了SELinux的白名单规则,Sebastian分析了漏洞利用的方法并且公开了PoC。由于在targeted规则的情况下,社区的维护人员都假设程序是安全的,所以会给一些的程序root权限运行,可能这正是NSA所希望看到的;-) 著名的MAC(强制访问控制)开源实现SELinux是由NSA(美国国家安全局)于1990年代末发起的项目,于2000年以GPL自由软件许可证开放源代码,2003年合并到Linux内核中,过去10年中关于是否NSA在其中放后门的争论没有停过,一些人认为应该信任SELinux,因为它是以GPL自由软件许可证公开的源代
2015-03-26 22:12
日前,国外安全研究公司secunia公布了2014程序安全漏洞研究报告。根据报告显示,在3870个不同程序中共发现15435个漏洞。相比较2013年,记录的程序增加了18%,而漏洞增加了22%。其中,谷歌旗下的Chrome浏览器以504个漏洞击败拥有286枚漏洞的IE和发现了350个漏洞的Gentoo Linux以及甲骨文SOLARIS的483个漏洞,一举占据排行榜头把交椅。其次,IBM的软件和管理系统占据了前20名中的8个席位,成为上榜最多的公司。 由于一个漏洞可能同时影响多个程序,所有IBM的上榜次数也是可以理解的。外媒表示,漏洞是基于公开披露的和私密披露的修复公告,
2015-03-29 17:02
建议用户尽快升级 Canonical发布新 OpenJDK 7 的安全公告,它已经提交到Ubuntu 14.04 LTS和Ubuntu 14.10 的仓库中。该更新修复了大量的问题和漏洞。 Ubuntu维护者已经升级了仓库中的OpenJDK包,并且含有大量的修复。这是一个重要的更新,其涵盖了少量的库。 安全公告中说OpenJDK JRE中发现了一些信息泄露、数据完整性和可用性的漏洞。攻击者可以利用这些通过网络执行拒绝服务或者泄露信息。 同样,OpenJDK JRE中发现了关于信息泄露和完整性的漏洞。攻击者可以利用这点通过网络泄露敏感信息。 这里有几个漏洞被开发者确认,并且由维护人员
2015-02-21 08:21 Silviu Stahie, geekpi
美国人民希望政府网站是安全的,并且他们在这些网站的访问是作为隐私被保护的。HTTPS协议用当今的因特网技术为公共网络连接提供了最强的隐私保护。HTTPS的使用降低了用户在使用政府在线服务时被截获和被修改的风险。 这个建议的动机,HTTPS-only标准,会要求所有可公开访问的联邦网站和网络服务使用HTTPS。 我们鼓励你的反馈和建议。 (题图来自:pinimg.com) 目标 所有可公开访问的联邦网站和web服务只通过一个安全的连接提供服务。目前公共网络连接可用的最强的隐私保护就是HTTPS协议。(提供公开访问的网站和服务,在这里被定义成全
2015-03-31 16:35
广告软件Superfish会在电脑上安装自签名证书,它的HTTPS拦截组件不是自己开发的,而是来自Komodia。 另一个安全公司的广告软件是PrivDog,与知名CA发行商Comodo有关联,互联网上三分之一的SSL证书是Comodo发行的。 此类的自签名证书引发了浏览器是否应该信任自签名证书的争议。
2015-02-26 10:22
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: