写点什么

QSecurity4 月安全评论:期待黑客精神的回归

  • 2012-05-07
  • 本文字数:1102 字

    阅读完需:约 4 分钟

QSecurity4 月安全评论:期待黑客精神的回归

又到了每月一次的 QSecurity 当月安全阅读及评论的时间了,但是本期 QSecurity 月度安全评论的出炉,多少有点难产的味道。难产的原因之一自然是作者的拖延症,但是更为重要的是,本期安全文章推荐备选列表中,已经很难找到一篇中文文章。

从几年前开始,中国黑客社区在经历了长达十余年的启蒙时代和黄金时代之后,走向了沉沦的黑暗时代。功利性越来越强,坚持下来的黑客社区和安全研究人员,由于互相之间信任的缺失,已经不再具有开放和分享的精神。黑客精神所代表的 Open、Free、Share,已经不复存在了(以上文字荣耀归于刺总)。在这个大背景下,鼓励和支持国内的安全研究人员公开发表和分享安全技术知识,就显得尤为重要。QSecurity 作为 InfoQ 中文站的安全专栏,希望能向研发团队的团队领导者、架构师、项目经理、工程总监和高级软件开发人员们介绍更多来自中国安全工作者原创的安全文章。

本期的第一篇推荐是一本来自于中国白帽子原创的安全著作:《白帽子讲Web 安全 》。作者吴翰清是阿里安全专家。这本书的出版,为国内安全工作者的知识分享和传播,开了个好头。各大网店均有销售,我就不把软广告做得太过分明显了。

接下来就全是英文文章了,某些文章可能需要翻墙才能访问,替方校长向大家表示抱歉。

67% of ASP.NET websites have serious configuration related security vulnerabilities
Troy Hunt 在 4 月 3 日发表了一篇文章,称 67% 的 asp.net 网站都存在由于配置问题导致的严重安全漏洞,并提供了一系列分析和经验总结。对.net web 开发者,这应该是一篇很好的安全配置指南。

HTML5 Security
Robert McArdle 在这篇 blog 里提供了一份报告,详细阐述了 HTML5 可能面临的各种安全威胁。除了大家可能已经熟知的 WebSockets 方面的问题之外,针对 HTML5 引入的新标签的 XSS、利用 Autocomplete 盗取敏感信息等内容,对 web 开发者都是非常实用的安全指南。

Understanding Ajax vulnerabilities
Ajax 安全威胁。IBM developer works 风格的技术文章,可以看一看。可以结合这篇文章一起读。

Secure Coding And Application Security
Dinis 在最近这篇博客中提出了一个很激进的观点:“应用安全应该对开发者透明”。换言之,应该从系统架构、Platform 选型、配置等方面做到默认安全,使得开发者不可能写出含有致命漏洞的代码。最好的一个例子就是现代编程语言对缓冲区溢出漏洞的处理方式。当然对于 web 开发来说,这个观点仁者见仁智者见智。不过我同意:很多安全问题本质上是架构问题。

XSS (Cross Site Scripting)
OWASP 官方防止 XSS 的葵花宝典,有更新。

希望下个月,我们能有一些高质量的中文文章推荐给大家,下月见。

2012-05-07 21:051804

评论

发布
暂无评论
发现更多内容

点云分割技术的发展现状及挑战

来自四九城儿

软件测试|码农必会的git操作(一)

霍格沃兹测试开发学社

理解 JVM 工作机制(四) 回收策略

Geek漫游指南

Java jdk JVM

理解 JVM 工作机制(六) 垃圾收集器

Geek漫游指南

Java jdk JVM

CMake入门教程:从零开始构建C/C++项目

小万哥

程序员 后端 开发 C/C++ cmake

Sprint回顾会及Scrum工具

顿顿顿

Scrum 敏捷开发 敏捷项目管理 敏捷开发管理工具 sprint回顾会

MobTech 秒验|运营商网关取号​

MobTech袤博科技

开发者们:618电商团战即将开启,“抢流量”想上分,必备这三个大招 | MobTech观察

MobTech袤博科技

软件测试|Python实用炫酷技能——推导式

霍格沃兹测试开发学社

理解 JVM 工作机制(九) 类文件结构

Geek漫游指南

Java jdk JVM

Nautilus Chain开启全球行,普及Layer3概念加速其采用

股市老人

软件测试|pyecharts绘制NBA球星得分能力对比图

霍格沃兹测试开发学社

人体识别图像技术在智能家居中的应用

来自四九城儿

软件测试|Python操作Excel制作报表,不要太方便

霍格沃兹测试开发学社

理解JVM工作机制(五)垃圾回收算法

Geek漫游指南

Java jdk JVM

理解 JVM 工作机制(八) JVM 性能调优

Geek漫游指南

Java jdk JVM

理解 JVM 工作机制(十) 类加载机制和加载的过程

Geek漫游指南

Java jdk JVM

我国首例汽车企业全业务场景数据出境安全评估获批

Openlab_cosmoplat

大数据 开源 汽车

软件测试|简单易学的性能监控体系prometheus+grafana搭建教程

霍格沃兹测试开发学社

3D设计必备!5个免高质量的 HDRI 环境贴图网站

Finovy Cloud

blender

理解 JVM 工作机制(七) 内存分配和回收策略

Geek漫游指南

Java jdk JVM

2023-05-24:为什么要使用Redis做缓存?

福大大架构师每日一题

redis 福大大

聊聊 Milvus GC:从一次数据丢失事件展开

Zilliz

非结构化数据 GC Milvus 向量数据库

c#中用System.Diagnostics.Process.Start(Path.GetFullPath(“vlc.exe.lnk“), url);用vlc的快捷方式打开http的url不起作用?

福大大架构师每日一题

C# 福大大 vlc

基于 Amazon API Gatewy 的跨账号跨网络的私有 API 集成

亚马逊云科技 (Amazon Web Services)

Amazon

Solaris Exchange:一个安全可靠的合成资产交易平台

股市老人

塞尔达工业革命卷到数字电路了!网友:怕不是要在Switch里造Switch

Openlab_cosmoplat

伟大的公司只需要十一人

Openlab_cosmoplat

开源 MidJourney

理解 JVM 工作机制(十一) 类加载器

Geek漫游指南

Java jdk JVM

Nautilus Chain开启全球行,普及Layer3概念加速其采用

BlockChain先知

QSecurity4月安全评论:期待黑客精神的回归_安全_殷钧钧_InfoQ精选文章