速来报名!AICon北京站鸿蒙专场~ 了解详情
写点什么

QSecurity 月度安全评论(2012 年 3 月):传说中的 0day 漏洞

  • 2012-04-08
  • 本文字数:1074 字

    阅读完需:约 4 分钟

在开始自己回味这个月跟开发安全相关的文章之前,请各位读者先检查一下自己企业和个人 Windows 操作系统,有没有打上 CVE-2012-0002 漏洞的补丁。3 月 13 日,微软正式发公布了 MS12-020 安全公告( http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020 ),警示所有 Windows 用户,Windows 系统的远程桌面协议(RDP)存在着两个严重的安全漏洞:一个可以造成远程代码执行,另一个则会造成拒绝服务(DoS)。

事实上江湖上关于 3389 和 IIS 远程代码执行 0day 漏洞的传说流传已久,可是只是限于传说而已,谁也没有亲眼见过。见过的人,也绝不会向外界泄露半点关于这种神器的信息。如今被微软官方亲自证实 3389 0day 漏洞的存在,算是给江湖传说留下一个完美结局。

关于这两个漏洞的利用(exploit), DoS 已经有人完成了 PoC。但是远程代码执行至今笔者还没有见到可信的 PoC。可以想象有多少 Windows Server 至今为止还没有打上补丁,这种 exploit 一旦流出,又不知会造成多少的血雨腥风。看来只能留待日后有机会再一探究竟了。

本月国内互联网安全界的一件大事是 2012“互联网用户安全峰会”的召开。来自国内一线互联网厂商的众多安全部门负责人纷纷现身说法,贡献了一些有意义的话题。如果对互联网安全感兴趣,那么这十几场演讲是非常有参考价值的。会议组织方非常贴心的准备了全部演讲的 PPT 下载和在线视频,地址在这里:

http://sepblog.my.phpcloud.com/?p=92

上月评论中推荐了 John Melton 的博客。这是位高产的劳模博客作者,本月他又发表了 4 篇关于 Java 安全编程的文章,内容涉及 Content-Type, XSS, Log Forging 和框架安全。值得一读,再度推荐。

http://www.jtmelton.com

本月另外一件引起技术界关注的事件就是 GitHub 的被“攻击”。虽然事实证明这只是某个 GitHub 用户为了引起官方重视而做的一个小恶作剧,但是依然引发了关于 Rails 框架默认安全和程序员实现安全之间的争论。

http://shiflett.org/blog/2012/mar/hacking-rails-and-github

本期的最后,向大家郑重推荐一个非常好用的 web 安全训练课程:OWASP Webgoat。这是由 OWASP 开发的免费开源 Web 安全训练课程。用户可以在指导下由易至难的完成众多安全攻击任务,从而加深对 Web 安全的理解。可以作为企业开发人员安全培训的主要工具使用。链接地址:

https://www.owasp.org/index.php/Webgoat

相信本期的内容足够各位读者花上一段时间了,咱们下月再见。


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-04-08 22:401740

评论

发布
暂无评论
发现更多内容

Appium Inspector与Weditor:移动端测试的利器

霍格沃兹测试开发学社

WonderPen妙笔:功能强大的文字编辑器和Markdown写作应用

Rose

Redis Cluster on K8s 大揭密

小猿姐

数据库 redis k8s

详解数仓的3A安全能力

华为云开发者联盟

数据库 后端 华为云 数据库安全 华为云开发者联盟

高效工作之:开源工具kettle实战

鲸品堂

开源 数据分析 工具 企业号 5 月 PK 榜

检索增强生成(RAG)实践:基于LlamaIndex和Qwen1.5搭建智能问答系统

汀丶人工智能

人工智能 llama 智能问答 rag Qwen1.5

一键自动化博客发布工具,用过的人都说好(oschina篇)

程序那些事

自动化 工具 程序那些事 博客工具

深入剖析:如何使用Pulsar和Arthas高效排查消息队列延迟问题

EquatorCoco

消息 排查

Photoshop 2023多语言版 ps2023安装包 mac/win

Rose

适用于 macOS 的最佳独立 HBO Max 客户端

Rose

老牌Git客户端 mac软件 SmartGit 汉化教程 及安装教程

Rose

如何优雅地使用Appium元素定位工具进行移动端测试?

测试人

软件测试

三大IAM权限管理模型怎么选?

芯盾时代

iam 统一身份认证 权限管理系统

独立创作者之路上的一点思考

zhumingwu

LaTeX 编辑器和编译器:Texifier(原Texpad)

Rose

Lightroom Classic 2020(Lrc2020) v10.4中文直装版

Rose

Set A Light 3D Studio,快速模拟摄影布光效果以及更多的细节

Rose

营销权益平台春晚技术探究| 京东云技术团队

京东科技开发者

如何兼顾性能与可靠性?一文解析YashanDB主备高可用技术

Geek_2d6073

鸿蒙OS NEXT的推出,目标是更广阔的智能设备市场

FinFish

鸿蒙开发 小程序容器 小程序技术 鸿蒙Next 鸿蒙app开发

Advanced RAG 06:生成结果的相关性低? 快用 Query Rewriting 优化技术

Baihai IDP

程序员 AI 企业号 5 月 PK 榜 检索增强生成 Query Rewriting

第50期|GPTSecurity周报

云起无垠

BOE(京东方)2024年一季度业绩发展势头强劲 营收利润大幅增长实现“开门红”

爱极客侠

京东方

最佳独立Prime视频播放器:Clicker for Prime Video Mac版

Rose

探究职业发展的关键:能力模型解读

霍格沃兹测试开发学社

企业需要购买云服务器吗?一篇文章告诉你答案

一只扑棱蛾子

服务器

Vectorworks 2024详细图文安装教程 3D建筑建模 Mac/win

Rose

天工一刻 | 一文看懂MoE混合专家大模型

新消费日报

RAG:AI大模型联合向量数据库和 Llama-index,助力检索增强生成技术

汀丶人工智能

人工智能 llama 智能问答 RGA

QSecurity月度安全评论(2012年3月):传说中的0day漏洞_语言 & 开发_殷钧钧_InfoQ精选文章